Eerste Kamer stemt in met nieuwe wetten voor digitale weerbaarheid

do 9 juli 2026 - 07:00
Eerste Kamer stemt in met nieuwe wetten voor digitale weerbaarheid
Wetgeving in de zorg
Nieuws

Nederland zet een nieuwe stap om de digitale en fysieke weerbaarheid van vitale organisaties te versterken. De Eerste Kamer heeft op 7 juli ingestemd met de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Beide wetten treden op 15 augustus 2026 in werking. Daarmee krijgen duizenden organisaties te maken met nieuwe verplichtingen op het gebied van cyberbeveiliging en de bescherming van essentiële diensten.

Met de invoering van de Cyberbeveiligingswet gaan voor ruim 8.000 Nederlandse organisaties nieuwe eisen gelden om digitale risico's beter te beheersen en incidenten sneller te signaleren en te melden. Tegelijkertijd biedt de Wet weerbaarheid kritieke entiteiten de mogelijkheid om organisaties formeel aan te wijzen als kritieke entiteit. Zij moeten vervolgens maatregelen nemen om de continuïteit van hun dienstverlening te waarborgen en beter bestand te zijn tegen fysieke en digitale dreigingen.

Gevolgen

De Cyberbeveiligingswet is de Nederlandse uitwerking van de Europese NIS2-richtlijn en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). Organisaties moeten zelf beoordelen of zij onder de nieuwe wet vallen en daarmee aan de bijbehorende verplichtingen moeten voldoen.

De wet is van toepassing op organisaties die essentiële of belangrijke diensten leveren. Het gaat om bedrijven en instellingen in achttien sectoren, waaronder energie, drinkwater, digitale infrastructuur, gezondheidszorg, overheid en vervoer. Voor deze organisaties gaan strengere eisen gelden op het gebied van cyberbeveiliging en risicobeheersing.

Verplichtingen

Organisaties die onder de Cyberbeveiligingswet vallen, moeten vanaf de inwerkingtreding aan verschillende verplichtingen voldoen. Zo geldt een registratieplicht via het entiteitenregister van het Nationaal Cyber Security Centrum (NCSC). Daarnaast zijn organisaties verplicht passende maatregelen te nemen om de beveiliging van hun netwerk- en informatiesystemen op orde te brengen en risico's, incidenten en de gevolgen daarvan zoveel mogelijk te voorkomen of te beperken.

Ook introduceert de wet een meldplicht voor significante cyberincidenten. Die moeten binnen de wettelijke termijnen worden gemeld aan het Computer Security Incident Response Team (CSIRT) en de bevoegde autoriteit via het meldportaal. Verder legt de wet de verantwoordelijkheid voor cyberrisicobeheersing nadrukkelijk bij het bestuur. Bestuurders moeten voldoende kennis hebben om cyberrisico's en beveiligingsmaatregelen te beoordelen en volgen daarvoor een passende training. Toezichthouders zien erop toe dat organisaties de nieuwe wettelijke verplichtingen naleven.

Voorbereidingen

Organisaties die onder de Cyberbeveiligingswet vallen, doen er goed aan zich tijdig voor te bereiden op de inwerkingtreding van de wet op 15 augustus. Een van de eerste verplichtingen is registratie in het entiteitenregister van het Nationaal Cyber Security Centrum (NCSC) via mijn.ncsc.nl. Hoewel die registratie pas vanaf 15 augustus verplicht is, adviseert het NCSC organisaties om de benodigde voorbereidingen nu al te treffen. Na registratie kunnen organisaties gebruikmaken van de dienstverlening van hun Computer Security Incident Response Team (CSIRT). Dat biedt producten en diensten om de digitale weerbaarheid te versterken en ondersteunt organisaties bij de afhandeling van cyberincidenten.

Met de Wet weerbaarheid kritieke entiteiten wordt de Europese CER-richtlijn in Nederlandse wetgeving omgezet. De wet heeft als doel de kritieke infrastructuur en essentiële economische activiteiten beter te beschermen tegen uiteenlopende dreigingen, waaronder terroristische aanslagen, sabotage en natuurrampen.

Kritieke entiteit

De wet is van toepassing op ongeveer 500 organisaties in sectoren als energie, vervoer, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheid, ruimtevaart, nucleaire voorzieningen, waterkeringen en waterbeheer, chemie, meteorologie en de productie, verwerking en distributie van levensmiddelen. Organisaties vallen pas onder de wet wanneer zij door de verantwoordelijke vakminister formeel zijn aangewezen als kritieke entiteit.

Vorige maand verscheen in ons magazine en online een artikel over de noodzaak en impact van de nieuwe wetgeving. Daarin vertellen Stijn Strous, bestuurder van Hadoks, en Ronald Westerveen, CISO bij het Prinses Máxima Centrum, over de gevolgen van de nieuwe regels voor hun organisaties.

Referenties

VWS


Ook dit onderwerp krijgt een prominente plek tijdens de ICT&health World Conference 2027. Wil je erbij zijn en niets missen? Reserveer dan tijdig je ticket.