Overslaan en naar de inhoud gaan
(advertentie)

Eerste Kamer stemt 7 juli over de Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten

Acht mensen in pak staan voor groot scherm met groene en witte digitale code en cijfers.
De overheid is aangewezen als een van de sectoren die volledig aan de verplichtingen moet voldoen. - Shutterstock

De Eerste Kamer stemt dinsdag 7 juli over de voorstellen voor de nieuwe Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Bij een positief besluit treden de wetten naar verwachting op 15 augustus 2026 in werking.

Cyberbeveiligingswet

De Cyberbeveiligingswet (Cbw) is de Nederlandse omzetting van de Europese NIS2‑richtlijn en vormt het nieuwe juridische fundament voor de digitale weerbaarheid van een grote groep organisaties in vitale en andere maatschappelijk belangrijke sectoren. De wet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en breidt de groep verantwoordelijke organisaties uit van circa 1.000 naar naar verwachting rond de 8.000 organisaties.

Organisaties worden verplicht om passende technische en organisatorische maatregelen te nemen op basis van een risicobeoordeling. Daarbij zijn ze niet alleen verantwoordelijk voor de veiligheid van hun eigen systemen, ook moeten maatregelen genomen worden om de afhankelijkheden in de keten te versterken. Bij significante incidenten geldt een meldplicht met strakke termijnen: binnen 24 uur een vroegtijdige waarschuwing, gevolgd door een meer gedetailleerde melding binnen 72 uur en een eindrapport binnen een maand.

De Cbw legt expliciet verantwoordelijkheid bij het bestuur: bestuurders moeten maatregelen goedkeuren, toezicht houden op de uitvoering en zelf passende cybersecurity-kennis en training hebben. Toezichthouders krijgen stevige instrumenten, waaronder bindende aanwijzingen, inspecties en in uiterste gevallen het (tijdelijk) beperken of stilleggen van dienstverlening.

Wet weerbaarheid kritieke entiteiten

Waar de Cyberbeveiligingswet vooral gaat over digitale weerbaarheid en cyberincidenten, richt de Wet weerbaarheid kritieke entiteiten (Wwke) zich op bredere, fysieke en operationele dreigingen voor vitale infrastructuur.

Centraal staat een verplichte, brede risicobeoordeling waarin organisaties alle relevante dreigingen in kaart brengen. Het gaat om door de mens veroorzaakte dreigingen (terrorisme, sabotage, criminaliteit, maatschappelijke onrust, hybride dreigingen) én natuurlijke dreigingen (overstromingen, extreem weer, brand, pandemieën en andere gevolgen van klimaatverandering). Op basis van deze analyse moeten kritieke entiteiten passende maatregelen nemen om incidenten te voorkomen en de impact te beperken, bijvoorbeeld fysieke beveiliging van locaties en installaties, redundante voorzieningen, crisismanagement en continuïteitsplanning. Incidenten die de dienstverlening ernstig kunnen verstoren moeten binnen 24 uur worden gemeld aan de bevoegde autoriteiten.

'Wees kritisch op té positieve rapportages'

Art de Blaauw en Erik Becker

Bestuurlijke verantwoordelijkheid

De Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwk) treden naar verwachting 15 augustus in werking. Voor bestuurders binnen de publieke sector is de impact groot: de overheid is namelijk aangewezen als een van de nieuwe sectoren die volledig aan de verplichtingen moet voldoen. Bestuurders hoeven uiteraard niet uit te kunnen leggen hoe malware tot op de bit nauwkeurig functioneert, maar wel effectief kunnen (be)sturen als het gaat om cybersecurity.

Uiteraard zullen bestuurders daarbij moeten kunnen vertrouwen op de deskundigheid van uw professionals. Tegelijk moeten ze alert zijn op hun eigen informatiepositie, schrijven CIO Rijk Art de Blaauw en Coördinerend beleidsmedewerker BIO2 & Cybersecurity Verantwoording Erik Becker, op iBestuur. 'In een snel veranderend landschap kunnen risico’s soms worden onderschat, en de hiërarchie binnen een organisatie kan een dempend effect hebben op slecht nieuws. Wees daarom kritisch op té positieve rapportages.'

Wetgevingstraject

Het omzetten van de NIS2-richtlijn in nationale wetgeving bleek een complex en omvangrijk traject. De implementatietermijn van de NIS2-richtlijn verstreek al op 18 oktober 2024. Het streven om het in het derde kwartaal van 2025 rond te hebben, werd  niet gehaald. Nederland is overigens niet het enige land dat de implementatie nog niet klaar heeft. Alleen België en Kroatië wisten de deadline te behalen.

Handreikingen

Vanuit het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en het Centrum voor Informatiebeveiliging en Privacy (CIP) is in januari een update gepubliceerd van de handreiking ‘De bestuurder aan zet’, inclusief concrete KPI’s voor effectieve sturing. De Cyber Security Raad (CSR) biedt ook een praktische handreiking voor bestuurders. In 2026 wordt door het CIP een ‘bestuurlijke proeftuin’ gelanceerd om de samenwerking tussen professionals en bestuurders in de praktijk te versterken en van elkaar te leren.

Meer informatie: www.bio-overheid.nl

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.

(advertentie)

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in