Home / Cyberbeveiligingswet

De Cyberbeveiligingswet (CBW)

De Nederlandse vertaling van de Europese NIS2-richtlijn. Wetsvoorstel 36764 ligt bij de Tweede Kamer. De EU-deadline is al verstreken. Dit is wat je moet weten.

Wat is de Cyberbeveiligingswet?

De Cyberbeveiligingswet (CBW) is de Nederlandse implementatie van de Europese NIS2-richtlijn (EU 2022/2555). Deze richtlijn verplicht EU-lidstaten om strengere cybersecurityeisen op te leggen aan organisaties in vitale en belangrijke sectoren.

De CBW vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en breidt het toepassingsgebied aanzienlijk uit. Waar de Wbni zich richtte op een beperkt aantal vitale aanbieders, geldt de Cyberbeveiligingswet voor duizenden Nederlandse organisaties in 18 sectoren.

Wetsvoorstel 36764 Ingediend op 2 juni 2025 bij de Tweede Kamer door het Ministerie van Justitie en Veiligheid. De internetconsultatie (mei-juli 2024) leverde 112 reacties op van bedrijven, brancheverenigingen en overheidsinstellingen.

Parlementaire tijdlijn

Jan 2023
NIS2-richtlijn van krachtEU 2022/2555 treedt in werking. Lidstaten hebben tot 17 oktober 2024 om de richtlijn in nationaal recht om te zetten.
Mei 2024
Internetconsultatie gestartHet conceptwetsvoorstel wordt openbaar gemaakt voor consultatie. 112 reacties ontvangen tot 1 juli 2024.
Okt 2024
EU-deadline verstrekenNederland haalt de omzettingsdeadline van 17 oktober 2024 niet. De Europese Commissie kan een inbreukprocedure starten.
Apr 2025
Hoger onderwijs toegevoegd aan CBWOp 29 april 2025 besluit minister Bruins (OCW) per kamerbrief dat bekostigde hbo- en wo-instellingen onder de CBW vallen. Aanleiding: toenemende cyberaanvallen op universiteiten (ransomware, bedrijfsspionage, statelijke actoren). MBO-instellingen vallen er niet onder.
Jun 2025
Wetsvoorstel ingediend (36764)De Cyberbeveiligingswet wordt formeel ingediend bij de Tweede Kamer. In september volgt het commissierapport.
Mrt 2026
Commissiebehandeling en amendementenOp 23 maart debatteert de Kamercommissie Digitalisering. Op 31 maart worden amendementen en moties ingediend, waaronder moties van Kathmann (PvdA-GL) over zorgplicht bij datalekken en toezichtbevoegdheden. Op 7 april volgen aanvullende stemmingen.
Apr 2026
Tweede Kamer neemt CBW en Wwke aanOp 15 april 2026 stemt de Tweede Kamer in met het wetsvoorstel Cyberbeveiligingswet (36764) en het wetsvoorstel Wet weerbaarheid kritieke entiteiten. Beide wetten liggen nu bij de Eerste Kamer. Meerdere amendementen en moties over uitvoerbaarheid en regeldruk voor bedrijven zijn behandeld.
Q2 2026
Verwachte inwerkingtredingDe NCTV geeft aan te streven naar inwerkingtreding in het tweede kwartaal van 2026, afhankelijk van de planning van de Eerste Kamer. Onderliggende amvb's en ministeriele regelingen worden parallel voorbereid.
Update 15 april 2026: Tweede Kamer neemt wetten aan De Tweede Kamer heeft op 15 april 2026 ingestemd met zowel de Cyberbeveiligingswet als de Wet weerbaarheid kritieke entiteiten. Beide wetsvoorstellen liggen nu bij de Eerste Kamer. De NCTV stuurt aan op inwerkingtreding in Q2 2026. Organisaties die nog moeten starten met NIS2-implementatie hebben beperkte tijd: de boetes gaan gelden zodra de wet van kracht is.

Verplichtingen onder de CBW

De Cyberbeveiligingswet legt vier kernverplichtingen op aan organisaties die als essentiele of belangrijke entiteit worden aangemerkt:

1. Zorgplicht (risicobeheersmaatregelen)

Organisaties moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen om cybersecurityrisico's te beheersen. Dit omvat minimaal:

  • Beleid inzake risicoanalyse en beveiliging van informatiesystemen
  • Incidentenbehandeling (detectie, respons, herstel)
  • Bedrijfscontinuiteit, back-upbeheer en crisisbeheer
  • Beveiliging van de toeleveringsketen
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
  • Beleid en procedures voor het beoordelen van de effectiviteit van maatregelen
  • Basispraktijken voor cyberhygiene en opleiding
  • Beleid inzake het gebruik van cryptografie en versleuteling
  • Beveiligingsaspecten rond personeel, toegangsbeleid en activabeheer
  • Gebruik van multifactorauthenticatie en beveiligde communicatiesystemen

2. Meldplicht

Significante incidenten moeten in drie fasen worden gemeld bij het CSIRT (Computer Security Incident Response Team):

  • Binnen 24 uur: een vroegtijdige waarschuwing met een eerste indicatie of het incident vermoedelijk door onrechtmatig of kwaadwillig handelen is veroorzaakt
  • Binnen 72 uur: een incidentmelding met een eerste beoordeling van de ernst en impact, inclusief indicatoren van aantasting (IoC's)
  • Binnen 1 maand: een eindverslag met een gedetailleerde beschrijving van het incident, de oorzaak, de genomen maatregelen en grensoverschrijdende impact

3. Registratieplicht

Essentiele en belangrijke entiteiten moeten zich registreren bij de bevoegde autoriteit. Het NCSC (Nationaal Cyber Security Centrum) wordt de primaire toezichthouder voor essentiele entiteiten.

4. Bestuurdersaansprakelijkheid

Bestuurders zijn verplicht om de risicobeheersmaatregelen goed te keuren en toezicht te houden op de uitvoering ervan. Bij nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld. De wet verplicht bestuurders ook om cybersecurityopleidingen te volgen.

Boetes en handhaving

De Cyberbeveiligingswet introduceert een streng handhavingsregime met gedifferentieerde boetes:

Type entiteitMaximale boeteAlternatief
Essentiele entiteit10 miljoen euroof 2% wereldwijde jaaromzet
Belangrijke entiteit7 miljoen euroof 1,4% wereldwijde jaaromzet

Naast boetes kan de toezichthouder bindende aanwijzingen geven, audits opleggen en in uiterste gevallen bestuurders tijdelijk schorsen van hun functie.

Sectoren onder de CBW

De Cyberbeveiligingswet geldt voor organisaties in 18 sectoren, verdeeld in essentiele (Bijlage I) en belangrijke (Bijlage II) sectoren:

Essentiele sectoren (Bijlage I - 11 sectoren)

Energie
Vervoer
Bankwezen
Financiele marktinfrastructuur
Gezondheidszorg
Drinkwater
Afvalwater
Digitale infrastructuur
Beheer van ICT-diensten (B2B)
Overheid
Ruimtevaart

Belangrijke sectoren (Bijlage II - 7 sectoren)

Post- en koeriersdiensten
Afvalbeheer
Chemie
Levensmiddelen
Vervaardiging/maakindustrie
Digitale aanbieders
Onderzoek

Hoger onderwijs (nationale toevoeging)

De NIS2-richtlijn biedt EU-lidstaten de keuze om het hoger onderwijs wel of niet onder de wet te laten vallen. Nederland heeft expliciet gekozen om dit wel te doen:

Kamerbrief 29 april 2025 - minister Bruins (OCW) Minister Eppo Bruins (Onderwijs, Cultuur en Wetenschap) heeft besloten dat bekostigde hbo- en wo-instellingen onder de Cyberbeveiligingswet vallen. Aanleiding is de sterke toename van cyberaanvallen op universiteiten: ransomware-incidenten, bedrijfsspionage rond onderzoeksresultaten en statelijke actoren die strategische onderzoekspartnerschappen targeten. MBO-instellingen zijn (vooralsnog) niet opgenomen.
Universiteiten (wo)
Hogescholen (hbo)

Universiteiten van Nederland (UNL) en de Vereniging Hogescholen hebben bezwaar aangetekend tegen het besluit, met name vanwege het ontbreken van financiele compensatie en de relatief korte voorbereidingstijd. De sector pleit voor minimaal vier jaar implementatietijd, voldoende middelen en sectorspecifieke beveiligingsnormen.

Drempelwaarden De CBW geldt in principe voor middelgrote en grote ondernemingen: 50+ medewerkers of 10+ miljoen euro omzet. Voor bepaalde sectoren (DNS-diensten, TLD-registers, aanbieders van elektronische communicatie) geldt geen drempel en vallen ook kleinere organisaties eronder.

Verschil met de Wbni

De Cyberbeveiligingswet is geen opfrisbeurt van de Wbni. Het is een fundamenteel andere wet met een breder bereik:

AspectWbni (huidig)Cyberbeveiligingswet (CBW)
ScopeBeperkt aantal vitale aanbieders18 sectoren, duizenden organisaties
DrempelIndividueel aangewezenObjectieve criteria (omvang, sector)
MeldplichtSignificante incidenten melden24/72 uur/1 maand gefaseerde melding
BoetesBeperktTot 10 miljoen of 2% omzet
BestuurdersaansprakelijkheidNiet explicietWettelijk verankerd
KetenverantwoordelijkheidNiet verplichtVerplichte beoordeling leveranciers
ToezichtReactiefProactief, audits, bindende aanwijzingen

Het CyFun-framework (CCB)

Voor de praktische invulling van NIS2-compliance wordt in de Benelux het CyFun-framework van het Belgische Centrum voor Cybersecurity (CCB) gebruikt. Dit framework biedt een gestructureerde aanpak om te toetsen of een organisatie voldoet aan de eisen van de NIS2-richtlijn.

CyFun onderscheidt vier maturiteitsniveaus (Basic, Important, Essential, en Top) en is specifiek ontworpen om NIS2-compliance meetbaar te maken. Wij gebruiken dit framework als basis voor onze quickscans en compliance-trajecten.

Wet weerbaarheid kritieke entiteiten (Wwke)

Parallel aan de Cyberbeveiligingswet heeft de Tweede Kamer ook de Wet weerbaarheid kritieke entiteiten (Wwke) behandeld. Deze wet implementeert de Europese CER-richtlijn (EU 2022/2557) en richt zich op de fysieke weerbaarheid van kritieke entiteiten.

Op 19 december 2025 verzocht de Tweede Kamer om gezamenlijke behandeling van de CBW en de Wwke. Op 15 april 2026 zijn beide wetsvoorstellen gelijktijdig aangenomen. Voor organisaties die onder beide wetten vallen, betekent dit dat zowel digitale als fysieke weerbaarheid aantoonbaar op orde moet zijn.

Wat moet je nu doen?

De Cyberbeveiligingswet is nog niet aangenomen, maar dat is geen reden om af te wachten. De NIS2-richtlijn stelt de inhoudelijke eisen al vast. Organisaties die nu starten, hoeven straks niet onder tijdsdruk te implementeren.

  1. Bepaal of je eronder valt - Check je sector en omvang tegen de drempelwaarden. Onze NIS2 checklist helpt hierbij.
  2. Voer een quickscan uit - Breng in kaart waar je staat ten opzichte van de CBW-eisen. In 2 dagen heb je een helder beeld.
  3. Stel een plan op - Prioriteer de gaps en maak een realistisch implementatieplan.
  4. Implementeer gefaseerd - Begin met de hoogste risico's: incidentrespons, toegangsbeheer, leveranciersbeoordeling.
  5. Borg governance - Zorg dat bestuurders betrokken zijn en hun verantwoordelijkheid kennen.

Weet waar je staat voor de CBW in werking treedt

Onze NIS2 quickscan toetst in 2 dagen of jouw organisatie voldoet aan de eisen van de Cyberbeveiligingswet. Concreet rapport, geen verplichtingen.

Gratis orienterend gesprek (30 min)

Veelgestelde vragen over de CBW

Is de Cyberbeveiligingswet al van kracht?
Nog niet. Op 15 april 2026 heeft de Tweede Kamer het wetsvoorstel (36764) aangenomen, samen met de Wet weerbaarheid kritieke entiteiten. De wet ligt nu bij de Eerste Kamer. Inwerkingtreding wordt verwacht in Q2 2026, afhankelijk van de planning van de Eerste Kamer. De inhoudelijke eisen staan echter al vast in de NIS2-richtlijn.
Wat gebeurt er als de CBW later ingaat dan gepland?
De EU-deadline van 17 oktober 2024 is al verstreken. De Europese Commissie kan een inbreukprocedure starten tegen Nederland. Ongeacht de Nederlandse implementatie geldt de NIS2-richtlijn als uitgangspunt voor de verplichtingen.
Valt mijn organisatie onder de CBW?
De CBW geldt voor organisaties in 18 sectoren met 50+ medewerkers of 10+ miljoen euro omzet. Bepaalde typen organisaties (DNS-diensten, TLD-registers, telecomaanbieders) vallen er ongeacht omvang onder. Onze quickscan geeft in 2 dagen uitsluitsel.
Wat is het verschil tussen de CBW en NIS2?
NIS2 is de Europese richtlijn. De CBW is de Nederlandse wet die NIS2 implementeert. De CBW kan op onderdelen verder gaan dan NIS2, maar mag niet minder streng zijn. De kernverplichtingen (zorgplicht, meldplicht, bestuurdersaansprakelijkheid) zijn identiek.
Vervangt de CBW de Wbni?
Ja. De Cyberbeveiligingswet vervangt de Wet beveiliging netwerk- en informatiesystemen (Wbni). Het toepassingsgebied wordt aanzienlijk uitgebreid: van een beperkt aantal aangewezen vitale aanbieders naar duizenden organisaties in 18 sectoren.
Hoe verhoudt de CBW zich tot ISO 27001?
ISO 27001 is een certificeringsnorm, de CBW is wetgeving. De overlap is circa 70%. ISO 27001-gecertificeerde organisaties hebben een voorsprong, maar moeten aanvullend voldoen aan NIS2-specifieke eisen zoals de gefaseerde meldplicht (24/72 uur) en formele bestuurdersaansprakelijkheid.
Wie houdt toezicht op naleving van de CBW?
Het NCSC (Nationaal Cyber Security Centrum) wordt de primaire toezichthouder voor essentiele entiteiten. Voor specifieke sectoren kunnen sectorale toezichthouders worden aangewezen (zoals de AFM voor financiele instellingen of de IGJ voor de zorgsector). Voor het hoger onderwijs wordt toezicht belegd bij de Inspectie van het Onderwijs, met ondersteuning van SURF als sectoraal CERT.
Vallen universiteiten en hogescholen onder de CBW?
Ja. De NIS2-richtlijn laat lidstaten vrij om onderwijs wel of niet op te nemen. Nederland heeft hiervoor gekozen: op 29 april 2025 besloot minister Bruins (OCW) per kamerbrief dat bekostigde hbo- en wo-instellingen onder de Cyberbeveiligingswet vallen. Aanleiding is het sterk toegenomen aantal cyberaanvallen op universiteiten (ransomware, bedrijfsspionage, statelijke actoren gericht op onderzoek). MBO-instellingen vallen er niet onder. De registratie- en meldplicht gelden direct na inwerkingtreding; de zorgplicht gefaseerd.