De Cyberbeveiligingswet: Stappenplan voor wat je vóór 15 augustus geregeld wilt hebben
Op 7 juli 2026 stemde de Eerste Kamer in met de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Daarmee is de Nederlandse implementatie van de Europese NIS2-richtlijn officieel een feit. Beide wetten treden op 15 augustus 2026 in werking.
Vanaf dat moment is cybersecurity voor ruim 8.000 organisaties in Nederland geen vrijblijvende keuze meer, maar een wettelijke verplichting. De impact reikt bovendien verder dan deze organisaties alleen: ook duizenden leveranciers in de toeleveringsketen krijgen ermee te maken.
In gesprekken met organisaties merken we dat de wet vaak wordt benaderd als een project met een deadline. Begrijpelijk, maar daar zit precies het risico. Een wet is een ondergrens, geen ambitie. Wie de komende weken alleen werkt aan het registratiebewijs, haalt misschien de datum, maar mist het doel: een organisatie die haar bedrijfsvoering aantoonbaar beschermt.
Daarom gaat het niet alleen om wat er vóór 15 augustus geregeld moet zijn. Het gaat er vooral om hoe je deze verplichtingen gebruikt om weerbaarheid structureel te verankeren. Dit is wat er de komende weken op je agenda hoort te staan. Dat begint niet bij techniek, maar bij overzicht. Welke verplichtingen gelden voor jouw organisatie, welke risico’s spelen er en waar moet je de komende weken concreet mee aan de slag?
Stap 1: stel vast of en hoe de wet op jouw organisatie van toepassing is
Organisaties zijn zelf verantwoordelijk om te toetsen of zij onder de Cyberbeveiligingswet vallen. Er komt dus geen brief van de overheid waarin staat wat voor jouw organisatie geldt. De wet maakt onderscheid tussen essentiële en belangrijke entiteiten, met verschillen in toezicht en mogelijke sancties. De NIS2-Quickscan van de Rijksoverheid geeft binnen een paar minuten een eerste indicatie.
Kijk daarbij niet alleen naar de directe verplichtingen. Ook organisaties die zelf niet onder de wet vallen, kunnen er via hun klanten mee te maken krijgen. Organisaties die wél onder de wet vallen, moeten risico’s in hun toeleveringsketen beheersen en zullen daardoor scherpere eisen stellen aan leveranciers.
Wie nu al kan laten zien hoe informatiebeveiliging is ingericht, voert straks een ander gesprek met klanten dan organisaties die dat nog moeten uitzoeken.
Stap 2: begin met een risicoanalyse, niet met een maatregelenlijst
De zorgplicht is de kern van de wet. Die vraagt om passende maatregelen op basis van je eigen risico’s, niet om het afvinken van een standaardlijst. Dat begint bij twee vragen die elke organisatie zou moeten kunnen beantwoorden, met of zonder wetgeving: wat is voor ons het meest waardevol en waar zijn we kwetsbaar?
Breng daarom eerst in kaart welke processen, systemen en data het meest kritisch zijn voor je bedrijfsvoering. Kijk vervolgens welke maatregelen je al hebt getroffen en waar nog gaten zitten. De uitkomst is zelden dat er niets ligt. De meeste organisaties hebben al veel geregeld, maar kunnen niet altijd laten zien hoe die maatregelen samenhangen met hun werkelijke risico’s.
Precies daar verschuift de discussie: van beleid naar bewijs. Bespreek de uitkomsten met het bestuur en leg vast welke verbetermaatregelen daaruit volgen. Niet als papieren exercitie, maar als bewijs van uitvoering. Want dat is waar je straks op moet kunnen terugvallen.
Stap 3: richt je meldproces in voordat je het nodig hebt
De meldplicht kent scherpe termijnen vanuit de NIS2-richtlijn. Bij een significant incident moet je binnen 24 uur een vroege waarschuwing doen en binnen 72 uur een formele melding. Als je tijdens een incident nog moet uitzoeken wie de melding doet, wat er precies gemeld moet worden en welke informatie daarvoor nodig is, ben je eigenlijk al te laat.
Maak daarom vooraf duidelijke afspraken. Wie bepaalt of een incident significant is? Wie doet de melding bij het NCSC? En waar haalt die persoon de juiste informatie vandaan? Toets dat proces ook in de praktijk, bijvoorbeeld met een tabletop-oefening waarin bestuur en IT samen aan tafel zitten.
Een meldproces dat alleen op papier bestaat, helpt je niet op het moment dat de druk oploopt. Juist dan moet blijken of afspraken werken. De meldplicht draait in de kern om transparantie. Organisaties die een incident snel kunnen duiden en melden, laten zien dat hun detectie en respons op orde zijn. Dat is uiteindelijk de echte toets.
Stap 4: breng je keten in beeld, want die hoort nu ook bij je verantwoordelijkheid
De wet maakt organisaties verantwoordelijk voor risicobeheer in de toeleveringsketen. Dat bevestigt wat de praktijk al langer laat zien: je bent als organisatie zo sterk als de leveranciers waar je op leunt. Recente incidenten in Nederland, waarbij aanvallen via leveranciers grote groepen organisaties en burgers raakten, maken duidelijk dat dit geen theoretisch risico is.
Begin daarom met overzicht. Welke leveranciers zijn kritisch voor je bedrijfsvoering? Wie heeft toegang tot je systemen of data? En van wie ben je operationeel afhankelijk? Kijk vervolgens welke afspraken er al liggen over beveiliging, incidentmelding en continuïteit.
Volledige ketenbeheersing staat er niet vóór 15 augustus. Dat verwacht ook niemand. Wel mag je van jezelf verwachten dat je weet waar de grootste afhankelijkheden zitten en dat het gesprek met die leveranciers gepland staat.
Stap 5: organiseer bestuurlijke kennis en maak die aantoonbaar
De wet vraagt ook iets van bestuurders. Zij moeten aantoonbare kennis hebben van cybersecurity. Daar hoort een opleidingsplicht bij, maar ook persoonlijke verantwoordelijkheid. De sancties kunnen oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet.
Toch is dit meer dan een cursus die gevolgd moet worden. Bestuurlijke kennis betekent vooral dat de directie de juiste vragen kan stellen. Welke risico’s accepteren we bewust? Welke risico’s dragen we over? En waar moeten we investeren?
Digitale veiligheid hoort daarmee structureel op de agenda van de directietafel. Niet als technisch bijpraatmoment, maar als onderdeel van de sturing op de organisatie. De waarde van deze verplichting zit precies daar: directie, toezicht en techniek gaan dezelfde taal spreken.
Bij organisaties waar dat gesprek al gevoerd wordt, zien we dat security-investeringen beter aansluiten op wat er werkelijk toe doet.
Stap 6: bereid de registratie bij het NCSC voor
De registratieplicht is administratief gezien een van de meest overzichtelijke verplichtingen. Organisaties die onder de wet vallen, moeten hun gegevens aanleveren voor het entiteitenregister. In Nederland gebeurt dat via het NCSC-portaal.
Zet deze stap niet helemaal vooraan, maar schuif hem ook niet voor je uit. De registratie volgt logisch op de vaststelling uit stap 1: valt jouw organisatie onder de wet, en zo ja, op welke manier? Daarna is registratie het moment waarop je organisatie formeel wordt opgenomen in het entiteitenregister en toegang krijgt tot de juiste ondersteuning via de sectorale CSIRT.
Let wel: registratie is iets anders dan melden. Voor significante cyberincidenten geldt een aparte meldplicht. Die melding loopt via het NCSC-portaal, zodat je organisatie niet apart hoeft te melden bij zowel de sectorale CSIRT als de toezichthouder.
Voldoe aan de wet, maar stuur op weerbaarheid
De verleiding is groot om van deze zes stappen een project te maken met 15 augustus als einddatum. Begrijpelijk, maar een aanvaller trekt zich weinig aan van je registratiebewijs.
De organisaties die het meest aan deze wet hebben, zijn de organisaties die de verplichtingen gebruiken om vragen te beantwoorden die er altijd al toe deden. Kennen we onze risico’s? Kunnen we aantonen hoe we daarop sturen? En handelen we omdat het belangrijk is of pas wanneer het moet?
Wie wil weten waar de organisatie staat, begint bij feitelijk inzicht. Een risicoanalyse laat zien wat er werkelijk kwetsbaar is, maar ook wat er al goed geregeld is. Vanaf daar wordt de weg naar 15 augustus overzichtelijker. Belangrijker nog: je legt een fundament voor de jaren daarna.
Voor organisaties die willen weten waar ze staan voordat een toezichthouder of incident dat voor hen bepaalt, is dat inzicht een logische eerste stap.