De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de EU NIS2-richtlijn. De wet legt cybersecurity-eisen op aan essentiële en belangrijke entiteiten, onder meer in de zorg, financiële sector, energie, drinkwater, digitale infrastructuur, overheid, en het volledige hoger onderwijs (HBO en universiteiten). De Cbw vervangt de oude Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) en legt zwaardere verantwoordelijkheden bij het bestuur. Voor Belgische organisaties geldt een vergelijkbare wet, de Belgische NIS2-wet van 26 april 2024, met eigen toezichthouder (CCB) en eigen uitvoeringsregels.
Waarom de Cbw er is gekomen
Op 17 januari 2023 trad de NIS2-richtlijn (Network and Information Security 2) in werking als opvolger van NIS1. NIS2 verbreedde de scope drastisch, van enkele duizenden organisaties in de oude richtlijn naar tienduizenden in heel Europa, en introduceerde directe bestuurlijke aansprakelijkheid voor cybersecurity. Lidstaten moesten NIS2 omzetten in nationale wetgeving vóór 18 oktober 2024.
In Nederland is dat gebeurd via de Cyberbeveiligingswet (Cbw), met onderliggende uitvoeringsregels in het Cyberbeveiligingsbesluit (Cbb). De Cbw vervangt de eerdere Wbni en is in 2024-2025 stapsgewijs in werking getreden. Toezicht ligt bij verschillende sectortoezichthouders: voor de zorg de IGJ, voor financieel DNB, voor digitale infrastructuur de RDI, voor de overheid de eigen ministeries.
Belangrijk: de Cbw geldt rechtstreeks voor Nederlandse organisaties. Je hoeft niet te kijken naar de NIS2-richtlijn-tekst zelf, de Nederlandse wettekst is bindend en bevat de specifieke definities, drempels en handhavingsregels.
En in België? De Belgische NIS2-wet
In België is NIS2 omgezet door de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, kortweg de Belgische NIS2-wet. Deze trad in werking op 18 oktober 2024, dezelfde EU-deadline die ook voor Nederland gold.
Net als de Cbw maakt de Belgische NIS2-wet onderscheid tussen essentiële en belangrijke entiteiten, met vergelijkbare sectoren en drempels (50+ medewerkers of €10 miljoen omzet). De wet legt eveneens bestuursverantwoordelijkheid op: bestuurders moeten de cyberveiligheidsmaatregelen goedkeuren, toezicht houden op de uitvoering en zelf training volgen.
Centraal toezicht ligt bij het Centre for Cybersecurity Belgium (CCB), dat fungeert als nationaal coördinatiepunt, CSIRT en handhaver. Sectorale autoriteiten kunnen aanvullende rollen krijgen, bijvoorbeeld de FSMA voor financieel of de FOD Volksgezondheid voor zorg. Belgische organisaties die ook in Nederland actief zijn, vallen typisch onder de Cbw voor hun Nederlandse activiteiten en onder de Belgische NIS2-wet voor hun Belgische activiteiten, conform de hoofdvestiging-regel uit NIS2 artikel 26.
Wie valt onder de Cbw?
De Cbw maakt onderscheid tussen essentiële en belangrijke entiteiten. Essentiële entiteiten staan onder actief, proactief toezicht (toezichthouders kunnen onaangekondigd auditen). Belangrijke entiteiten staan onder reactief toezicht (alleen bij signalen of incidenten).
- Essentiële sectoren (artikel 8 Cbw): energie, vervoer, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheid (centraal/regionaal), ruimtevaart.
- Belangrijke sectoren (artikel 9 Cbw): post- en koerierdiensten, afvalbeheer, productie/distributie van chemische stoffen, productie/verwerking van levensmiddelen, vervaardiging (machinebouw, motorvoertuigen, etc.), aanbieders van digitale diensten, onderzoeksorganisaties, hoger onderwijs (HBO en universiteiten).
- Drempels: meestal geldt 50+ medewerkers of €10 miljoen jaaromzet als ondergrens, met uitzonderingen voor specifieke kritieke entiteiten waar geen drempel geldt.
De drie pijlers van de Cbw
De Cbw kent drie hoofdverplichtingen die vaak parallel uitgewerkt worden in een implementatieplan:
- Cbw artikel 21, Zorgplicht (organisatorische maatregelen). Risicobeheer, incidentbehandeling, bedrijfscontinuïteit, supply chain security, asset management, cryptografie, toegangsbeleid en cyberhygiëne moeten aantoonbaar geregeld zijn. Awareness-training is hier expliciet onderdeel van.
- Cbw artikel 24, Governance. Bestuurders moeten cybersecurity-training volgen en zijn persoonlijk aansprakelijk bij verwijtbare nalatigheid. Daarnaast moet het bestuur de implementatie van Cbw-maatregelen actief sturen, niet delegeren.
- Cbw artikel 25, Meldplicht. Significante incidenten moeten in drie fasen worden gemeld: een vroege waarschuwing binnen 24 uur, een tussenrapportage binnen 72 uur, een eindrapport binnen één maand. Vrijwillige meldingen worden actief gefaciliteerd.
Cbw versus NIS2, waarom je in Nederland Cbw eerst leest
NIS2 is een Europese richtlijn, het zet een minimumkader, maar laat lidstaten ruimte voor nationale invulling. De Cbw is de Nederlandse uitwerking en bevat op verschillende punten extra of strengere regels: bijvoorbeeld in de definitie van "significant incident", de toezichtsbevoegdheden, en de specifieke sector-aanwijzingen.
Voor Nederlandse organisaties geldt: de Cbw is bindend, niet de richtlijn-tekst. Een Cbw-audit toetst aan de Cbw, niet rechtstreeks aan NIS2. Pas wanneer Cbw onduidelijk of stilzwijgend is, kan er teruggevallen worden op de NIS2-tekst als interpretatiehulp.
In de praktijk verwijst veel literatuur en marketing naar "NIS2-compliance". Dat is begrijpelijk vanwege de Europese herkenbaarheid, maar in toezicht en handhaving wordt altijd de Nederlandse wet toegepast. Awareness-trainingen en compliance-documentatie kunnen daarom beter primair Cbw-framing gebruiken.
Sancties en boetes onder de Cbw
De Cbw kent forse sancties voor non-compliance. Voor essentiële entiteiten kunnen boetes oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet (welke hoger is). Voor belangrijke entiteiten ligt het maximum op €7 miljoen of 1,4%.
Naast geldboetes hebben toezichthouders bevoegdheden om aanwijzingen te geven, certificaten in te trekken, en bij ernstige nalatigheid bestuurders tijdelijk uit hun functie te ontheffen. Dat laatste is een direct gevolg van de bestuurlijke aansprakelijkheid uit Cbw artikel 24.
In de eerste 12-18 maanden na inwerkingtreding leggen toezichthouders typisch nog geen maximumboetes op, er is een ingroeiperiode waarin "redelijke vooruitgang" centraal staat. Maar de bestuurstraining-eis (Cbw art. 24) wordt vanaf dag één gehandhaafd, en non-compliance daar is direct aantoonbaar.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar security-awarenessprogramma met meetbare resultaten.
Bekijk de NIS2-paginaGerelateerde artikelen
Bronnen
- Cyberbeveiligingswet (officiële tekst, wetten.overheid.nl)
- Digital Trust Center, Cbw / NIS2-portaal
- NIS2-richtlijn (EUR-Lex)
FAQ
Per wanneer geldt de Cbw?
De Cyberbeveiligingswet is in 2024-2025 stapsgewijs in werking getreden, met de meeste verplichtingen volledig actief in 2025. Voor specifieke sectoren kunnen aanvullende uitvoeringsbesluiten gelden, raadpleeg het Cyberbeveiligingsbesluit (Cbb) voor sector-specifieke deadlines.
Valt mijn organisatie onder de Cbw of de Belgische NIS2-wet?
Dat hangt af van je vestigingsland, sector en organisatiegrootte. Algemene drempel in beide landen: 50+ medewerkers of €10M omzet, in een aangewezen sector. In Nederland heeft het Digital Trust Center (DTC) een online check, in België biedt het CCB vergelijkbare informatie via ccb.belgium.be. Voor multinationals geldt de hoofdvestiging-regel uit NIS2 artikel 26: je valt onder het recht van het land waar je hoofdvestiging in de EU staat.
Wat als ik onder NIS2 val maar niet onder de Cbw?
In Nederland bestaat dat verschil in de praktijk niet. De Cbw is de Nederlandse implementatie van NIS2; als je onder NIS2 valt en in Nederland gevestigd bent, val je onder de Cbw. Voor multinationals: de hoofdvestiging-regel uit NIS2 art. 26 bepaalt onder welke nationale we je valt.
Wat is de relatie met AVG en NEN 7510?
Cbw, AVG en NEN 7510 hebben overlap maar verschillende focus. AVG gaat over persoonsgegevens; Cbw over algemene cybersecurity; NEN 7510 specifiek over informatiebeveiliging in de zorg. Een goed compliance-programma adresseert alle drie waar van toepassing, vaak via één governance-structuur.
Hoe begin ik met Cbw-implementatie?
Drie stappen: (1) bepaal of je in scope bent en wie de eindverantwoordelijke bestuurder wordt; (2) doe een gap-analyse op Cbw artikelen 21, 24 en 25; (3) stel een implementatieplan op met prioriteit op art. 24 bestuurstraining (wordt direct gehandhaafd) en art. 21 organisatorische maatregelen.
Welke toezichthouder is verantwoordelijk?
Sector-afhankelijk: zorg → IGJ, financieel → DNB, digitale infrastructuur → RDI, overheid → ministerie van Binnenlandse Zaken (regionaal) of het bevoegd gezag (centraal). Bij twijfel: het Digital Trust Center (DTC) wijst de juiste toezichthouder aan.