2LRN4 security awareness platform
NL · EN
← Terug naar kennisbank

Wat is de Cyberbeveiligingswet (Cbw)?

Praktische uitleg over wat is de cyberbeveiligingswet voor organisaties die veilig gedrag structureel willen verbeteren.

Actueel

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina

De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de EU NIS2-richtlijn. De wet legt cybersecurity-eisen op aan essentiële en belangrijke entiteiten — onder meer in de zorg, financiële sector, energie, drinkwater, digitale infrastructuur, overheid, en het volledige hoger onderwijs (HBO en universiteiten). De Cbw vervangt de oude Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) en legt zwaardere verantwoordelijkheden bij het bestuur.

Waarom de Cbw er is gekomen

Op 17 januari 2023 trad de NIS2-richtlijn (Network and Information Security 2) in werking als opvolger van NIS1. NIS2 verbreedde de scope drastisch — van enkele duizenden organisaties in de oude richtlijn naar tienduizenden in heel Europa — en introduceerde directe bestuurlijke aansprakelijkheid voor cybersecurity. Lidstaten moesten NIS2 omzetten in nationale wetgeving vóór 18 oktober 2024.

In Nederland is dat gebeurd via de Cyberbeveiligingswet (Cbw), met onderliggende uitvoeringsregels in het Cyberbeveiligingsbesluit (Cbb). De Cbw vervangt de eerdere Wbni en is in 2024-2025 stapsgewijs in werking getreden. Toezicht ligt bij verschillende sectortoezichthouders: voor de zorg de IGJ, voor financieel DNB, voor digitale infrastructuur de RDI, voor de overheid de eigen ministeries.

Belangrijk: de Cbw geldt rechtstreeks voor Nederlandse organisaties. Je hoeft niet te kijken naar de NIS2-richtlijn-tekst zelf — de Nederlandse wettekst is bindend en bevat de specifieke definities, drempels en handhavingsregels.

Wie valt onder de Cbw?

De Cbw maakt onderscheid tussen essentiële en belangrijke entiteiten. Essentiële entiteiten staan onder actief, proactief toezicht (toezichthouders kunnen onaangekondigd auditen). Belangrijke entiteiten staan onder reactief toezicht (alleen bij signalen of incidenten).

  • Essentiële sectoren (artikel 8 Cbw): energie, vervoer, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheid (centraal/regionaal), ruimtevaart.
  • Belangrijke sectoren (artikel 9 Cbw): post- en koerierdiensten, afvalbeheer, productie/distributie van chemische stoffen, productie/verwerking van levensmiddelen, vervaardiging (machinebouw, motorvoertuigen, etc.), aanbieders van digitale diensten, onderzoeksorganisaties, hoger onderwijs (HBO en universiteiten).
  • Drempels: meestal geldt 50+ medewerkers of €10 miljoen jaaromzet als ondergrens, met uitzonderingen voor specifieke kritieke entiteiten waar geen drempel geldt.

De drie pijlers van de Cbw

De Cbw kent drie hoofdverplichtingen die vaak parallel uitgewerkt worden in een implementatieplan:

  • Cbw artikel 21 — Zorgplicht (organisatorische maatregelen). Risicobeheer, incidentbehandeling, bedrijfscontinuïteit, supply chain security, asset management, cryptografie, toegangsbeleid en cyberhygiëne moeten aantoonbaar geregeld zijn. Awareness-training is hier expliciet onderdeel van.
  • Cbw artikel 24 — Governance. Bestuurders moeten cybersecurity-training volgen en zijn persoonlijk aansprakelijk bij verwijtbare nalatigheid. Daarnaast moet het bestuur de implementatie van Cbw-maatregelen actief sturen, niet delegeren.
  • Cbw artikel 25 — Meldplicht. Significante incidenten moeten in drie fasen worden gemeld: een vroege waarschuwing binnen 24 uur, een tussenrapportage binnen 72 uur, een eindrapport binnen één maand. Vrijwillige meldingen worden actief gefaciliteerd.

Cbw versus NIS2 — waarom je in Nederland Cbw eerst leest

NIS2 is een Europese richtlijn — het zet een minimumkader, maar laat lidstaten ruimte voor nationale invulling. De Cbw is de Nederlandse uitwerking en bevat op verschillende punten extra of strengere regels: bijvoorbeeld in de definitie van "significant incident", de toezichtsbevoegdheden, en de specifieke sector-aanwijzingen.

Voor Nederlandse organisaties geldt: de Cbw is bindend, niet de richtlijn-tekst. Een Cbw-audit toetst aan de Cbw, niet rechtstreeks aan NIS2. Pas wanneer Cbw onduidelijk of stilzwijgend is, kan er teruggevallen worden op de NIS2-tekst als interpretatiehulp.

In de praktijk verwijst veel literatuur en marketing naar "NIS2-compliance". Dat is begrijpelijk vanwege de Europese herkenbaarheid, maar in toezicht en handhaving wordt altijd de Nederlandse wet toegepast. Awareness-trainingen en compliance-documentatie kunnen daarom beter primair Cbw-framing gebruiken.

Sancties en boetes onder de Cbw

De Cbw kent forse sancties voor non-compliance. Voor essentiële entiteiten kunnen boetes oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet (welke hoger is). Voor belangrijke entiteiten ligt het maximum op €7 miljoen of 1,4%.

Naast geldboetes hebben toezichthouders bevoegdheden om aanwijzingen te geven, certificaten in te trekken, en bij ernstige nalatigheid bestuurders tijdelijk uit hun functie te ontheffen. Dat laatste is een direct gevolg van de bestuurlijke aansprakelijkheid uit Cbw artikel 24.

In de eerste 12-18 maanden na inwerkingtreding leggen toezichthouders typisch nog geen maximumboetes op — er is een ingroeiperiode waarin "redelijke vooruitgang" centraal staat. Maar de bestuurstraining-eis (Cbw art. 24) wordt vanaf dag één gehandhaafd, en non-compliance daar is direct aantoonbaar.

Van uitleg naar aanpak

Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar Cbw-programma met training, phishing simulatie en bestuursrapportage.

Bekijk de Cbw / NIS2-pagina

Gerelateerd in de kennisbank

Bronnen

FAQ

Per wanneer geldt de Cbw?

De Cyberbeveiligingswet is in 2024-2025 stapsgewijs in werking getreden, met de meeste verplichtingen volledig actief in 2025. Voor specifieke sectoren kunnen aanvullende uitvoeringsbesluiten gelden — raadpleeg het Cyberbeveiligingsbesluit (Cbb) voor sector-specifieke deadlines.

Valt mijn organisatie onder de Cbw?

Dat hangt af van uw sector en organisatiegrootte. Algemene drempel: 50+ medewerkers of €10M omzet, in een aangewezen sector. Het Digital Trust Center (DTC) heeft een online check waarmee u snel kunt vaststellen of u in scope bent.

Wat als ik onder NIS2 val maar niet onder de Cbw?

In Nederland bestaat dat verschil in de praktijk niet. De Cbw is de Nederlandse implementatie van NIS2; als u onder NIS2 valt en in Nederland gevestigd bent, valt u onder de Cbw. Voor multinationals: de hoofdvestiging-regel uit NIS2 art. 26 bepaalt onder welke nationale wet u valt.

Wat is de relatie met AVG en NEN 7510?

Cbw, AVG en NEN 7510 hebben overlap maar verschillende focus. AVG gaat over persoonsgegevens; Cbw over algemene cybersecurity; NEN 7510 specifiek over informatiebeveiliging in de zorg. Een goed compliance-programma adresseert alle drie waar van toepassing — vaak via één governance-structuur.

Hoe begin ik met Cbw-implementatie?

Drie stappen: (1) bepaal of u in scope bent en wie de eindverantwoordelijke bestuurder wordt; (2) doe een gap-analyse op Cbw artikelen 21, 24 en 25; (3) stel een implementatieplan op met prioriteit op art. 24 bestuurstraining (wordt direct gehandhaafd) en art. 21 organisatorische maatregelen.

Welke toezichthouder is verantwoordelijk?

Sector-afhankelijk: zorg → IGJ, financieel → DNB, digitale infrastructuur → RDI, overheid → ministerie van Binnenlandse Zaken (regionaal) of het bevoegd gezag (centraal). Bij twijfel: het Digital Trust Center (DTC) wijst de juiste toezichthouder aan.

Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Meer artikelen