De Cyberbeveiligingswet: NIS2-implementatie in Nederland en wat dit betekent voor bestuurders

Blog

Published 24 april 2026 Reading time min Auteur Gigi van Hout Digital, Cyber & Privacy

Introductie

Dit artikel gaat nader in op de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn (Richtlijn (EU) 2022/2555). Centraal staan de belangrijkste verplichtingen voor organisaties, waaronder de zorgplicht, de meldplicht en de registratieplicht, en de positie van bestuurders in het licht van de bestuurdersverantwoordelijkheid die de NIS2-richtlijn benoemt.

De Europese Commissie heeft vastgesteld dat de eerste NIS-richtlijn (Richtlijn (EU) 2016/1148), in Nederland geïmplementeerd via de Wet beveiliging netwerk- en informatiesystemen (Wbni), onvoldoende effectief was gebleken: het toepassingsbereik was te beperkt, het toezicht was onvoldoende geharmoniseerd en de verplichtingen waren onvoldoende concreet. De NIS2-richtlijn beoogt deze tekortkomingen te verhelpen door een aanzienlijke uitbreiding van het bereik, meer gedetailleerde verplichtingen op het gebied van risicobeheer en incidentmelding, en een uitdrukkelijke verantwoordelijkheid voor bestuurders ten aanzien van cyberbeveiliging.

De Tweede Kamer heeft het wetsvoorstel Cyberbeveiligingswet inmiddels aangenomen. De Nederlandse overheid streeft naar inwerkingtreding in het tweede kwartaal van 2026, na goedkeuring door de Eerste Kamer. De Cyberbeveiligingswet vervangt de huidige Wbni en wordt verder uitgewerkt in een Cyberbeveiligingsbesluit (AMvB) en ministeriële regelingen. Op het moment dat de Cyberbeveiligingswet in werking treedt, zijn alle verplichtingen daaruit onmiddellijk van kracht. De boodschap: Wacht niet met nagaan of de Cyberbeveiligingswet toepassing is.

Toepassingsbereik: wie valt onder de wet?

Een van de meest ingrijpende wijzigingen ten opzichte van de Wbni is de aanzienlijke verruiming van het toepassingsbereik. De Cyberbeveiligingswet introduceert een systeem waarin organisaties in beginsel zelf moeten beoordelen of zij binnen het toepassingsbereik vallen, op basis van de sector waarin zij actief zijn en hun omvang.

De NIS2-richtlijn maakt een onderscheid tussen essentiële entiteiten en belangrijke entiteiten, verdeeld over achttien sectoren. Essentiële entiteiten betreffen onder meer organisaties in de sectoren energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten (B2B), overheid en ruimtevaart. Belangrijke entiteiten omvatten onder meer post- en koeriersdiensten, afvalstoffenbeheer, de chemische industrie, de levensmiddelenindustrie, de maakindustrie, digitale aanbieders en onderzoeksorganisaties.

In beginsel vallen middelgrote en grote ondernemingen in deze sectoren onder de Cyberbeveiligingswet. Bepaalde entiteiten, zoals aanbieders van openbare elektronische-communicatienetwerken, vertrouwensdienstverleners en DNS-dienstverleners, vallen ongeacht hun omvang onder het bereik.

Belangrijkste verplichtingen

De Cyberbeveiligingswet legt drie kernverplichtingen op aan entiteiten die onder het bereik vallen: de zorgplicht, de meldplicht en de registratieplicht.

Zorgplicht

De zorgplicht vormt het hart van de Cyberbeveiligingswet. Entiteiten dienen passende en evenredige technische, operationele en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. Deze maatregelen moeten ten minste de volgende onderdelen omvatten: beleid inzake risicoanalyse en beveiliging van informatiesystemen, incidentenbehandeling, bedrijfscontinuïteit en crisisbeheer, de beveiliging van de toeleveringsketen, beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, beleid en procedures om de effectiviteit van risicobeheersmaatregelen te beoordelen, basispraktijken op het gebied van cyberhygiëne en cyberbeveiligingsopleiding, beleid en procedures inzake het gebruik van cryptografie en encryptie, beveiligingsaspecten op het gebied van personeel, toegangsbeleid en activabeheer, en het gebruik van multifactorauthenticatie en beveiligde communicatie.

Meldplicht

De meldplicht wordt onder de Cyberbeveiligingswet aanmerkelijk uitgebreid en aangescherpt ten opzichte van de Wbni. De Cyberbeveiligingswet voorziet in een getrapt meldingssysteem: binnen 24 uur na kennisname van een significant incident dient een vroegtijdige waarschuwing te worden ingediend, binnen 72 uur een incidentmelding met een eerste beoordeling, en binnen één maand een eindverslag.

Registratieplicht

Nieuw onder de Cyberbeveiligingswet is de registratieplicht. Alle entiteiten die onder het bereik van de Cyberbeveiligingswet vallen dienen zich te registreren bij het Nationaal Cyber Security Centrum. Onder de Cyberbeveiligingswet rust de verantwoordelijkheid om te beoordelen of men binnen het bereik valt en zich vervolgens te registreren bij de organisaties zelf. De registratie stelt de toezichthouders in staat een actueel overzicht te hebben van de entiteiten die onder de wet vallen en effectief toezicht te houden.

Governance en de rol van het bestuur

Een van de meest opvallende vernieuwingen van de NIS2-richtlijn is de uitdrukkelijke verantwoordelijkheid die wordt gelegd bij de bestuursorganen van essentiële en belangrijke entiteiten.

Goedkeurings- en toezichtplicht

Op grond van artikel 24 lid 1Cbw dient het bestuur de risicobeheersmaatregelen voor cyberbeveiliging formeel goed te keuren en toezicht te houden op de uitvoering ervan. Bestuurders kunnen daarmee mogelijk aansprakelijk worden gesteld voor inbreuken op deze verplichting. Dit betekent dat cyberbeveiliging niet langer uitsluitend een aangelegenheid is van de IT-afdeling, maar een expliciet aandachtspunt op bestuursniveau. Het bestuur blijft eindverantwoordelijk over cyberbeveiliging van de organisatie en de naleving van de Cbw door de organisatie.

Opleidingsverplichting

Artikel 24 lid 2 t/m 6 Cbw verplicht leden van bestuursorganen om een opleiding te volgen, zodat zij voldoende kennis en vaardigheden verwerven om cyberbeveiligingsrisico’s te identificeren en beheersmaatregelen te beoordelen.

Handhaving

Voor essentiële entiteiten bevat de Cbw in artikel 78 de mogelijkheid voor de toezichthouder om een natuurlijke persoon die verantwoordelijk is voor leidinggevende taken op het niveau van het bestuursorgaan tijdelijk te verbieden dergelijke functies uit te oefenen. Dit is een ingrijpende bestuursrechtelijke maatregel die de persoonlijke positie van bestuurders direct raakt. Deze maatregel is in de Cyberbeveiligingswet overgenomen als handhavingsinstrument. Daarbij kan de toezichthouder ook besluit om eventuele vergunningen te schorsen of in te trekken bij schendingen van de Cbw.

Bestuurdersaansprakelijkheid

Een veelgestelde vraag is of de NIS2-richtlijn en de Cyberbeveiligingswet een eigen, nieuw civielrechtelijk aansprakelijkheidsregime voor bestuurders introduceren, naast het handhavingsregime zoals hierboven toegelicht.

Op grond van artikel 2:9 lid 1 BW is elke bestuurder tegenover de rechtspersoon gehouden tot een behoorlijke vervulling van zijn taak. Lid 2 bepaalt dat elke bestuurder verantwoordelijkheid draagt voor de algemene gang van zaken en voor het geheel aansprakelijk is ter zake van onbehoorlijk bestuur, tenzij hem geen ernstig verwijt kan worden gemaakt.

Met de inwerkingtreding van de Cyberbeveiligingswet wordt de norm voor behoorlijk bestuur voor in-scope entiteiten nader ingekleurd: een bestuurder die nalaat de wettelijk vereiste cyberbeveiligingsmaatregelen goed te keuren, geen toezicht houdt op de uitvoering of geen cyberbeveiligingsopleiding volgt, loopt het risico dat dit als onbehoorlijke taakvervulling in de zin van artikel 2:9 BW wordt aangemerkt.

Tijdslijn: wat staat er nog te gebeuren?

Het implementatietraject van de NIS2-richtlijn in Nederland verloopt via meerdere instrumenten die in een vaste volgorde in werking treden. De onderstaande tijdslijn geeft een overzicht.

De NIS2-richtlijn is op 16 januari 2023 in werking getreden, met een uiterste implementatiedeadline van 17 oktober 2024. Nederland heeft deze deadline niet gehaald. Het wetsvoorstel Cyberbeveiligingswet is medio april door de Tweede Kamer aangenomen. De Nederlandse overheid streeft naar inwerkingtreding in het tweede kwartaal van 2026, na behandeling en goedkeuring door de Eerste Kamer.

Na inwerkingtreding van de Cyberbeveiligingswet volgt subsidiaire regelgeving voor de verschillende sectoren, zoals algemene maatregelen van bestuur, het Cyberbeveiligingsbesluit (Cbb). De Cbb stelt nadere regels over onder meer de concrete invulling van de zorgplicht, de meldplichtvereisten en de aanwijzing van sectorspecifieke toezichthouders. Ter verdere uitwerking worden ministeriële regelingen verwacht die technische specificaties, meldingsformats en nadere sectorspecifieke normen bevatten.

Wat zijn de aandachtspunten?

Hieronder geven we de belangrijkste aandachtspunten weer voor organisaties die (mogelijk) onder het bereik van de Cyberbeveiligingswet vallen.

Scope-assessment: val mijn organisatie eronder?

De eerste stap is vaststellen of de organisatie kwalificeert als essentiële of belangrijke entiteit. Organisaties dienen te beoordelen of zij actief zijn in een van de achttien sectoren en of zij voldoen aan de omvangscriteria. Dit vereist een grondige inventarisatie van de diensten die worden verleend en de sector(en) waarin de organisatie actief is. Dit betreft zowel hoofd- als nevenwerkzaamheden.

Gap-analyse op de zorgplicht

Organisaties die binnen het bereik vallen dienen hun huidige cyberbeveiligingsmaatregelen te toetsen aan de uitgebreide lijst van maatregelen die de Cyberbeveiligingswet en eventueel toepasselijke subsidiaire regelgeving vereisen. Het verdient aanbeveling om een gap-analyse uit te voeren, waarbij het huidige beleid en de huidige processen worden vergeleken met de wettelijke vereisten. Bijzondere aandacht verdient de beveiliging van de toeleveringsketen, een verplichting die voor veel organisaties nieuw zal zijn.

Meldplichtprocedures

Het getrapt meldingssysteem, 24 uur, 72 uur, één maand, stelt mogelijk hogere eisen aan de bestaande interne incidentresponsprocedures. Organisaties dienen hun incidentresponsplannen te herzien en te waarborgen dat zij in staat zijn om binnen de gestelde termijnen de vereiste meldingen te doen. Dit vraagt bijvoorbeeld ook om heronderhandelingen met derde partijen wat betreft contractuele meldverplichtingen en bijbehorende termijnen.

Bestuurlijke governance

Het bestuur dient te worden voorbereid op de verplichtingen in verband met diens rol. Dit houdt concreet in dat cyberbeveiligingsrisicobeheermaatregelen als vast agendapunt op de bestuursvergadering worden opgenomen, dat het bestuur formele goedkeuring verleent aan het cyberbeveiligingsbeleid, dat bestuurders een cyberbeveiligingsopleiding volgen en dat het bestuur structureel toezicht houdt op de uitvoering van de maatregelen.

Aandacht voor de toeleveringsketen

De Cbw verplicht entiteiten om bij hun cyberbeveiligingsbeleid de beveiliging van de toeleveringsketen te betrekken. Dit omvat de relaties met directe leveranciers en andere dienstverleners. Organisaties dienen hun contracten met leveranciers te evalueren en waar nodig aan te passen om te waarborgen dat leveranciers, onder meer, aan adequate cyberbeveiligingsstandaarden voldoen en dit te monitoren dan wel controleren.

Sanctierisico’s

De Cbw voorziet in aanzienlijke sanctiebevoegdheden voor toezichthouders, waaronder bestuurlijke boetes. Voor essentiële entiteiten kunnen boetes oplopen tot ten minste tien miljoen euro of twee procent van de wereldwijde jaaromzet, en voor belangrijke entiteiten tot ten minste zeven miljoen euro of 1,4 procent van de wereldwijde jaaromzet. Daarnaast beschikken toezichthouders over de bevoegdheid om aanwijzingen te geven, audits te laten uitvoeren, vergunningen of bestuurders te schorsen.

Contact

Wilt u meer informatie over de wijze waarop wij u van dienst kunnen zijn? Neem dan contact op met onze specialisten.

De Cyber­be­vei­li­gings­wet: NIS2-imple­men­ta­tie in Neder­land en wat dit bete­kent voor bestuur­ders

Blog

Intro­duc­tie

Toe­pas­sings­be­reik: wie valt onder de wet?

Belang­rijk­ste ver­plich­tin­gen

Zorg­plicht

Meld­plicht

Regi­stra­tie­plicht

Gover­nan­ce en de rol van het bestuur

Goed­keu­rings- en toe­zicht­plicht

Oplei­dings­ver­plich­ting

Hand­ha­ving

Bestuur­ders­aan­spra­ke­lijk­heid

Tijds­lijn: wat staat er nog te gebeu­ren?

Wat zijn de aan­dachts­pun­ten?

Sco­pe-assess­ment: val mijn orga­ni­sa­tie eron­der?

Gap-ana­ly­se op de zorg­plicht

Meld­plicht­pro­ce­du­res

Bestuur­lij­ke gover­nan­ce

Aan­dacht voor de toe­le­ve­rings­ke­ten