Het wetsvoorstel voor de Cyberbeveiligingswet (Cbw), waarin de Europese NIS2-richtlijn wordt geïmplementeerd, is bij de Tweede Kamer ingediend. De regering streeft ernaar dat de wet en de daaraan gerelateerde regelgeving (zoals AMvB’s en ministeriële regelingen) in het tweede kwartaal van 2026 in werking treden. De daadwerkelijke datum hangt af van de voortgang in het parlementaire traject.
Belangrijkste punten
- Invoering van de NIS2-richtlijn: De Cyberbeveiligingswet is bedoeld om belangrijke en essentiële organisaties in Nederland te verplichten tot het nemen van effectieve maatregelen tegen cyberrisico’s, het voorkomen van incidenten en het beperken van de gevolgen bij incidenten. Dit omvat onder andere verplichtingen voor incidentmelding en zorgplicht.
- Reikwijdte en sectoren: Naar verwachting vallen ruim 8.000 organisaties onder de wet. Sectoren als energie, gezondheidszorg, transport, digitale infrastructuur en financiële dienstverlening worden expliciet genoemd.
- Rechten al vóór inwerkingtreding: Tot de wet werkelijk van kracht is, zijn de verplichtingen nog niet van toepassing. Wel gelden sommige bepalingen van de NIS2-richtlijn al direct door de rechtstreekse werking. Organisaties hebben bijvoorbeeld al recht op bijstand bij incidenten via een CSIRT. Ook kunnen organisaties zich vrijwillig registreren via mijn.ncsc.nl om toegang te krijgen tot de diensten van het NCSC, voor zover hun sectorale CSIRT-verplichtingen dit toelaat.
- Wetgevingstraject: Het voorstel is ingediend bij de Tweede Kamer (5 juni 2025) en ligt nu bij de commissie Digitale Zaken. Parallel wordt gewerkt aan de onderliggende regelgeving — zoals de AMvB’s — waarin drempelwaarden voor incidentmeldingen en specifieke sectorvereisten worden opgenomen.
- Advies Raad van State: In februari 2025 heeft de Raad van State via een advies (“memorie van toelichting”) geadviseerd over de wetsvoorstellen voor de Cyberbeveiligingswet en de Wet Weerbaarheid Kritieke Entiteiten (CER).
Wat is nu verstandig om te doen?
Hoewel de Cyberbeveiligingswet nog niet verplicht is, is voorbereiding cruciaal. Organisaties kunnen nu al starten met:
- Evaluatie van bestaande IT-beveiligingsmaatregelen
- Inventarisatie van incidentmeldmechanismen
- Opleiden van teams in awareness en compliance
- Volgen van ontwikkelingen via NCSC, DTC en relevante branchekanalen
TONEC ondersteunt graag met praktische implementatie van IT-beveiligingsmaatregelen om te voldoen aan de toekomstige wetgeving. Neem gerust contact met ons op.
Bron: NCSC.nl