De Cyberbeveiligingswet (CBW) is de Nederlandse wet die de Europese NIS2-richtlijn omzet in nationaal recht en de oude Wet beveiliging netwerk- en informatiesystemen (Wbni) uit 2018 vervangt. Vanaf 50 medewerkers of 10 miljoen euro jaaromzet in een van 18 aangewezen sectoren verplicht de wet een zorgplicht, meldplicht binnen 24 uur en registratie bij de RDI.
De Tweede Kamer nam de CBW aan op 15 april 2026 en de Eerste Kamer stemde op 7 juli 2026 in; de wet treedt op 15 augustus 2026 in werking (NCSC, 2026). Tot die datum blijft de Wbni gelden voor organisaties die daar al onder vielen.
De CBW geldt voor essentiële en belangrijke entiteiten vanaf 50 medewerkers of 10 miljoen euro jaaromzet, in dezelfde 18 aangewezen sectoren als NIS2 (Rijksoverheid, 2026). De wet werkt via een zorgplicht, een meldplicht binnen 24 en 72 uur, bestuurdersaansprakelijkheid en een registratieplicht bij de RDI.
De Rijksinspectie Digitale Infrastructuur (RDI) is de aangewezen toezichthouder voor het grootste deel van de sectoren. Het NCSC is het meldloket voor incidenten.
Bepaal daarom eerst of jouw organisatie eronder valt, en breng daarna met een 0-meting in kaart welke maatregelen er al staan en welke nog ontbreken.
Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet (CBW) is de Nederlandse uitvoeringswet van de Europese NIS2-richtlijn, formeel Richtlijn (EU) 2022/2555. De wet verplicht organisaties in kritieke sectoren om cyberrisico’s te beheersen, incidenten te melden en zich te registreren, met het bestuur als eindverantwoordelijke.
Een Europese richtlijn werkt niet rechtstreeks: elke lidstaat zet de regels om in nationale wetgeving. In Nederland gebeurt dat met de CBW, die de kaders uit NIS2 handhaafbaar maakt en de toezichthouder en het meldloket aanwijst.
De CBW vervangt de Wet beveiliging netwerk- en informatiesystemen (Wbni) uit 2018, die de eerste NIS-richtlijn regelde. Organisaties die al onder de Wbni vielen, beginnen niet bij nul: die maatregelen vormen een basis waarop de CBW-verplichtingen aansluiten.
Voor wie geldt de CBW?
De CBW geldt voor dezelfde doelgroep als NIS2: essentiële en belangrijke entiteiten in 18 aangewezen sectoren, vanaf 50 medewerkers of 10 miljoen euro jaaromzet (Rijksoverheid, 2026). De wet breidt de doelgroep niet uit ten opzichte van de richtlijn.
- Middelgroot: vanaf 50 medewerkers, of meer dan 10 miljoen euro jaaromzet of balanstotaal. Deze organisaties zijn doorgaans belangrijke entiteiten.
- Groot: vanaf 250 medewerkers, of meer dan 50 miljoen euro jaaromzet. In de hoog-kritieke sectoren zijn dit essentiële entiteiten.
De sectoren staan in twee bijlagen: hoog-kritiek (onder meer energie, vervoer, bankwezen, gezondheidszorg, drinkwater en digitale infrastructuur) en overig kritiek (onder meer levensmiddelen, maakindustrie en digitale aanbieders). Het volledige overzicht per sector staat op de NIS2-pagina.
Micro- en kleinbedrijven vallen er in principe buiten. Via de toeleveringsketen krijgen ook kleinere leveranciers de eisen binnen, omdat opdrachtgevers ze opnemen in inkoopvoorwaarden en vragenlijsten.
Is de CBW al in werking?
De CBW is nog niet in werking. De Tweede Kamer nam de wet aan op 15 april 2026 en de Eerste Kamer stemde op 7 juli 2026 in; de wet treedt op 15 augustus 2026 in werking (NCSC, 2026).
Tot die datum geldt de oude Wbni voor organisaties die daar al onder vielen. Handhaving van de CBW start zodra de wet op 15 augustus 2026 in werking treedt.
De voorbereiding kost minimaal 6 maanden (Samen Digitaal Veilig, 2025). Wie wacht tot de wet in werking treedt, begint te laat om op tijd audit-klaar te zijn.
Wat is het verschil tussen de CBW en NIS2?
De CBW is niet een aparte regeling naast NIS2, maar de Nederlandse vertaling ervan. NIS2 stelt de Europese kaders (sectoren, maatregelen, meldtermijnen), de CBW maakt die kaders handhaafbaar in Nederland en wijst de toezichthouder en het meldloket aan.
Inhoudelijk volgt de CBW de NIS2-tekst nagenoeg één op één. Voldoe je aan de CBW, dan voldoe je aan NIS2.
Achtergrond over de onderliggende richtlijn staat op de NIS2-pagina.
Wat zijn de verplichtingen uit de CBW?
De CBW werkt via vier verplichtingen: de zorgplicht, de meldplicht, de registratieplicht en de bestuurdersaansprakelijkheid.
De zorgplicht
De zorgplicht verplicht organisaties passende technische en organisatorische maatregelen in te richten, zoals risicoanalyse, incidentbehandeling, toegangsbeheer en beveiliging van de toeleveringsketen. Deze maatregelen komen rechtstreeks uit de NIS2-richtlijn.
De meldplicht: 24 en 72 uur via het NCSC
De meldplicht verplicht een vroege waarschuwing binnen 24 uur na ontdekking van een significant incident en een volledige melding binnen 72 uur. Beide meldingen gaan naar het NCSC, het nationale meldloket dat de CBW aanwijst.
Bestuurdersaansprakelijkheid
Het bestuur moet de zorgplicht-maatregelen goedkeuren, erop toezien en zelf een opleiding volgen. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij niet-naleving.
De registratieplicht bij de RDI
Organisaties die onder de wet vallen, registreren zich bij de Rijksinspectie Digitale Infrastructuur (RDI), de aangewezen toezichthouder voor het grootste deel van de sectoren. De registratieplicht gaat in zodra de CBW in werking treedt.
CBW vs andere normen
De CBW zelf voegt geen nieuwe beveiligingsmaatregelen toe: de inhoud komt rechtstreeks uit de onderliggende Europese richtlijn, NIS2. Vergelijkingen met ISO 27001, DORA, AVG en andere normen gaan daarom over NIS2, niet over de CBW apart.
Het volledige overzicht van die vergelijkingen staat op de NIS2-pagina.
Zo helpt ClickOn met de CBW
De maatregelen uit de CBW zijn voor het grootste deel IT-beheer: toegangsbeheer, monitoring, back-up en recovery, patching en incidentrespons. Precies het werk dat een managed service provider dagelijks doet, inclusief de bewijsvoering die de RDI of een opdrachtgever wil zien.
ClickOn is zelf ISO 27001-gecertificeerd sinds 2021 en heeft 100 procent van de 25 audits doorstaan.
ClickOn doet dat met twee aanbiedingen. De Compliance Sprint maakt je organisatie binnen 30 dagen audit-klaar voor een vaste prijs per werkplek: week 1 de 0-meting en gap-analyse, week 2 en 3 het inrichten van de maatregelen, week 4 het bewijs.
Met PremiumOn houden we het daarna aantoonbaar werkend: compliant werkplekbeheer voor 148 euro per werkplek per maand, inclusief 24/7 bewaking en support. Een werkplek is binnen 24 uur compliant ingericht.
Beleid, governance-advies en de formele audit blijven het domein van je compliance-adviseur of auditor; ClickOn levert de technische uitvoering en het bewijs.
Veelgestelde vragen
Is de CBW al in werking?
Nee, nog niet. De Tweede Kamer nam de wet aan op 15 april 2026 en de Eerste Kamer stemde op 7 juli 2026 in; de wet treedt op 15 augustus 2026 in werking (NCSC, 2026). Tot die datum geldt de oude Wbni voor organisaties die daar al onder vielen.
Voor wie geldt de CBW?
De CBW geldt voor essentiële en belangrijke entiteiten in de 18 aangewezen sectoren, vanaf 50 medewerkers of 10 miljoen euro jaaromzet. De wet breidt de doelgroep niet uit ten opzichte van NIS2.
Wat is het verschil tussen de CBW en NIS2?
NIS2 is de Europese richtlijn, de CBW is de Nederlandse wet die deze richtlijn omzet in nationaal recht. Pas via de CBW gelden de verplichtingen voor Nederlandse organisaties, met boetes en toezicht die het Nederlandse rechtssysteem uitvoert.
Wat vervangt de CBW?
De CBW vervangt de Wet beveiliging netwerk- en informatiesystemen (Wbni) uit 2018, die de eerste NIS-richtlijn regelde. Organisaties die al onder de Wbni vielen, beginnen niet bij nul.
Wie houdt toezicht op de CBW?
De Rijksinspectie Digitale Infrastructuur (RDI) is de aangewezen toezichthouder voor het grootste deel van de sectoren. Het NCSC is het meldloket voor significante incidenten.