Cyberbeveiligingswet (CBW) — de NIS2-wet die per 1 juli 2026 van kracht wordt
De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. Per 1 juli 2026 zijn duizenden organisaties in Nederland wettelijk verplicht om hun digitale beveiliging aantoonbaar op orde te hebben.
De wet introduceert drie kernverplichtingen: een zorgplicht voor beveiliging, een meldplicht bij incidenten en toezicht door aangewezen autoriteiten. Niet voldoen kan leiden tot boetes tot €10 miljoen of 2% van de wereldwijde omzet.
Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet (CBW) is de Nederlandse wet die de Europese NIS2-richtlijn (Network and Information Security 2) omzet in nationale regelgeving. Waar NIS2 de Europese kaders stelt, maakt de CBW deze verplichtingen concreet en afdwingbaar in Nederland.
De wet verplicht organisaties in kritieke sectoren om hun netwerk- en informatiesystemen structureel te beveiligen — niet alleen intern, maar ook in de keten. Het gaat om meer dan papieren beleid: maatregelen moeten aantoonbaar werken en bestuurders zijn persoonlijk verantwoordelijk voor de naleving.
De NCSC (Nationaal Cyber Security Centrum) en de RDI (Rijksinspectie Digitale Infrastructuur) zijn aangewezen als toezichthouders en kunnen audits uitvoeren en sancties opleggen.
De drie kernverplichtingen van de CBW
Zorgplicht
Organisaties moeten passende technische en organisatorische maatregelen nemen om cyberrisico's te beheersen. Denk aan risicobeheer, toegangsbeveiliging, incidentrespons, back-ups en beveiliging van de toeleveringsketen. De maatregelen moeten aantoonbaar zijn en evenredig aan het risico.
Meldplicht
Significante incidenten moeten binnen 24 uur gemeld worden bij de toezichthouder (NCSC of RDI). Een volledig rapport volgt binnen 72 uur. Niet of te laat melden is een overtreding op zichzelf, ongeacht de ernst van het incident.
Toezicht
De NCSC en RDI houden actief toezicht en kunnen onaangekondigde audits uitvoeren, informatie opvragen en sancties opleggen. Essentiële entiteiten vallen onder zwaarder toezicht dan belangrijke entiteiten. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij structurele tekortkomingen.
Voor welke organisaties geldt de Cyberbeveiligingswet?
De CBW onderscheidt essentiële entiteiten (zwaarste verplichtingen, boetes tot €10 miljoen of 2% van de wereldwijde omzet) en belangrijke entiteiten (lichtere verplichtingen, boetes tot €7 miljoen of 1,4% van de wereldwijde omzet). Als vuistregel geldt: organisaties met meer dan 50 medewerkers of een omzet boven €10 miljoen in een aangewezen sector vallen in scope.
De wet geldt onder andere voor:
- Energie, transport en drinkwater
- Zorg, farmacie en gezondheidszorg
- Digitale infrastructuur en ICT-dienstverleners
- Financiële sector en bankwezen
- Logistiek, productie-industrie en toeleveringsketens
- Software- en cloudleveranciers die kritieke sectoren bedienen
Twijfelt u of uw organisatie in scope valt? Een snelle impactanalyse geeft binnen één gesprek duidelijkheid.
Deadline en sancties — wat staat er op het spel?
De Cyberbeveiligingswet treedt in werking op 1 juli 2026. Organisaties die op die datum niet aantoonbaar voldoen, lopen direct risico op handhaving. De sancties zijn fors.
Organisaties in kritieke sectoren zoals energie, zorg, digitale infrastructuur en transport. Het hoogste bedrag is van toepassing.
Organisaties die niet als essentieel worden aangemerkt, maar wél in scope van de Cyberbeveiligingswet vallen.
Bij structurele tekortkomingen kunnen bestuurders en directieleden persoonlijk aansprakelijk worden gesteld door de toezichthouder.
De NCSC of RDI kan bij ernstige of herhaalde niet-naleving tijdelijke schorsing van diensten opleggen.
Hoelang een implementatietraject duurt, hangt af van uw organisatie — wat er al aanwezig is en hoeveel tijd er beschikbaar is. In sommige gevallen zijn de eerste aantoonbare stappen al binnen enkele weken gezet; voor een volledige implementatie lopen trajecten over meerdere maanden.
Hoe Proud Innovations u helpt met de Cyberbeveiligingswet
Van nulmeting tot aantoonbare compliance — pragmatisch en auditklaar.
CBW & NIS2 Compliance Advies
Strategisch advies op maat: van impactanalyse en beleidsvorming tot volledige implementatie en bestuurlijke borging. Wij zorgen dat uw organisatie aantoonbaar voldoet aan de Cyberbeveiligingswet.
- Impactanalyse en scope-bepaling
- Implementatieplan op maat
- Bestuurlijke rapportage en governance
CBW Gap-analyse
Weet waar u staat vóór de deadline. Onze gap-analyse brengt snel in kaart welke verplichtingen al ingevuld zijn, waar de risico's zitten en wat de prioritaire stappen zijn om compliant te worden.
- Nulmeting op alle CBW-verplichtingen
- Risicoprioritering en verbeterplan
- Auditklaar eindrapport
Externe CISO as a Service
De CBW vereist aantoonbare bestuurlijke verantwoordelijkheid voor informatiebeveiliging. Een externe CISO biedt de expertise en regie die nodig zijn — flexibel inzetbaar en direct operationeel.
- CBW-verantwoordelijkheid bestuurlijk geborgd
- Zorgplicht en meldplicht ingericht
- Schaalbaar: van enkele dagen tot interim
Veelgestelde vragen over de Cyberbeveiligingswet
Wat is de Cyberbeveiligingswet (CBW)?
De Cyberbeveiligingswet (CBW) is de Nederlandse wet die de Europese NIS2-richtlijn omzet in nationale regelgeving. De wet stelt verplichte eisen aan de beveiliging van netwerk- en informatiesystemen van organisaties in kritieke sectoren. Organisaties moeten aantoonbaar grip hebben op cyberrisico's, incidenten melden bij de toezichthouder en hun toeleveringsketen beveiligen.
Wat is het verschil tussen de CBW en NIS2?
NIS2 is de Europese richtlijn. De Cyberbeveiligingswet (CBW) is de Nederlandse vertaling van die richtlijn in nationale wetgeving, van kracht per 1 juli 2026. Inhoudelijk zijn ze grotendeels gelijk, maar de CBW benoemt de specifieke Nederlandse toezichthouders (NCSC en RDI) en de exacte sanctiehoogtes die in Nederland van toepassing zijn. Als u hoort dat uw organisatie "NIS2-compliant" moet zijn, betekent dat in Nederland: voldoen aan de Cyberbeveiligingswet.
Valt mijn organisatie onder de Cyberbeveiligingswet?
De CBW geldt voor essentiële en belangrijke entiteiten in aangewezen sectoren zoals energie, transport, zorg, drinkwater, digitale infrastructuur en financiën. Als vuistregel geldt: organisaties met meer dan 50 medewerkers of een omzet boven €10 miljoen in een aangewezen sector zijn in scope. Maar ook leveranciers en ICT-dienstverleners die in deze ketens opereren vallen vaak indirect onder de wet. Een impactanalyse geeft snel duidelijkheid over uw specifieke situatie.
Wanneer moet ik aan de Cyberbeveiligingswet voldoen?
De Cyberbeveiligingswet treedt in werking per 1 juli 2026. Vanaf die datum zijn de zorgplicht, meldplicht en toezichtsverplichtingen actief en afdwingbaar. Organisaties die dan niet aantoonbaar compliant zijn, lopen het risico op boetes en handhavingsmaatregelen. Hoelang een traject duurt, hangt af van wat er al aanwezig is en hoeveel tijd er beschikbaar is — van enkele weken voor de eerste aantoonbare stappen tot meerdere maanden voor een volledige implementatie. Starten is altijd verstandig, ongeacht de resterende tijd.
Wat zijn de sancties bij niet-naleving van de Cyberbeveiligingswet?
Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet (het hoogste bedrag geldt). Belangrijke entiteiten riskeren boetes tot €7 miljoen of 1,4% van de wereldwijde omzet. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld en kunnen toezichthouders tijdelijke schorsing van diensten opleggen. Naast financiële gevolgen is er ook een reëel reputatierisico en kunnen ketenpartners de samenwerking beëindigen.
Ontdek binnen één gesprek uw CBW-status
Plan een vrijblijvend gesprek met onze consultants en ontvang direct inzicht in de impact van de Cyberbeveiligingswet op uw organisatie — en de kortste route naar aantoonbare compliance vóór 1 juli 2026.