De Cyberbeveiligingswet is bijna wet — Wat u nu moet weten

Het Nederlandse parlement heeft de Cyberbeveiligingswet (Cbw) op 15 april 2026 aangenomen. Na het missen van de oorspronkelijke EU-omzettingsdeadline met 18 maanden heeft Nederland nu zijn NIS2-implementatiewet — en handhaving volgt binnen weken na inwerkingtreding.

Als uw organisatie actief is in Nederland, of als u levert aan Nederlandse organisaties in gereguleerde sectoren, is dit wat u moet weten.

Waarom Nederland te laat was

De EU vereiste dat alle lidstaten NIS2 uiterlijk op 17 oktober 2024 in nationale wetgeving hadden omgezet. Nederland haalde die deadline niet. Het wetsvoorstel voor de Cyberbeveiligingswet werd op 2 juli 2024 ingediend bij de Tweede Kamer, maar het wetgevingsproces liep vertraging op.

De Tweede Kamer nam de wet aan op 15 april 2026. Goedkeuring door de Eerste Kamer en publicatie in de Staatscourant zijn de laatste stappen vóór inwerkingtreding — verwacht in het tweede kwartaal van 2026.

Tijdens de vertraging konden organisaties zich vrijwillig registreren bij het NCSC vanaf 17 oktober 2024. De meeste deden dat niet.

NIS2 Implementatiestatus per Land (2025–2026)
✅Volledig van kracht
🇧🇪België
🇭🇷Kroatië
🇭🇺Hongarije
🇱🇹Litouwen
🇱🇻Letland
🇮🇹Italië
6 landen
📋Aangenomen — eind 2025
🇩🇪Duitsland
🇨🇿Tsjechië
🇫🇮Finland
3 landen
⏳In uitvoering — verwacht 2026
🇳🇱Nederland
🇫🇷Frankrijk
🇪🇸Spanje
🇵🇱Polen
🇦🇹Oostenrijk
🇸🇪Zweden
🇮🇪Ierland
7 landen

NIS2 Implementatiestatus per Land (2025–2026)
✅Volledig van kracht
🇧🇪België
🇭🇷Kroatië
🇭🇺Hongarije
🇱🇹Litouwen
🇱🇻Letland
🇮🇹Italië
6 landen
📋Aangenomen — eind 2025
🇩🇪Duitsland
🇨🇿Tsjechië
🇫🇮Finland
3 landen
⏳In uitvoering — verwacht 2026
🇳🇱Nederland
🇫🇷Frankrijk
🇪🇸Spanje
🇵🇱Polen
🇦🇹Oostenrijk
🇸🇪Zweden
🇮🇪Ierland
7 landen

Wat de Cyberbeveiligingswet vereist

De Cbw is een directe omzetting van de NIS2-richtlijn. Er worden geen significante aanvullende Nederlandse maatregelen aan toegevoegd — het implementeert het EU-kader zoals geschreven.

Dat betekent dat dezelfde verplichtingen die gelden in Duitsland, België en Portugal nu ook gelden in Nederland:

Toepassingsgebied. Organisaties met meer dan 50 medewerkers of meer dan €10 miljoen jaaromzet die actief zijn in een van de 18 NIS2-sectoren vallen onder de wet. Dit omvat energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur, ICT-dienstverlening, overheid en meer.

Registratie. In scope zijnde organisaties moeten zich registreren bij hun aangewezen nationale autoriteit. In Nederland is dat de RDI (Rijksinspectie Digitale Infrastructuur) voor de meeste sectoren, met het NCSC in een coördinerende rol. Registratiedeadlines worden vastgesteld zodra de wet in werking treedt.

Artikel 21-beveiligingsmaatregelen. Elke in scope zijnde organisatie moet de tien cybersecurityrisicobeheermaatregelen implementeren: risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, ketenbeveiliging, netwerkbeveiliging, kwetsbaarheidsbeheer, cryptografiebeleid, toegangscontrole, MFA en cybersecuritytraining.

Incidentmelding. Significante incidenten moeten binnen 24 uur (vroegtijdige waarschuwing), 72 uur (volledige melding) en één maand (eindrapport) worden gemeld bij het NCSC.

Bestuurdersaansprakelijkheid. Bestuurders zijn persoonlijk verantwoordelijk voor het goedkeuren en toezicht houden op cybersecuritymaatregelen. Artikel 20 van NIS2 — en het Nederlandse equivalent — maakt dit niet-delegeerbaar.

Wie houdt toezicht op wie

Nederland heeft gekozen voor een toezichtsmodel met meerdere autoriteiten. De RDI is de primaire nationale bevoegde autoriteit, maar sectorspecifieke toezichthouders spelen ook een rol:

DNB (De Nederlandsche Bank) voor bankwezen en financiële marktinfrastructuur
ACM (Autoriteit Consument & Markt) voor digitale infrastructuur en ICT-dienstverleners
RDI voor de meeste andere sectoren

Dit is in de praktijk relevant: uw toezichthouder bepaalt hoe registratie eruitziet, hoe audits eruitzien en wie bindende aanwijzingen of boetes oplegt.

Wat boetes betekenen

De Cbw volgt het NIS2-sanctiekader:

Essentiële entiteiten: tot €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
Belangrijke entiteiten: tot €7 miljoen of 1,4% van de wereldwijde jaaromzet

Naast financiële sancties kunnen toezichthouders bindende herstelbevelen uitvaardigen, tijdelijke operationele beperkingen opleggen en — in ernstige gevallen — tijdelijke bestuursverboden aanvragen. Dit zijn geen hypothetische sancties. De BSI in Duitsland en de CCB in België hebben hun equivalente bevoegdheden al ingezet.

Wat Nederlandse organisaties nu moeten doen

De wet is aangenomen. Inwerkingtreding is weken weg. Dit is wat er nu toe doet.

NIS2-sanctie-escalatie — Voorbij de boete
!
Aanleiding
Non-compliance gedetecteerd of incident treedt op
Een toezichthouder identificeert een compliance-hiaat of een organisatie voldoet niet aan de NIS2-vereisten
Toezichthouders kunnen opleggen▼
Niet-financiële sancties
1
Nalevingsbevelen met bindende deadlines
2
Verplichte security-audits op eigen kosten
3
Publieke bekendmaking van overtredingen
4
Bindende instructies over specifieke beveiligingsmaatregelen
Escaleert naar▼
Operationele en persoonlijke gevolgen
1
Opschorting van certificeringen of vergunningen
2
Tijdelijk verbod op bestuursfuncties voor personen
3
Publieke benoeming van verantwoordelijke natuurlijke personen
Aanleiding
Niet-financieel
Operationeel / persoonlijk

1. Bepaal of u in scope valt. Controleer uw personeelsbestand, jaaromzet en sectorclassificatie. Als u meer dan 50 medewerkers of €10 miljoen omzet heeft en actief bent in een gedekte sector, valt u vrijwel zeker onder de wet.

2. Bereid u voor op registratie. De RDI opent zijn registratieportaal zodra de Cbw in werking treedt. Zorg dat uw organisatiegegevens, sectorclassificatie en contactpersonen klaarstaan. Wacht niet op de opening van het portaal.

3. Start uw Artikel 21-beoordeling. Registratie is het administratieve startpunt. Het echte werk is het implementeren van de tien beveiligingsmaatregelen. Een gestructureerde gap-analyse laat precies zien waar u staat.

4. Zet het op de bestuursagenda. NIS2 is geen IT-project. De Cbw maakt bestuurders direct aansprakelijk. Als uw bestuur NIS2-compliance nog niet heeft besproken, kan dat gesprek niet wachten.

5. Bekijk uw ketenverplichtingen. Als NIS2-entiteit bent u verplicht cybersecurityrisico's in uw toeleveringsketen te beoordelen en te beheren.

Het voordeel van handelen vóór handhaving begint

De ervaring in Duitsland is veelzeggend. Van de circa 29.500 in scope zijnde organisaties misten ongeveer 18.000 de BSI-registratiedeadline. Ze hebben nu te maken met een toezichthouder die bevoegd is te auditen, boetes op te leggen en bestuurders persoonlijk aansprakelijk te stellen — zonder enige voorbereiding.

Nederland is nog niet op dat punt. Inwerkingtreding is nog weken weg. Dat gat — hoe klein ook — is nog steeds een voordeel voor organisaties die het benutten.

Een gestructureerde readiness scan kost minuten en laat precies zien waar uw compliance-hiaten liggen. Start de gratis NIS2-readiness scan voordat de registratiedeadline aankomt.

De Cbw is aangenomen — wat volgt

De Tweede Kamer heeft gestemd. De Eerste Kamer en de Staatscourant zijn op dit punt formaliteiten. De RDI bereidt zijn toezichtsinfrastructuur voor. Het NCSC staat klaar voor registraties.

Voor de grote meerderheid van Nederlandse organisaties die nog niet begonnen zijn, is de vraag niet meer of NIS2 van toepassing is. De vraag is hoe ver ze al achterliggen.