De Europese Network and Information Security directive (NIS) richtlijn is vervangen door de NIS2. Het doel is om een hoog niveau van cybersecurity vast te stellen voor alle Europese lidstaten. Ook Nederland heeft op basis van de Europese NIS2-richtlijn een nieuwe wet gemaakt, de Cyberbeveiligingswet (Cbw).
De NIS2 en Cbw heeft grote gevolgen voor de overheidsorganisaties, want zij zijn verantwoordelijk voor essentiële dienstverlening en verwerken (gevoelige) gegevens van burgers en bedrijven. Bij een cyberaanval kan de dienstverlening stilvallen en kunnen die gegevens in verkeerde handen terechtkomen. Om dit te voorkomen, stelt de Cyberbeveiligingswet eisen aan hoe organisaties hun cyberbeveiliging inrichten. Maar wat houdt deze wet precies in? Voor wie geldt ze? En wat moet je regelen om eraan te voldoen?
In deze blog geven we antwoord op al deze vragen en bieden we een checklist, zodat jouw organisatie klaar is voor deze nieuwe wet.
De Cyberbeveiligingswet is de Nederlandse wet die voortkomt uit een Europese richtlijn: de NIS2.
De NIS2 is een Europese richtlijn voor cyberbeveiliging, opgesteld door de Europese Unie. Het is de opvolger van de originele NIS-richtlijn, maar met een bredere reikwijdte: er vallen meer sectoren onder, de beveiligingseisen zijn strenger en concreter, en er gelden hogere boetes bij niet-naleving. Een richtlijn is geen wet. Het is een opdracht aan elk EU-land om zelf een wet te maken die aan de richtlijn voldoet.
De Cyberbeveiligingswet (Cbw) is de wet die Nederland op basis van de NIS2 heeft gemaakt. De Cbw en de NIS2 komen grotendeels overeen, maar de EU heeft ruimte gegeven aan lidstaten om eigen keuzes te maken. Zo heeft Nederland ervoor gekozen om ook lokale overheden onder de wet te laten vallen, terwijl dat vanuit de NIS2 niet verplicht is. Als organisatie in Nederland heb je alleen te maken met de Cbw.
Op 15 april 2026 heeft de Tweede Kamer de Cbw aangenomen. Alleen de Eerste Kamer moet de Cbw nog goedkeuren. Op 19 mei 2026 stellen de betrokken commissies (Digitalisering en Justitie & Veiligheid) hun opmerkingen en vragen over de wet. De verwachting is dat de wet op 1 juli 2026 in werking treedt.
De Rijksoverheid adviseert organisaties om niet af te wachten, maar nu al aan de slag te gaan. De risico's van een cyberaanval bestaan namelijk al.
De Cyberbeveiligingswet legt vier verplichtingen op aan organisaties die onder de wet vallen. Wij hebben deze op een rij gezet:
Organisaties die onder de Cyberbeveiligingswet vallen, moeten zich registreren bij het Nationaal Cyber Security Centrum (NCSC). Zo weten toezichthouders welke organisaties onder de wet vallen. Dit overzicht helpt bij het effectief uitvoeren van toezicht en het coördineren van de respons op cyberincidenten.
Organisaties zijn verplicht om maatregelen te nemen die hun netwerk- en informatiesystemen beschermen. Dat begint met een risicobeoordeling: welke risico's loopt jouw organisatie? Op basis daarvan neem je passende maatregelen. Denk aan preventieve bescherming tegen cyberaanvallen, continue monitoring op dreigingen en een incidentresponsplan. Dat is een plan voor incidenten, zoals een ransomware-aanval, een datalek of een DDoS-aanval.
De zorgplicht gaat ook over je toeleveringsketen: je moet de cyberbeveiligingsrisico's van leveranciers en dienstverleners beoordelen en beheersen.
Wanneer er een cyberincident plaatsvindt, moet je dit melden. Dat gaat in drie stappen. Binnen 24 uur doe je een eerste melding bij het Computer Security Incident Response Team (CSIRT) met een rapport van basisinformatie over het incident. Binnen 72 uur volgt een vervolgmelding met meer details over het incident. Uiterlijk na één maand lever je een eindverslag in met een volledige beschrijving van het incident, de ernst en de gevolgen.
De meldplicht geldt voor alle organisaties die betrokken zijn bij het incident.
Bij overheidsorganisaties is de ambtelijke leiding (zoals de gemeentesecretaris of het managementteam) verplicht een cyberbeveiligingstraining te volgen. Het doel: zij moeten beveiligingsrisico's kunnen herkennen en weloverwogen beslissingen kunnen nemen over de beveiliging van hun organisatie. Na inwerkingtreding van de wet is hier twee jaar de tijd voor.
Alle overheidsinstanties, ongeacht hun grootte, zijn standaard een 'essentiële entiteit'. Dit geldt onder andere voor ministeries, provincies, gemeenten en waterschappen. Voor zelfstandige bestuursorganen en gemeenschappelijke regelingen wordt per geval bepaald of deze als 'essentiële entiteit' worden beschouwd.
Instanties die zich hoofdzakelijk bezighouden met nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving zijn uitgesloten van de Cyberbeveiligingswet. Dit komt omdat de EU daar niet over mag wetgeven. Wél geeft de NIS2-richtlijn aan dat deze instanties moeten streven naar een gelijkwaardig niveau van cyberbeveiliging.
Naast deze vier verplichtingen krijgen organisaties te maken met toezicht. Een onafhankelijke toezichthouder controleert of organisaties zich aan de wet houden. Voor de meeste overheidsorganisaties is dat de Rijksinspectie Digitale Infrastructuur (RDI). Voor waterschappen is dat de Inspectie Leefomgeving en Transport (ILT).
Wanneer je als 'essentiële entiteit' de Cbw niet naleeft, riskeer je een boete van maximaal 10 miljoen euro of 2% van de jaaromzet.
Om het voldoen aan de Cyberbeveiligingswet overzichtelijk te maken, heeft Atabix een checklist gemaakt voor overheidsorganisaties:
De Cyberbeveiligingswet staat niet op zichzelf. Voor overheidsorganisaties is ook de BIO 2.0 relevant, die nauw samenhangt met de Cbw. Lees onze blogs over de BIO 2.0, bijvoorbeeld wat er veranderd is ten opzichte van de BIO 1.0 en hoe je in vijf stappen BIO 2.0-compliant wordt.