Menu

Filter op
content
PONT | Governance

0

Waar komt de Cyberbeveiligingswet vandaan?

14 July 2026

Vraag & Antwoord

ANTWOORD

De afgelopen jaren zetten ontwikkelingen als de COVID-19-epidemie, de oorlog in Oekraïne, cyberdreigingen en de gevolgen van klimaatverandering de veiligheid van onze maatschappij en economie steeds meer onder druk. In het licht van deze ontwikkelingen is sinds 2020 vanuit de Europese Unie gewerkt aan de NIS2-richtlijn. Deze richtlijn is gericht op het verbeteren van de digitale en economische weerbaarheid van Europese lidstaten.

De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van de NIS2-richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NIS2 is de opvolger van de 1e NIS-richtlijn, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

De NIS2-richtlijn is omgezet naar Nederlandse wetgeving. Dat gebeurt in de Cyberbeveiligingswet (Cbw). De Cyberbeveiligingswet is 7 juli 2026 aangenomen en vervangt de Wet beveiliging netwerk- en informatiesystemen (Wbni). De Wbni was de implementatie van de NIS-richtlijn.

Gelijktijdig met de uitwerking van de NIS2-richtlijn wordt ook gewerkt aan de omzetting van de Critical Entities Resilience (CER)-richtlijn. Deze richt zich op de bescherming van organisaties tegen fysieke risico’s zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen. De CER-richtlijn wordt in Nederland geïmplementeerd via de Wet weerbaarheid kritieke entiteiten (Wwke). Hieronder hangt een Algemene Maatregel van Bestuur, het Besluit weerbaarheid kritieke entiteiten.

Criteria NIS2-richtlijn

Organisaties vallen automatisch onder de NIS2-richtlijn (en daarmee onder de Cyberbeveiligingswet) als zij actief zijn in aangewezen sectoren en volgens bepaalde criteria ‘essentiële’ of ‘belangrijke’ entiteiten zijn. ‘Automatisch’ betekent dat de NIS2-richtlijn lidstaten niet de keuzevrijheid geeft om te bepalen wie onder de richtlijn valt. De richtlijn geeft ook niet de mogelijkheid om te bepalen vanaf welk moment de verplichtingen gaan gelden.

Verplichtingen van de Cyberbeveiligingswet en nadere regelgeving gelden voor deze organisaties direct zodra de wet in werking treedt.