Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten vanaf 15 augustus 2026 van kracht
De wetten treden op 15 augustus 2026 in werking. Vanaf dat moment gelden nieuwe verplichtingen voor ruim 8.000 organisaties in Nederland op het gebied van cyberbeveiliging. Daarnaast worden organisaties die onder de Wet weerbaarheid kritieke entiteiten vallen vanaf dat moment formeel aangewezen als kritieke entiteit.
Minister van Justitie en Veiligheid David van Weel: "Of het nu gaat om digitale dreigingen, sabotage, natuurrampen of andere verstoringen: organisaties moeten voorbereid zijn op risico’s die de continuïteit van essentiële dienstverlening kunnen raken. Met de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten versterken we de weerbaarheid van organisaties én onze samenleving. Ik roep organisaties op om tijdig aan de nieuwe verplichtingen te voldoen."
Cyberbeveiligingswet: wat betekent dit voor organisaties?
De Cyberbeveiligingswet implementeert de Europese NIS2-richtlijn in Nederland en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). Organisaties zijn zelf verantwoordelijk om te toetsen of ze onder de Cyberbeveiligingswet vallen.
De Cyberbeveiligingswet geldt voor organisaties die essentiële of belangrijke diensten verlenen. De wet ziet toe op organisaties uit 18 sectoren, waaronder de sectoren energie, drinkwater, digitale infrastructuur, gezondheidszorg, overheid en vervoer.
Nieuwe verplichtingen
Organisaties die onder de Cyberbeveiligingswet vallen, krijgen onder meer te maken met:
- Registratieplicht: Organisaties moeten zich registreren in het entiteitenregister via het Nationaal Cyber Security Centrum (NCSC).
- Zorgplicht: Organisaties moeten maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheersen. Ook moeten zij deze maatregelen nemen om incidenten te voorkomen of de gevolgen daarvan te beperken.
- Meldplicht: Organisaties moeten significante incidenten binnen de wettelijke termijnen melden aan hun CSIRT en bevoegde autoriteit via het meldportaal.
- Bestuurlijke verantwoordelijkheid: Het bestuur is eindverantwoordelijk voor cyberrisicobeheersing. Bestuurders moeten beschikken over voldoende kennis om risico’s en beveiligingsmaatregelen te kunnen beoordelen en volgen daarvoor een passende training.
- Toezicht en handhaving: Toezichthouders controleren of organisaties voldoen aan de verplichtingen uit de Cyberbeveiligingswet.
Voorbereidingen treffen richting 15 augustus
Het is belangrijk voor organisaties die onder de Cyberbeveiligingswet vallen om aan de slag te gaan.
Eén van de eerste stappen voor organisaties is het registeren bij het Nationaal Cyber Security Centrum. Dit is per 15 augustus verplicht. Om de registratie goed te laten verlopen, is het verstandig deze nu al voor te bereiden met een checklist. Na registratie kunnen organisaties aansluiten op de dienstverlening van hun CSIRT. Daar krijgen zij producten en diensten om de weerbaarheid van de organisatie te vergroten en ondersteuning in geval van een incident.
Wet weerbaarheid kritieke entiteiten
De Wet weerbaarheid kritieke entiteiten implementeert de Europese CER-richtlijn in Nederland. Het doel van die richtlijn is om de kritieke infrastructuur en economische activiteiten in Europa zo goed mogelijk te beschermen tegen allerlei soorten dreigingen, zoals de gevolgen van terroristische misdrijven, sabotage en natuurrampen.
De Wet weerbaarheid kritieke entiteiten is van toepassing op ongeveer 500 organisaties, in elk geval de volgende sectoren: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheid, ruimtevaart, nucleair, chemie, keren en beheren, meteorologie, productie, verwerking en distributie van levensmiddelen.
Een organisatie valt onder de Wet weerbaarheid kritieke entiteiten als deze door de vakminister wordt aangewezen als zogeheten kritieke entiteit. Lees meer over deze wet.