Compliance

Wbni: de Wet beveiliging netwerk- en informatiesystemen

Wbni uitgelegd: wie valt onder de Wet beveiliging netwerk- en informatiesystemen, de zorgplicht en meldplicht bij het NCSC en de overgang naar NIS2.

De Wbni — de Wet beveiliging netwerk- en informatiesystemen — is de huidige Nederlandse cybersecuritywet voor vitale aanbieders en digitale dienstverleners. Ze vormt de omzetting van de eerste Europese NIS-richtlijn (2016) en verplicht organisaties die onder haar bereik vallen tot een zorgplicht (passende beveiligingsmaatregelen) en een meldplicht voor ernstige incidenten. Belangrijk voor 2026: de Wbni wordt vervangen door de Cyberbeveiligingswet, die de nieuwe NIS2-richtlijn omzet en de reikwijdte fors verbreedt. Deze gids legt uit wie nu onder de Wbni valt en hoe de overgang eruitziet.

1. Wat regelt de Wbni?

De Wbni stelt eisen aan de continuïteit en beveiliging van netwerk- en informatiesystemen bij organisaties die maatschappelijk cruciaal zijn. Twee kernverplichtingen:

  • Zorgplicht — passende technische en organisatorische maatregelen nemen om risico’s voor de netwerk- en informatiesystemen te beheersen en incidenten te voorkomen.
  • Meldplicht — ernstige incidenten melden bij de bevoegde autoriteit en/of het Computer Security Incident Response Team.

De Wbni is nadrukkelijk een cyberbeveiligingswet, geen privacywet. Ze staat naast de AVG: een incident kan tegelijk een meldplichtig beveiligingsincident onder de Wbni én een datalek onder artikel 33 AVG zijn, met twee verschillende meldroutes.

2. Wie valt onder de Wbni?

De Wbni richt zich op twee groepen:

  • Aanbieders van essentiële diensten (AED’s) — organisaties in vitale sectoren zoals energie, drinkwater, transport, bankwezen en digitale infrastructuur, aangewezen omdat uitval maatschappelijk ontwrichtend is.
  • Digitaledienstverleners (DSP’s) — aanbieders van onlinemarktplaatsen, onlinezoekmachines en cloudcomputingdiensten boven een bepaalde omvang.

De kring is dus relatief beperkt: de Wbni raakt vooral de echt vitale infrastructuur. Dat verandert onder NIS2 ingrijpend, waarover meer in sectie 5.

3. Toezicht: verdeeld per sector

Het toezicht op de Wbni is verdeeld over meerdere autoriteiten, afhankelijk van de sector:

Sector Toezichthouder
Digitale infrastructuur, DSP’s Rijksinspectie Digitale Infrastructuur (RDI)
Bankwezen en financiële markten De Nederlandsche Bank (DNB)
Transport Inspectie Leefomgeving en Transport (ILT)
Energie, overige vitale sectoren Sectorspecifieke toezichthouders

Het Nationaal Cyber Security Centrum (NCSC) fungeert als centraal CSIRT en aanspreekpunt voor incidentmeldingen en bijstand bij vitale aanbieders. Deze verdeelde structuur — waarbij één organisatie met meerdere toezichthouders te maken kan hebben — blijft in grote lijnen bestaan onder de Cyberbeveiligingswet.

4. De meldplicht in de praktijk

Onder de Wbni moet een AED een incident dat de continuïteit van de essentiële dienst raakt, onverwijld melden. De melding gaat naar de bevoegde toezichthouder en naar het NCSC. Het doel is tweeledig: de toezichthouder kan handhaven, en het NCSC kan bijstand verlenen en andere partijen waarschuwen bij een breder dreigingsbeeld.

De beveiligingsmaatregelen die onder de zorgplicht vallen, overlappen sterk met de eisen van artikel 32 AVG: risicoanalyse, toegangsbeheer, incidentafhandeling en continuïteitsbeheer. Een organisatie die haar informatiebeveiliging op orde heeft voor de AVG, heeft een flinke voorsprong op de Wbni-zorgplicht — en straks op NIS2.

Toch is er een belangrijk verschil in oogmerk. De AVG beschermt de betrokkene wiens persoonsgegevens worden verwerkt; de Wbni beschermt de continuïteit van de dienst zelf. Een verstoring die geen enkel persoonsgegeven raakt — bijvoorbeeld een storing in een besturingssysteem van een energienetwerk — kan volledig buiten de AVG vallen maar toch een ernstig Wbni-incident zijn. Omgekeerd is een datalek zonder gevolgen voor de dienstverlening wél een AVG-kwestie maar geen Wbni-melding. Dit verschil in beschermingsdoel verklaart waarom een organisatie beide regimes apart moet inrichten, ook al overlappen de onderliggende beveiligingsmaatregelen grotendeels. Wie alleen naar de AVG kijkt, mist de continuïteits- en ketenrisico’s die de Wbni en straks NIS2 centraal stellen.

5. Van Wbni naar Cyberbeveiligingswet

De Wbni is gebaseerd op de oude NIS-richtlijn. De nieuwe NIS2-richtlijn (EUR-Lex, CELEX 32022L2555) vervangt die en wordt in Nederland omgezet in de Cyberbeveiligingswet. De belangrijkste veranderingen:

  • Veel meer organisaties vallen onder het bereik — niet alleen vitale aanbieders, maar hele sectoren (o.a. afvalbeheer, levensmiddelen, digitale aanbieders, onderzoek, delen van de zorg en overheid).
  • Zwaardere zorgplicht met een gestandaardiseerd pakket maatregelen.
  • Strakkere meldtermijnen (een eerste melding binnen 24 uur).
  • Registratieplicht en bestuurdersaansprakelijkheid.

Nederland heeft de omzettingsdeadline van oktober 2024 niet gehaald; de Cyberbeveiligingswet is vertraagd. Tot de nieuwe wet in werking treedt, blijft de Wbni gelden voor de huidige doelgroep. De actuele stand van de omzetting en de nieuwe verplichtingen behandel ik in de gidsen over de NIS2-richtlijn en de Nederlandse omzetting en de Cyberbeveiligingswet.

6. Wat u nu al kunt doen

Ook als u vandaag nog niet onder de Wbni valt, is de kans groot dat u straks onder de Cyberbeveiligingswet valt. Verstandige stappen nu:

  1. Bepaal of u onder de bredere NIS2-reikwijdte gaat vallen.
  2. Breng uw informatiebeveiliging op AVG art. 32-niveau; dat is de gemeenschappelijke basis.
  3. Richt een incidentmeld- en escalatieproces in dat zowel een beveiligingsincident als een AVG-datalek kan afhandelen.
  4. Documenteer uw maatregelen — onder NIS2 telt aantoonbaarheid zwaar.

Voor organisaties die zowel AVG- als NIS2-verplichtingen dragen, loont het om beide in één beheeromgeving te voeren; een platform zoals Legiscope of gespecialiseerde NIS2-software voor de Nederlandse markt helpt om beveiligingsmaatregelen, incidenten en leveranciersafspraken gecombineerd bij te houden.

FAQ

Wat is het verschil tussen de Wbni en NIS2?

De Wbni zet de oude NIS-richtlijn (2016) om en geldt voor een beperkte groep vitale aanbieders en digitale dienstverleners. NIS2 is de opvolger die veel meer sectoren onder het bereik brengt, met een zwaardere zorgplicht, strakkere meldtermijnen en bestuurdersaansprakelijkheid. In Nederland wordt NIS2 omgezet via de Cyberbeveiligingswet, die de Wbni vervangt.

Wie houdt toezicht op de Wbni?

Het toezicht is verdeeld per sector: de RDI voor digitale infrastructuur en digitale dienstverleners, DNB voor de financiële sector, de ILT voor transport, en sectorspecifieke toezichthouders voor de rest. Het NCSC is het centrale CSIRT en aanspreekpunt voor incidentmeldingen en bijstand.

Val ik als mkb-bedrijf onder de Wbni?

Onder de huidige Wbni waarschijnlijk niet — die richt zich op vitale aanbieders en grote digitale dienstverleners. Maar onder de aankomende Cyberbeveiligingswet (NIS2) worden veel meer organisaties meegenomen, ook middelgrote bedrijven in nieuw aangewezen sectoren. Bepaal daarom nu al of u onder de bredere NIS2-reikwijdte valt.

Moet ik een incident zowel bij het NCSC als bij de AP melden?

Mogelijk wel. Een cyberincident kan tegelijk een meldplichtig beveiligingsincident (Wbni/NIS2, melding bij het NCSC of de toezichthouder) en een datalek (AVG art. 33, melding bij de AP) zijn. Dat zijn twee aparte regimes met eigen termijnen. Richt uw incidentproces zo in dat beide routes worden bediend.

Conclusie

De Wbni is de huidige Nederlandse cybersecuritywet voor vitale aanbieders: zorgplicht plus meldplicht, met verdeeld toezicht en het NCSC als centraal aanspreekpunt. Ze is echter een aflopend regime — de Cyberbeveiligingswet zet NIS2 om en verbreedt het bereik drastisch. Wie nu al zijn beveiliging op AVG art. 32-niveau brengt en een gecombineerd incidentproces inricht, is voorbereid op zowel de Wbni van vandaag als de NIS2-verplichtingen van morgen.

Voor bestuurders en compliance-verantwoordelijken is de belangrijkste boodschap dat de overgang van Wbni naar Cyberbeveiligingswet geen breuk is maar een uitbreiding. De filosofie blijft dezelfde — zorgplicht plus meldplicht — maar de kring van verplichte organisaties groeit fors en de eisen worden concreter en zwaarder. Organisaties die vandaag buiten de Wbni vallen maar in een van de nieuwe NIS2-sectoren opereren, doen er verstandig aan nu al te inventariseren welke systemen kritiek zijn, welke leveranciers een risico vormen en hoe een incident wordt gedetecteerd en gemeld. Die inventarisatie kost tijd, en het is beter die tijd te nemen voordat de wet in werking treedt dan onder toezichtsdruk achteraf. Beschouw de huidige overgangsperiode dus niet als uitstel, maar als voorbereidingsruimte.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →