Cyberbeveiligingswet naar Eerste Kamer - dit moet je nú doen
De Cyberbeveiligingswet (Cbw) is gisteren doorgestuurd naar de Eerste Kamer. De stemming staat gepland voor 6 of 7 juli. Als de EK akkoord gaat, en daar ziet het naar uit, treedt de wet op 15 augustus 2026 in werking.
Dat is over zes weken.
Voor zo'n 8.000 Nederlandse organisaties betekent dit een fundamentele verschuiving in hoe ze met digitale weerbaarheid omgaan. Geen vrijblijvendheid meer. Geen "we doen wel aan security". De Cbw maakt cybersecurity een wettelijke verplichting met handhaving, boetes, en bestuurdersaansprakelijkheid.
Wat verandert er concreet?
De Cbw is de Nederlandse implementatie van de Europese NIS2-richtlijn. Vijf kernverplichtingen raken je direct:
1. Registratie bij het NCSC. Je moet je organisatie registreren als je onder de wet valt. Het NCSC wordt het centrale meldpunt voor incidenten en kwetsbaarheden.
2. Wettelijke zorgplicht. Je bent verplicht om passende en evenredige technische, operationele en organisatorische maatregelen te nemen om de beveiliging van je netwerk- en informatiesystemen te waarborgen. "We hebben een firewall" is niet genoeg.
3. Meldplicht voor significante incidenten. Bij een significant incident moet je binnen 24 uur een eerste melding doen bij het NCSC, gevolgd door een volledige rapportage binnen 72 uur. Significant betekent: het incident heeft ernstige operationele verstoring veroorzaakt, of raakt andere organisaties.
4. Bestuurders met aantoonbare cybersecurity-kennis. Het bestuur is verantwoordelijk voor cybersecurity. Ze moeten kunnen aantonen dat ze voldoende kennis hebben, en dat ze toezicht houden op de implementatie. "De CISO doet dat wel" is geen verweer meer.
5. Supply chain risicobeheer. Je moet de cybersecurity-risico's van je leveranciers en hun toeleveranciers in kaart brengen en beheersen. Elke schakel in de keten telt.
Wie valt onder de Cbw?
Dit is de crux: je moet zelf toetsen of je onder de wet valt. De wet dekt organisaties in sectoren als energie, transport, drinkwater, digitale infrastructuur, ICT-dienstverlening, overheid, gezondheidszorg, en financiële dienstverlening. Maar ook toeleveranciers aan deze sectoren kunnen onder de reikwijdte vallen.
De NCTV adviseert: "Begin bijvoorbeeld met een eerste risicoanalyse en breng in kaart welke maatregelen jouw organisatie al heeft getroffen om cyberrisico's te beheersen. Bespreek de uitkomsten met het bestuur."
De tijdlijn is krap
De Tweede Kamer ging in april al akkoord. De Eerste Kamer vergadert op 6 of 7 juli over het wetsvoorstel. Bij aanname volgt publicatie in het Staatsblad, waarna de wet op 15 augustus in werking treedt.
Zes weken. Midden in de zomervakantie.
De reacties op Security.nl vatten het sentiment goed samen: "De overheid is anderhalf jaar te laat met de invoering en nu forceren ze om deze in te laten gaan midden in de zomervakanties." Een andere security officer reageerde: "Wij hebben de NIS2-richtlijn gevolgd en het wetsvoorstel al volledig geïmplementeerd. Wanneer je als organisatie ISO-27001 compliant bent, is het slechts een paar dagen werk om de GAP-analyse te doen."
Die laatste opmerking is belangrijk. Als je ISO 27001 hebt, is de Cbw grotendeels gedekt. Maar de meeste van die 8.000 organisaties hebben geen ISO 27001.
BIO2: de overheidsvariant
Voor overheidsorganisaties is de Cbw geen opzichzelfstaande verplichting. De Baseline Informatiebeveiliging Overheid (BIO2) is het implementatiekader. BIO2 B.3.3 (leveranciersmanagement) en B.3.1 (risicomanagement) sluiten direct aan op de Cbw-eisen.
Wat betekent dit concreet? Als overheidsorganisatie moet je:
- Je BIO2-compliance aantoonbaar maken (niet alleen zeggen dat je compliant bent)
- Je leveranciersmanagement uitbreiden naar de hele toeleveranciersketen
- Je bestuurders aantoonbaar scholen in cybersecurity
De boetes zijn reëel
NIS2 hanteert twee boetecategorieën:
- Essentiële entiteiten: maximaal €10 miljoen of 2% van de wereldwijde jaaromzet
- Belangrijke entiteiten: maximaal €7 miljoen of 1,4% van de wereldwijde jaaromzet
Daarnaast is er bestuurdersaansprakelijkheid. Het bestuur kan persoonlijk aansprakelijk worden gesteld voor nalatigheid bij cybersecurity. Dat is nieuw in Nederland.
Wat moet je deze week doen?
-
Toets of je onder de Cbw valt. Gebruik de NIS2-zelfevaluatie van het Digital Trust Center. Dit is geen vrijblijvende oefening, het is de eerste stap in je compliance-traject.
-
Start je risicoanalyse. Breng in kaart welke maatregelen je al hebt en waar de gaten zitten. Gebruik BIO2 als raamwerk als je een overheidsorganisatie bent.
-
Informeer je bestuur. Het bestuur moet weten dat ze persoonlijk aansprakelijk kunnen zijn. Dit is geen IT-probleem, het is een bestuursprobleem.
-
Bereid je registratie voor. Verzamel de gegevens die je nodig hebt voor NCSC-registratie: organisatiegegevens, sectorclassificatie, contactpersonen, en een overzicht van je netwerk- en informatiesystemen.
-
Start je leveranciersinventarisatie. Welke leveranciers heb je? Welke toegang hebben zij tot jouw systemen? Wie zijn hún leveranciers? Dit is de meest onderschatte verplichting van de Cbw.
De echte uitdaging: supply chain
De supply chain-verplichting is de grootste uitdaging voor de meeste organisaties. Je moet niet alleen je eigen security op orde hebben, maar ook die van je leveranciers, en hun leveranciers. Dat is een keten van vertrouwen die je moet kunnen aantonen.
Een recent paper van TU Delft-onderzoekers (arXiv:2606.26866) introduceert het "Fortress and Gatekeeper" framework voor transitive trust in third-party risk. De kern: vertrouw niet op organisatorische grenzen, maar op data-flows en trust-relaties. Dat is precies wat de Cbw van je vraagt.
Geen paniek, wel urgentie
De Cbw is geen onmogelijke opgave. Als je ISO 27001 hebt, ben je grotendeels klaar. Als je BIO2 volgt als overheid, heb je een voorsprong. Maar voor de meeste organisaties is zes weken krap.
Begin vandaag. Niet volgende week. Niet na de vakantie. De Eerste Kamer stemt volgende week, en dan tikt de klok.
Bronnen:
- Security.nl: Cyberbeveiligingswet naar Eerste Kamer, kan op 15 augustus ingaan (1 juli 2026)
- NCSC: Cyberbeveiligingswet
- NCTV: NIS2-richtlijn en Cyberbeveiligingswet
- Digital Trust Center: NIS2-zelfevaluatie
- arXiv:2606.26866, Fortress and Gatekeeper: Transitive Trust in Third-Party Cybersecurity Risk Governance
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.