De Cyberbeveiligingswet (Cbw) is de Nederlandse wet die de Europese NIS2-richtlijn omzet en de huidige Wbni vervangt. Ze verplicht een veel bredere groep organisaties tot een zorgplicht (verplichte beveiligingsmaatregelen), een meldplicht voor significante incidenten en een registratieplicht — met persoonlijke aansprakelijkheid voor bestuurders die tekortschieten. Belangrijk om te weten: Nederland heeft de Europese omzettingsdeadline van 17 oktober 2024 gemist, waardoor de Cyberbeveiligingswet vertraagd is. Deze gids legt uit wat de wet gaat regelen, wie eronder valt en wat u nu al kunt doen.
1. Waarom een nieuwe wet?
De eerste NIS-richtlijn (omgezet in de Wbni) dekte alleen vitale aanbieders. Cyberdreigingen raken echter veel meer organisaties, en de oude aanpak liet te veel sectoren buiten beschouwing. De NIS2-richtlijn (EUR-Lex, CELEX 32022L2555) verbreedt daarom het bereik drastisch en harmoniseert de eisen. De Cyberbeveiligingswet is de Nederlandse vertaling daarvan.
De achtergrond en Europese context behandel ik uitgebreider in de gids over de NIS2-richtlijn en de Nederlandse omzetting; deze pagina richt zich op de nationale wet zelf.
2. Wie gaat eronder vallen?
De Cyberbeveiligingswet onderscheidt essentiële en belangrijke entiteiten, verspreid over veel meer sectoren dan de Wbni: energie, transport, bankwezen, drinkwater en afvalwater, digitale infrastructuur, overheid, ruimtevaart, maar ook nieuwe sectoren zoals afvalbeheer, levensmiddelenproductie, chemie, onderzoek, post- en koeriersdiensten en delen van de zorg.
Als vuistregel geldt een omvangdrempel: organisaties vanaf ongeveer 50 werknemers of 10 miljoen euro omzet in een aangewezen sector vallen doorgaans onder de wet, met uitzonderingen voor bepaalde kritieke aanbieders ongeacht omvang. Of u essentieel of belangrijk bent, bepaalt de intensiteit van het toezicht en de hoogte van de maximale boete.
3. De zorgplicht: verplichte maatregelen
De kern van de Cyberbeveiligingswet is een zorgplicht: entiteiten moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen om hun netwerk- en informatiesystemen te beveiligen. NIS2 noemt een minimumpakket, waaronder:
- Risicoanalyse en beleid voor informatiebeveiliging.
- Incidentafhandeling.
- Bedrijfscontinuïteit en back-upbeheer.
- Beveiliging van de toeleveringsketen (leveranciers!).
- Beveiliging bij aanschaf en onderhoud van systemen.
- Cryptografie en encryptie.
- Toegangsbeleid en multifactorauthenticatie.
Deze maatregelen overlappen sterk met artikel 32 AVG over beveiliging van persoonsgegevens. Een organisatie die haar AVG-beveiliging op orde heeft, legt daarmee een groot deel van de NIS2-zorgplicht al af — maar NIS2 gaat verder omdat het niet om persoonsgegevens draait maar om de continuïteit van de dienst zelf.
4. Meldplicht: 24 uur, 72 uur, één maand
De Cyberbeveiligingswet kent een gefaseerde meldplicht voor significante incidenten bij het CSIRT (het Nationaal Cyber Security Centrum):
| Termijn | Wat |
|---|---|
| Binnen 24 uur | Vroegtijdige waarschuwing (early warning) |
| Binnen 72 uur | Incidentmelding met eerste beoordeling |
| Binnen 1 maand | Eindrapport met oorzaak, impact en maatregelen |
Deze cascade is strakker dan de 72-uursmelding van de AVG. Let op: één incident kan zowel meldplichtig zijn onder de Cyberbeveiligingswet (bij het NCSC) als een datalek onder de AVG (bij de AP). Richt uw incidentproces zo in dat beide routes tegelijk worden bediend.
5. Registratieplicht en toezicht
Entiteiten moeten zich registreren bij de bevoegde autoriteit, zodat de overheid weet wie onder de wet valt. Het toezicht blijft, net als onder de Wbni, verdeeld over sectorspecifieke toezichthouders, met een centrale rol voor de RDI en het NCSC. Essentiële entiteiten krijgen proactief toezicht (audits, controles); belangrijke entiteiten vooral reactief toezicht (na incidenten of signalen).
6. Bestuurdersaansprakelijkheid
Een van de scherpste vernieuwingen: het bestuur moet de risicomaatregelen goedkeuren, toezicht houden op de uitvoering en zich laten scholen over cyberrisico’s. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld als de organisatie de zorgplicht schendt. Cybersecurity is daarmee definitief een bestuurskwestie, geen zaak die alleen bij de IT-afdeling ligt.
Deze verankering op bestuursniveau is bewust gekozen: de Europese wetgever constateerde dat cyberrisico’s te vaak als een technisch detail werden weggeschoven, terwijl een ernstig incident de hele continuïteit van een organisatie kan raken. Onder de Cyberbeveiligingswet moet het bestuur dus niet alleen budget vrijmaken, maar aantoonbaar begrijpen welke risico’s de organisatie loopt en welke maatregelen daartegen zijn genomen. In de praktijk betekent dit dat cyberrisico’s een vast agendapunt worden in de bestuurskamer, met periodieke rapportage en gedocumenteerde besluitvorming. Voor toeleveranciers heeft dit een keteneffect: grote entiteiten zullen hun leveranciers om aantoonbare beveiliging vragen, waardoor de NIS2-eisen doorwerken naar bedrijven die formeel misschien niet eens onder de wet vallen.
7. Wat u nu al moet doen
Ondanks de vertraging is uitstel geen reden tot afwachten — de dreiging bestaat nu, en de wet komt er. Concrete stappen:
- Bepaal uw status — valt u onder de reikwijdte, en zo ja als essentiële of belangrijke entiteit? Gebruik de checklist voor AVG-naleving als vertrekpunt voor uw governance.
- Breng beveiliging op orde — begin bij het NIS2-minimumpakket, dat grotendeels samenvalt met AVG art. 32.
- Richt een incidentproces in — met de 24/72-uurscascade en de AVG-datalekroute geïntegreerd.
- Betrek het bestuur — leg besluitvorming en scholing vast; dat wordt straks getoetst.
Voor het beheer van deze verplichtingen naast de AVG loont het om beide regimes in één omgeving te voeren. Gespecialiseerde NIS2-software voor de Nederlandse markt en compliance-platforms zoals Legiscope koppelen beveiligingsmaatregelen, incidenten en leveranciersafspraken zodat u niet twee losse administraties bijhoudt. De Cyberbeveiligingswet vervangt daarbij formeel de Wbni, die tot inwerkingtreding blijft gelden voor de huidige doelgroep.
FAQ
Wanneer treedt de Cyberbeveiligingswet in werking?
Dat is nog niet definitief. Nederland heeft de Europese omzettingsdeadline van 17 oktober 2024 niet gehaald; de wet is vertraagd en doorloopt het parlementaire traject. Tot de inwerkingtreding blijft de Wbni gelden voor de huidige doelgroep. Volg de actuele parlementaire stand, want de datum kan verschuiven.
Wat is het verschil tussen een essentiële en een belangrijke entiteit?
Beide moeten voldoen aan de zorg- en meldplicht, maar essentiële entiteiten staan onder proactief toezicht (audits, controles vooraf) en kennen hogere boetemaxima, terwijl belangrijke entiteiten vooral reactief toezicht kennen. De indeling hangt af van sector en omvang van de organisatie.
Geldt de meldplicht naast de AVG-datalekmelding?
Ja. De Cyberbeveiligingswet verplicht tot melding van significante incidenten bij het NCSC (24 uur vroegtijdige waarschuwing, 72 uur melding, één maand eindrapport). Als bij hetzelfde incident persoonsgegevens betrokken zijn, geldt daarnaast de AVG-datalekmelding bij de AP binnen 72 uur. Twee regimes, twee routes.
Kan een bestuurder persoonlijk aansprakelijk zijn?
Ja. De Cyberbeveiligingswet legt de verantwoordelijkheid voor het goedkeuren van maatregelen en het houden van toezicht bij het bestuur, met een scholingsplicht. Bij schending van de zorgplicht kunnen bestuurders persoonlijk worden aangesproken. Cybersecurity wordt daarmee een bestuurlijke verantwoordelijkheid.
Conclusie
De Cyberbeveiligingswet zet NIS2 om en verbreedt het Nederlandse cybersecurityregime drastisch: veel meer sectoren, een verplicht maatregelenpakket, een strakke 24/72-uurs meldcascade, een registratieplicht en persoonlijke bestuurdersaansprakelijkheid. De wet is vertraagd, maar de dreiging niet — en de zorgplicht valt grotendeels samen met wat de AVG in artikel 32 al eist. Wie nu zijn status bepaalt, zijn beveiliging op orde brengt en het bestuur betrekt, is voorbereid wanneer de wet in werking treedt.
Onderschat daarbij de doorlooptijd niet. Het inrichten van een gestructureerd ICT-risicobeheer, het formaliseren van een incidentmeldproces en het aantoonbaar scholen van het bestuur zijn geen zaken van een paar weken. Organisaties die wachten tot de wet daadwerkelijk in werking treedt, komen in de knel omdat de zorgplicht per direct geldt zodra de wet van kracht is — er is geen ruime ingroeiperiode voor de kernverplichtingen. Bovendien werken de eisen door in de keten: klanten en opdrachtgevers zullen om aantoonbare beveiliging vragen nog voordat de wet formeel geldt. De praktische conclusie is dan ook eenvoudig: behandel de vertraging niet als reden om te wachten, maar als een kans om zonder toezichtsdruk een solide basis te leggen die straks moeiteloos aan de Cyberbeveiligingswet voldoet.
Zie ook: de Wet bescherming klokkenluiders.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial