Cyberbeveiligingswet: wat zijn de drie verplichtingen voor jouw organisatie?
Meer dan 8.000 organisaties vallen eronder. Voor veel bestuurders en managers blijft onduidelijk wat dat concreet betekent. De wet kent drie centrale verplichtingen: zorgplicht, meldplicht en registratieplicht. Dit artikel legt ze één voor één uit.
De Cyberbeveiligingswet is aangenomen. Na ruim twee jaar wachten op de Nederlandse implementatie van de Europese NIS2-richtlijn heeft de Tweede Kamer ingestemd. De wet ligt nu bij de Eerste Kamer en treedt naar verwachting in werking in Q2 2026.
Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. NIS2 staat voor Network and Information Security, versie 2, en vervangt de oorspronkelijke richtlijn uit 2016. De scope is aanzienlijk vergroot.
Waar de eerste richtlijn zich beperkte tot een kleine groep aanbieders van essentiële diensten, trekt NIS2 de grens veel breder. In Nederland vallen naar schatting meer dan 8.000 organisaties onder de wet, in sectoren als energie, transport, drinkwater, digitale infrastructuur, gezondheidszorg, financiën en overheid.
De wet maakt onderscheid tussen twee categorieën:
- Essentiële entiteiten: grote organisaties in kritieke sectoren, onderworpen aan actief toezicht;
- Belangrijke entiteiten: middelgrote organisaties in aanvullende sectoren, onderworpen aan reactief toezicht. Het onderscheid bepaalt de intensiteit van het toezicht, niet de verplichtingen zelf.
Die gelden voor beide categorieën.
Verplichting 1: Zorgplicht
De zorgplicht verplicht organisaties passende en evenredige technische, operationele en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen.
Wat "passend en evenredig" betekent, is niet vastgelegd in een checklist. De wet verwacht een risicogebaseerde aanpak: breng de risico’s in kaart, bepaal welke maatregelen proportioneel zijn, en implementeer ze aantoonbaar. De wet benoemt een aantal maatregelgebieden die in elk geval onderdeel moeten zijn van die aanpak:
- Beleid voor risicoanalyse en beveiliging van informatiesystemen;
- Incidentbehandeling en bedrijfscontinuïteit;
- Beveiliging van de toeleveringsketen, inclusief contractuele afspraken met leveranciers;
- Beveiliging bij verwerving, ontwikkeling en onderhoud van systemen;
- Cryptografie en sleutelbeheer;
- Personeelsbeveiliging, toegangsbeleid en beheer van bedrijfsmiddelen;
- Gebruik van multifactorauthenticatie.
De zorgplicht is geen eenmalige exercitie. De wet verwacht een continu beheerd systeem, geen certificeringsmoment.
Verplichting 2: Meldplicht
De meldplicht verplicht organisaties significante incidenten te melden bij de bevoegde autoriteit. In Nederland is dat het Nationaal Cyber Security Centrum (NCSC) of een sectorspecifieke toezichthouder.
Een incident is significant als het de dienstverlening ernstig verstoort of kan verstoren. De drempel is bewust breed gehouden, en twijfel bij een incident is geen reden om niet te melden. De meldplicht kent een getrapt tijdschema:
- Binnen 24 uur: een eerste melding na ontdekking. Dit is een vroegtijdige waarschuwing, geen volledig rapport;
- Binnen 72 uur: een gedetailleerdere melding met een eerste beoordeling van ernst, impact en mogelijke oorzaak;
- Binnen één maand: een eindrapportage met volledige beschrijving, genomen maatregelen en lessen.
Organisaties die dit proces niet hebben ingericht, lopen direct risico bij een incident. Niet alleen omdat ze de termijnen niet halen, maar ook omdat aantoonbare onvoorbereidheid meweegt bij de beoordeling van aansprakelijkheid.
Verplichting 3: Registratieplicht
De registratieplicht verplicht organisaties zich te registreren bij de bevoegde nationale autoriteit. In Nederland wordt dit de Rijksinspectie Digitale Infrastructuur (RDI).
De registratie bevat basisinformatie: naam, sector, contactgegevens en een overzicht van de relevante activiteiten. Het doel is tweeledig. De toezichthouder krijgt inzicht in de totale populatie van entiteiten, en organisaties bevestigen formeel dat ze onder de wet vallen.
De registratieplicht klinkt administratief, maar heeft een praktische consequentie. Organisaties die zich niet registreren, zijn zichtbaar afwezig in het toezichtregister. Dat vergroot het risico op handhaving en ondermijnt de aantoonbaarheid van zorgvuldig handelen. Het registratieportaal wordt verwacht rond de inwerkingtreding van de wet in Q2 2026.
Wat betekent dit voor bestuurders?
De Cyberbeveiligingswet introduceert iets wat in Nederlandse wetgeving op dit vlak nieuw is: persoonlijke bestuurlijke aansprakelijkheid. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld als zij onvoldoende zorgvuldig hebben gehandeld. Compliance delegeren aan de IT-afdeling of een externe partij is niet langer voldoende.
In de praktijk betekent dit:
- Cybersecurity staat op de bestuurstafel, niet alleen op de IT-agenda;
- Besluiten over risicoaanvaarding worden gedocumenteerd, inclusief de overweging die eraan ten grondslag ligt;
- De governance rond informatiebeveiliging is aantoonbaar ingericht en actief onderhouden.
Certificering helpt daarbij, maar is geen garantie. De wet kijkt naar gedrag en aantoonbaarheid, niet naar een certificaat op een bepaalde datum.