Tweede kamer stemt in met Cyberbeveiligingswet: wat betekent dit? 

Digitale dreigingen nemen toe in zowel omvang als complexiteit. Cyberaanvallen kunnen niet alleen individuele organisaties treffen, maar ook hele ketens verstoren en vitale processen ontwrichten. Met de Cyberbeveiligingswet wil de overheid de digitale weerbaarheid structureel verbeteren. De wet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en sluit aan op de Europese NIS2-richtlijn, die strengere en bredere eisen stelt aan cyberbeveiliging.

Grotere groep organisaties onder de wet

Een belangrijk verschil met de huidige wetgeving is dat de Cyberbeveiligingswet voor een veel grotere groep organisaties gaat gelden. Niet alleen vitale aanbieders, maar ook middelgrote en grote organisaties in sectoren zoals energie, transport, zorg, digitale dienstverlening, levensmiddelen en de productie-industrie vallen onder de wet. Daarnaast wordt nadrukkelijk gekeken naar de rol van organisaties in ketens. Ook leveranciers kunnen daardoor te maken krijgen met nieuwe verplichtingen, waaronder mkb-organisaties.

Strengere eisen aan governance en risicobeheersing

De wet stelt duidelijke eisen aan het beheersen van cyberrisico’s. Organisaties moeten passende technische en organisatorische maatregelen nemen om incidenten te voorkomen. Bestuurders krijgen hierbij een expliciete verantwoordelijkheid. Zij moeten niet alleen zorgen voor beleid en maatregelen, maar ook aantoonbaar toezicht houden op de uitvoering. Daarnaast worden de meldplichten aangescherpt: ernstige incidenten moeten sneller en gestructureerd worden gemeld bij de toezichthouder.

Toezicht en handhaving

Het toezicht op de Cyberbeveiligingswet wordt belegd bij verschillende toezichthouders, afhankelijk van de sector. Het Nationaal Cyber Security Centrum (NCSC) vervult hierbij een centrale rol in kennisdeling en ondersteuning. De wet geeft toezichthouders meer bevoegdheden om in te grijpen en boetes op te leggen wanneer organisaties niet voldoen aan de gestelde eisen. Dit onderstreept het belang van aantoonbare compliance.

Wat kunnen organisaties nu al doen?

Hoewel de wet nog verder wordt uitgewerkt, is duidelijk dat deze naar verwachting in het tweede kwartaal van 2026 definitief van kracht wordt. Stilzitten is daarom geen optie. Organisaties doen er goed aan nu al inzicht te krijgen in hun cyberrisico’s, de huidige beveiligingsmaatregelen te evalueren en verantwoordelijkheden binnen het management helder te beleggen. Door tijdig te investeren in governance, processen en awareness wordt niet alleen voldaan aan toekomstige wetgeving, maar ook de digitale continuïteit versterkt.

Voor organisaties die onderdeel uitmaken van de keten van NIS2-plichtige organisaties is het daarnaast raadzaam om tijdig in gesprek te gaan met klanten en leveranciers over cybersecurity-eisen en ketenverantwoordelijkheid.