De Eerste Kamer heeft op 7 juli ingestemd met de Cyberbeveiligingswet, de Nederlandse invulling van de Europese NIS2-richtlijn. De wet treedt op 15 augustus 2026 in werking en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). Vanaf die datum wordt cybersecurity voor duizenden organisaties in Nederland een wettelijke plicht. Er is geen overgangsperiode.
Voor wie geldt de wet?
De Cyberbeveiligingswet geldt voor organisaties die essentiële of belangrijke diensten leveren, verspreid over 18 sectoren. Denk aan zorg, overheid, energie, drinkwater, digitale infrastructuur, vervoer en logistiek. Naar schatting vallen ruim 8.000 organisaties er rechtstreeks onder. De wet maakt onderscheid tussen essentiële en belangrijke entiteiten: voor beide gelden dezelfde kernverplichtingen, maar het toezicht verschilt. Op essentiële entiteiten wordt proactief toezicht gehouden, op belangrijke entiteiten vooral reactief. Organisaties zijn zelf verantwoordelijk om vast te stellen of en onder welke categorie zij vallen.
Ook impact via de keten
Val je niet rechtstreeks onder de wet? Dan kun je er alsnog mee te maken krijgen. Organisaties die er wel onder vallen, moeten ook de risico’s in hun toeleveringsketen beheersen. Zij vragen hun leveranciers dus om aan te tonen dat de cybersecurity op orde is. Op die manier werkt de wet door naar tienduizenden bedrijven daarachter.
Waar moet je rekening mee houden?
- Controleer of jouw organisatie onder de Cyberbeveiligingswet valt, direct of via de keten.
- Organisaties die eronder vallen, moeten zich uiterlijk 15 augustus registreren in het entiteitenregister van het NCSC (via mijn.ncsc.nl).
- Er geldt een zorgplicht: je neemt passende technische en organisatorische maatregelen op basis van een risicobeoordeling.
- Er geldt een meldplicht: significante cyberincidenten moet je binnen de wettelijke termijnen melden bij de toezichthouder en het NCSC.
- Het bestuur krijgt een nadrukkelijke verantwoordelijkheid voor het beheersen van cyberrisico’s en is daar ook persoonlijk op aanspreekbaar.
Toezicht en handhaving
Op de naleving wordt actief toegezien. Toezichthouders kunnen inspecties uitvoeren en je moet kunnen aantonen dat je passende maatregelen hebt getroffen. Bij overtredingen zijn boetes mogelijk die oplopen tot tien miljoen euro of twee procent van de wereldwijde jaaromzet. Daarmee gaat de wet een stuk verder dan de AVG.
Wat HOB voor je kan betekenen
Voor veel klanten beheren en beveiligen wij al een belangrijk deel van de IT-security. Vanuit die rol denken we graag mee over de (technische) maatregelen die je cyberweerbaarheid versterken. Denk bijvoorbeeld aan:
- Multi-Factor Authenticatie (MFA)
- Managed Detection & Response (MDR)
- Back-up en herstelprocessen
- eXtended Detection en Response/ XDR (Security Monitoring en logging)
- Identity & Access Management
- Security awareness
- Eventuele aanvullende beveiligingsmaatregelen
15 augustus komt snel dichterbij. Weet je niet zeker of jouw organisatie voldoende voorbereid is op de nieuwe eisen? Neem dan contact op met jouw vaste contactpersoon. Samen brengen we in kaart welke (technische) maatregelen nog aandacht vragen en welke vervolgstappen verstandig zijn.
Meer op onze NIS2-informatiepaginaOplossingen
Meteen aan de slag.
Minimaliseer de impact van cyberaanvallen door 24/7 security monitoring en bewaking.
Security op maat.
Afgestemd op jouw unieke situatie, omdat wij begrijpen dat security geen 'one size fits all'-benadering is.
Gehackt? Bel direct!
Gaat het toch mis? Bel ons, zodat we de schade snel kunnen beperken.