Plan intake
Wetgeving

De Cyberbeveiligingswet, Nederlandse invulling van NIS2

Laatst bijgewerkt: 12 mei 2026Leestijd: 10 minDoor URL.nl Redactie

TL;DR

De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. De wet treedt naar verwachting rond 1 juli 2026 in werking en verplicht essentiële en belangrijke entiteiten tot risicobeheer, registratie bij de toezichthouder, incidentmelding binnen 24 uur en aantoonbaar bestuurlijk toezicht. Maximale boetes liggen op 10 miljoen euro of 2 procent wereldwijde jaaromzet. Wie wacht op de definitieve invoering loopt het risico de eerste handhavingsronde niet te halen, een gemiddeld voorbereidingstraject duurt zes tot twaalf maanden.

Wat is de Cyberbeveiligingswet

De Cyberbeveiligingswet is de Nederlandse implementatie van de Europese NIS2-richtlijn. Waar NIS2 het Europese kader vormt, regelt de Cyberbeveiligingswet wie in Nederland onder toezicht valt, welke toezichthouder bevoegd is en hoe meldingen, registratie en handhaving in de praktijk werken.

De wet vervangt de oude Wet beveiliging netwerk- en informatiesystemen (Wbni). Daarmee verschuift de focus van een beperkte groep vitale aanbieders naar een veel bredere groep organisaties in achttien sectoren.

Wanneer treedt de wet in werking

De Cyberbeveiligingswet treedt 1 juli 2026 in werking, onder voorbehoud van de behandeling in de Tweede en Eerste Kamer. Nederland heeft de oorspronkelijke EU-deadline van 17 oktober 2024 niet gehaald. Tot de inwerkingtreding geldt de Wbni nog formeel, maar toezichthouders en het NCSC verwachten zichtbare voorbereiding op de NIS2-verplichtingen.

Praktisch: de officiële datum kan met enkele maanden schuiven. Plan je traject zo dat je vóór de inwerkingtreding aantoonbaar de zorgplicht en meldroute hebt ingericht.

Verschil met NIS2

NIS2 is een richtlijn, de Cyberbeveiligingswet is een nationale wet. Drie verschillen zijn in de praktijk belangrijk.

  • De Cyberbeveiligingswet wijst expliciet de Nederlandse toezichthouders aan per sector. NIS2 laat dat aan de lidstaat over.
  • De wet vult onderdelen in waar NIS2 ruimte laat, bijvoorbeeld rond registratie en de positie van het NCSC.
  • De wet biedt een formele juridische basis voor boetes, dwangsommen en bestuurlijke maatregelen in Nederland.

Voor organisaties die alleen in Nederland actief zijn, is de Cyberbeveiligingswet leidend. Wie in meerdere EU-landen opereert, moet ook de implementaties van die landen volgen.

Voor wie geldt de wet

De Cyberbeveiligingswet volgt het toepassingsbereik van NIS2. Dat betekent twee categorieën in achttien sectoren, met een omvangsdrempel van 50 medewerkers of 10 miljoen euro omzet.

Essentiële entiteiten

Grote organisaties in sectoren met hoge kritikaliteit, zoals energie, drinkwater, vervoer, banken, gezondheidszorg en digitale infrastructuur. Zij staan onder proactief toezicht.

Belangrijke entiteiten

Middelgrote organisaties in dezelfde sectoren, plus grote en middelgrote organisaties in sectoren als post, afvalbeheer, chemie, voedselproductie, productie van apparatuur, digitale aanbieders en onderzoeksinstellingen. Toezicht is reactief, na signaal of incident.

Een uitgebreide uitleg per categorie vind je op de NIS2-pagina.

Verplichtingen onder de Cyberbeveiligingswet

De wet kent vier hoofdverplichtingen.

Registratieplicht

Aangewezen entiteiten registreren zich bij de bevoegde toezichthouder, met contactgegevens, sectorinformatie en relevante grensoverschrijdende activiteiten. Zie registratieplicht uitgelegd.

Zorgplicht

Passende technische, operationele en organisatorische maatregelen voor risicobeheer, incident handling, continuïteit, leveranciersbeheer, encryptie, toegangsbeheer en training. Zie zorgplicht uitgelegd.

Meldplicht

Significante incidenten worden gemeld bij de bevoegde toezichthouder en, in veel gevallen, bij het NCSC. Eerste melding binnen 24 uur, volledige melding binnen 72 uur, eindrapport binnen één maand. Zie meldplicht uitgelegd.

Bestuurlijke verantwoordelijkheid

Het bestuur keurt de risicomaatregelen goed, ziet toe op de uitvoering en moet aantoonbaar bijgeschoold worden op cybersecurity. Bij ernstige nalatigheid kan een toezichthouder een bestuurder tijdelijk uit zijn functie zetten.

Toezicht en handhaving

Toezicht is sectoraal georganiseerd. De Rijksinspectie Digitale Infrastructuur (RDI) krijgt een centrale rol voor digitale infrastructuur en ICT-dienstenbeheer. Voor andere sectoren zijn bestaande sectorale toezichthouders bevoegd, bijvoorbeeld de Inspectie Gezondheidszorg en Jeugd voor zorg, of de Autoriteit voor Nucleaire Veiligheid en Stralingsbescherming voor nucleaire faciliteiten. Het NCSC vervult een coördinerende rol bij incidentafhandeling en threat intelligence.

Toezichthouders krijgen bevoegdheden om informatie op te vragen, audits uit te voeren, dwangsommen op te leggen en bestuurlijke boetes te opleggen.

Boetes en bestuurlijke aansprakelijkheid

CategorieMaximale boete
Essentiële entiteit10 miljoen euro of 2 procent van de wereldwijde jaaromzet
Belangrijke entiteit7 miljoen euro of 1,4 procent van de wereldwijde jaaromzet

Bedragen zijn maxima, het hoogste van beide geldt. Naast boetes kan de toezichthouder dwingen tot openbaarmaking van de overtreding en bestuurders tijdelijk verbieden om leidinggevende functies te bekleden. Voor essentiële entiteiten kan een toezichthouder zelfs de dienstverlening tijdelijk laten staken tot bijgestuurd is.

Wat moet je nu voorbereiden

De Cyberbeveiligingswet is geen verrassing meer. Wie nu start, heeft ruim de tijd om de basis op orde te krijgen.

Stap 1, bepaal je positie

Toets of je onder de wet valt, in welke categorie en welke sectorale toezichthouder bevoegd is. Dit kan in een dagdeel met de juiste informatie.

Stap 2, voer een nulmeting uit

Breng assets, processen, leveranciers en bestaande maatregelen in kaart. Vergelijk met de zorgplicht en stel een actieplan op met prioriteiten.

Stap 3, richt de meldroute in

Maak een gedocumenteerd incidentplan, oefen het minstens één keer per jaar en zorg dat de 24-uurstermijn realistisch haalbaar is, ook in een avond of weekend.

Stap 4, verankert het bestuur

Plan periodieke cybersecurity-rapportages voor het bestuur en leg bestuursbesluiten over risico's vast. Bied bestuurders een geschikte bijscholing aan.

URL.nl voert deze stappen uit met onze cybersecurity partners. Bekijk de losse diensten of plan een intake.

Deze informatie is bedoeld als praktische uitleg en vormt geen juridisch advies. Controleer altijd de actuele wetgeving en raadpleeg waar nodig een juridisch adviseur of toezichthouder.

Veelgestelde vragen

Geldt de Cyberbeveiligingswet ook als ik geen formele aanwijzing krijg?

Ja, organisaties moeten zelf beoordelen of ze onder de wet vallen. Een formele aanwijzing is geen voorwaarde voor de verplichting.

Wat gebeurt er met de oude Wbni?

De Wbni komt te vervallen op het moment dat de Cyberbeveiligingswet in werking treedt. Aanbieders die nu onder de Wbni vallen, vallen daarna onder de nieuwe wet.

Geldt de wet ook voor overheidsorganisaties?

Ja, voor een deel van de overheid. De wet wijst onder andere ministeries, provincies en gemeenten boven een bepaalde omvang aan, met aanvullende eisen via het BIO-kader.

Helpt jullie aanpak ook als we al onder DORA vallen?

Ja. Veel maatregelen overlappen. We zorgen dat documentatie en processen voor DORA en de Cyberbeveiligingswet aansluiten en dubbel werk voorkomen.

Officiële bronnen

Laatst bijgewerkt op 12 mei 2026 door de URL.nl Redactie. Wetgeving en handhaving kunnen wijzigen, controleer de actuele versie bij de toezichthouder.

Wil je weten wat jouw organisatie nodig heeft?

Plan een korte cybersecurity intake. We nemen samen je situatie door en geven concrete vervolgstappen.

Plan een cybersecurity intake