De Europese NIS2-richtlijn is geen toekomstmuziek meer. Op 4 juni 2025 is het wetsvoorstel voor de Nederlandse Cyberbeveiligingswet (Cbw) ingediend in de Tweede Kamer. Zodra deze wet wordt aangenomen, krijgen duizenden organisaties in Nederland te maken met nieuwe wettelijke verplichtingen op het gebied van cybersecurity. Hoewel de wet nog niet van kracht is, ligt de inhoud grotendeels vast. De vereisten zijn streng, met verplichte risicobeheersing, meldplichten en sancties voor nalatigheid. De urgentie is duidelijk: nu voorbereiden betekent straks niet in de problemen komen.
Van digitaliseringsambitie naar digitale veerkracht: Nederland in transitie
Digitalisering is geen abstract beleidsdoel meer, het is diep verankerd in het dagelijks leven van burgers en bedrijven in Nederland. We regelen onze bankzaken via apps, streamen muziek en films op meerdere apparaten tegelijk, maken online afspraken met onze arts en bestellen met een paar klikken boodschappen aan huis.
Ook ontspanning speelt zich steeds vaker digitaal af. Online gamen, maar ook online gokken, heeft de afgelopen jaren een enorme vlucht genomen. De toegankelijkheid van digitale betaalmethoden speelt hierbij een belangrijke rol. Volgens Esports Insider over betaalopties is PaysafeCard bijvoorbeeld populair bij online casino’s vanwege de mogelijkheid om anoniem tegoeden op te waarderen, los van bankgegevens. Voor veel gebruikers betekent dat meer controle en privacy bij hun digitale vrijetijdsbesteding.
Ook buiten de consumentenwereld digitaliseert Nederland in snel tempo. In de landbouw maken boeren gebruik van precisiedata en drones, transportbedrijven vertrouwen op realtime logistieke software, en onderwijsinstellingen organiseren hybride lessen via digitale leeromgevingen.
Zelfs in sectoren als de bouw, afvalverwerking en waterbeheer worden processen steeds vaker aangestuurd vanuit de cloud of via slimme sensoren. De digitale infrastructuur vormt zo de ruggengraat van onze economie én onze publieke diensten.
Digitale veerkracht is daarom geen luxe of louter IT-vraagstuk meer, maar een maatschappelijke noodzaak. En precies in dat spanningsveld komt de aankomende Cyberbeveiligingswet in beeld: als juridisch fundament onder een samenleving die onherroepelijk digitaal is – en dus stevig beschermd moet worden.
Wat is de Cyberbeveiligingswet, en wat staat er al vast?
De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de Europese NIS2-richtlijn (Network and Information Security Directive 2), die op 16 januari 2023 EU-breed van kracht ging. Deze richtlijn verplicht lidstaten om hun wetgeving aan te scherpen en zo de digitale weerbaarheid van vitale en belangrijke sectoren te vergroten.
In Nederland werd het wetsvoorstel op 4 juni 2025 ingediend. De wet:
- Vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni)
- Legt verplichtingen op via drie onderdelen:
1 Het wetsvoorstel zelf
2 Het Cyberbeveiligingsbesluit (Cbb) – een Algemene Maatregel van Bestuur met uitgewerkte verplichtingen
3 Ministeriële regelingen per sector, zoals de BIO2 voor overheden
De formele inwerkingtreding wordt begin 2026 verwacht. Voor wie gaat deze wet gelden? De wet richt zich op twee typen organisaties:
- Essentiële entiteiten: zoals energiebedrijven, vervoersdiensten, drinkwaterbedrijven, banken, zorginstellingen en overheden
- Belangrijke entiteiten: o.a. hostingproviders, softwarebedrijven, postdiensten, voedselproducenten, afvalverwerking, en mkb-leveranciers in vitale k
In de praktijk: als je organisatie meer dan 50 medewerkers heeft en/of een jaaromzet > €10 miljoen, en actief is in één van deze sectoren, dan val je waarschijnlijk onder de wet.
Wat zijn de verplichtingen onder de Cbw?
De Cyberbeveiligingswet legt organisaties niet alleen verantwoordelijkheden op, maar maakt die ook concreet, afdwingbaar en toetsbaar. Het gaat daarbij niet om vrijblijvende aanbevelingen, maar om wettelijke verplichtingen die organisaties structureel moeten toepassen in hun beleid, processen en cultuur. Wie onder de wet valt, moet aantonen dat er actief wordt gewerkt aan digitale weerbaarheid – niet pas na een incident, maar continu.
1. Zorgplicht
Je moet aantoonbaar beveiligingsmaatregelen nemen, waaronder:
- Risicoanalyses
- Encryptie & toegangsbeheer
- Incidentresponsplannen
- Logging & monitoring
- Opleidingen voor personeel
- Bestuurlijke betrokkenheid (verantwoordingsplicht)
Voor overheden geldt: de BIO2 (herziening van de Baseline Informatiebeveiliging Overheid) vormt de verplichte standaard.
2. Meldplicht
- Binnen 24 uur een eerste melding bij ernstige incidenten
- Binnen 72 uur een uitgewerkt rapport
Deze meldingen gaan naar het NCSC of de aangewezen toezichthouder.
3. Registratieplicht
Organisaties moeten zich actief inschrijven bij de toezichthouder. Wie dit nalaat, overtreedt de wet.
4. Opleidingsplicht voor bestuurders
Nieuw: bestuurders moeten aantoonbare kennis van cybersecurity hebben. Een passieve houding is niet langer toegestaan, en kan leiden tot sancties. Wat gebeurt er als je niet voldoet? De boetes zijn aanzienlijk:
- Tot €10 miljoen of 2% van wereldwijde omzet voor essentiële entiteiten
- Tot €7 miljoen of 1,4% omzet voor belangrijke entiteiten
- Bestuurlijke aansprakelijkheid bij grove nalatigheid
- Reputatieschade bij klanten, partners en leveranciers
- Mogelijk verlies van aanbestedingen of vergunningen
Digitale weerbaarheid is een bestuursprioriteit
De Cyberbeveiligingswet is meer dan een inspanning op het gebied van compliance. Het is het logische gevolg van een samenleving waarin digitalisering centraal staat, maar digitale dreigingen sneller groeien dan de bescherming. Nederland loopt in veel opzichten voorop op het vlak van digitale infrastructuur. Maar zonder een stevige basis van wetgeving, naleving en weerbaarheid, wordt die voorsprong een kwetsbaarheid. NIS2 is al van kracht. De Cyberbeveiligingswet komt snel. De vraag is: ben jij al begonnen?
Dit artikel kwam tot stand in samenwerking met ESI Esports Insider.
