Ga naar de hoofdinhoud

Cyberbeveiligingswet definitief: per 15 augustus 2026 van kracht - dit betekent het voor jouw organisatie

Medewerker van Trust en Safety met een wit overhemd aan met een donkerblauw jasje eroverheen
Alan Lucas

Nieuws

Vanaf 15 augustus 2026 zijn de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) van kracht. Daarmee heeft Nederland de Europese NIS2- en CER-richtlijnen omgezet in nationale wetgeving en gelden er verplichtingen voor duizenden organisaties. Digitale weerbaarheid is daarmee niet langer vrijblijvend: cybersecurity, bedrijfscontinuïteit, incidentafhandeling en leveranciersrisico’s moeten aantoonbaar op orde zijn en toezichthouders zien toe op de naleving. 

Wat verandert er?

De Cyberbeveiligingswet vervangt de Wet beveiliging netwerk- en informatiesystemen (Wbni) en geldt voor organisaties die essentiële of belangrijke diensten leveren in 18 sectoren, waaronder energie, drinkwater, digitale infrastructuur, gezondheidszorg, overheid en vervoer. Valt jouw organisatie onder de wet, dan krijg je te maken met vier kernverplichtingen: 

  • Registratieplicht: je registreert je organisatie in het entiteitenregister via het Nationaal Cyber Security Centrum (NCSC). Na registratie kun je gebruikmaken van de dienstverlening van het Computer Security Incident Response Team (CSIRT) voor jouw sector. Voor de meeste organisaties is dat het NCSC. Denk aan dreigingsinformatie en ondersteuning bij beveiligingsincidenten. 
  • Zorgplicht: je neemt passende maatregelen om de risico’s voor je netwerk- en informatiesystemen te beheersen: van risicoanalyse en toegangsbeheer tot back-up, herstel en de beveiliging van je toeleveringsketen. 
  • Meldplicht: significante incidenten meld je binnen strikte termijnen: een vroegtijdige waarschuwing binnen 24 uur, een vervolgmelding binnen 72 uur en een eindverslag uiterlijk een maand na de eerste melding. 
  • Bestuurlijke verantwoordelijkheid: het bestuur is eindverantwoordelijk voor cyberrisicobeheersing. Bestuurders moeten risico’s en maatregelen kunnen beoordelen en volgen daarvoor een passende training. 

 

Belangrijk: organisaties zijn zelf verantwoordelijk om te toetsen of ze onder de wet vallen. De officiële zelfevaluatie (regelhulp) van de Rijksoverheid helpt daarbij. 

En ook als je er zelf niet direct onder valt krijgen tienduizenden toeleveranciers de eisen alsnog op hun bord via de leveranciersbeoordelingen van Cbw-plichtige klanten. Cybersecurity wordt een voorwaarde om zaken te doen. 

Wat betekent dit voor klanten van Worldstream?

De nieuwe wetgeving vraagt om organisatiebrede maatregelen, van governance en training tot techniek. Eén dienst of leverancier maakt je niet automatisch compliant, en iedereen die dat belooft, verdient een kritische blik. Wel kun je het technische fundament van je weerbaarheid aantoonbaar op orde brengen. 

Vijf weken lijkt kort, maar de eerste stappen zijn goed te overzien. Binnenkort publiceren we een praktische checklist waarmee je stap voor stap toewerkt naar 15 augustus. 

Meer informatie over de wetgeving – https://www.ncsc.nl/nieuws/cbw-en-wwke-vanaf-15-augustus-2026-van-kracht.