Wet- en regelgeving

De nieuwe regels zijn relevant voor organisaties die actief zijn in vitale sectoren, zoals energievoorziening, drinkwater, transport, telecom en digitale infrastructuur. Ook sommige financiële instellingen en zorgpartijen vallen hieronder.

Uw organisatie kan ook door de minister worden aangewezen als kritieke of essentiële entiteit.

Twee wetten: Wwke en Cbw

De nieuwe regelgeving bestaat uit twee wetten: 

• de Wet weerbaarheid kritieke entiteiten (Wwke), gericht op fysieke en organisatorische weerbaarheid; 
• de Cyberbeveiligingswet (Cbw), gericht op digitale en cyberweerbaarheid. 

Wet weerbaarheid kritieke entiteiten (Wwke)

De Wwke heeft tot doel om vitale processen in stand te houden bij verstoringen die niet samenhangen met netwerk- en informatiesystemen. Denk bijvoorbeeld aan uitval van productie-installaties, fysieke sabotage of verstoringen in de leveringsketen. 

Cyberbeveiligingswet (Cbw)

De Cbw vertaalt de Europese NIS2-richtlijn naar nationale wetgeving en richt zich op de bescherming van netwerk- en informatiesystemen. Deze wet geldt automatisch voor zowel publieke als private organisaties (tenzij dit mkb is) die een essentiële rol vervullen in vitale sectoren. Dit zijn de essentiële en belangrijke entiteiten. Deze entiteiten kunnen zich nu al laten registreren, straks wordt dat verplicht.  
 
Om te bepalen of een organisatie aan de Cbw moet voldoen, wordt gekeken naar het aantal werknemers of naar de jaaromzet en het balanstotaal.

Overlap en samenhang

Veel organisaties in de vitale infrastructuur kennen zowel fysieke als digitale risico’s. Als uw organisatie aangewezen is als kritieke entiteit onder de Wwke, dan is uw organisatie automatisch ook een essentiële entiteit onder de Cbw. U moet dan aan beide wetten voldoen. De minister wijst u aan als kritieke entiteit. 
Als uw organisatie niet is aangewezen als kritieke entiteit, dan kan uw organisatie een essentiële of belangrijke entiteit zijn onder de Cbw. U moet dan voor uw cyberweerbaarheid wel rekening houden met alle risico’s die uw netwerk- en informatiesystemen kunnen verstoren, ook als deze door fysieke omstandigheden (bijvoorbeeld wateroverlast) worden veroorzaakt.

Lagere regelgeving

Naast de twee wetten komen er ook nadere voorschriften in het Cyberbeveiligingsbesluit, het Besluit weerbaarheid kritieke entiteiten, en twee ministeriële regelingen. Deze bevatten concrete maatregelen die organisaties moeten nemen, en bepalen meer concreet voor welke incidenten een meldplicht geldt. Bijvoorbeeld: bij een verstoring die langer dan enkele uren duurt, kan een meldplicht van toepassing zijn. De exacte drempelwaarden en criteria worden per sector vastgesteld.

Wat betekent dit voor uw organisatie?

De wetgeving is nog niet in werking getreden. De verwachting is dat dat in het tweede kwartaal van 2026 zal gebeuren.  De onderliggende besluiten – het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten – zijn al via internetconsultatie openbaar gemaakt, maar nog niet definitief vastgesteld. 

Wacht niet af tot de wetten in werking treden. U kunt zich nu al voorbereiden door: 

• na te gaan of u tot de aangewezen sectoren behoort, 
• inzicht te krijgen in de risico’s op verstoringen, zowel fysiek als digitaal, 
• bestuur en compliance-functies te betrekken bij de aanpak van risico’s. 

Met deze wetgeving wordt de verantwoordelijkheid van organisaties in vitale sectoren aangescherpt. Het uitgangspunt is dat maatschappelijke ontwrichting wordt voorkomen door versterkte weerbaarheid. Bestuurders spelen hierbij een sleutelrol: zij dragen verantwoordelijkheid voor de naleving van de verplichtingen en voor het creëren van een organisatiecultuur waarin weerbaarheid centraal staat.

Cyberbeveiligingswet (Cbw)

De Cyberbeveiligingswet (Cbw) vertaalt de Europese NIS2-richtlijn naar nationale wetgeving. Het doel van de Cbw is het verhogen van de digitale weerbaarheid van organisaties die een vitale rol spelen in de Nederlandse samenleving. Cyberaanvallen of digitale storingen kunnen immers leiden tot grote maatschappelijke en economische schade. 
De wet legt verplichtingen op aan publieke en private organisaties in aangewezen vitale sectoren. Voor bestuurders en compliance-managers betekent dit dat de verantwoordelijkheid voor cyberweerbaarheid nadrukkelijk bij het hoogste management komt te liggen.

Waarom deze wet?

Digitale aanvallen worden steeds complexer en hebben steeds vaker gevolgen die hele sectoren of landen raken. Denk aan ransomware-aanvallen die productie stilleggen, aanvallen op zorgsystemen of sabotage van industriële processen. Omdat de maatschappij steeds afhankelijker wordt van digitale infrastructuur, is een gezamenlijk hoog niveau van cyberweerbaarheid noodzakelijk. 
 
De Cbw zorgt ervoor dat organisaties in Nederland voldoen aan dezelfde basisnormen als vergelijkbare organisaties in andere EU-landen. Dat maakt samenwerking, informatie-uitwisseling en incidentrespons effectiever. Het zorgt binnen de Europese Unie voor een level-playing-field.

Wie valt onder de Cbw?

De Cbw geldt automatisch voor: 

• Overheden: gemeenten, provincies, waterschappen, een aantal zelfstandige bestuursorganen en een aantal gemeenschappelijke regelingen. 
• Bedrijven die in een of meer sectoren diensten aanbieden, behalve als dit MKB-bedrijven zijn. 
• Uw organisatie kan ook door de minister worden aangewezen als kritieke entiteit. Een reden daarvoor kan zijn dat uw bedrijf een rol speelt in een vitaal proces, en dat uitval of verstoring van uw dienst grote maatschappelijke effecten heeft. 
• Om na te gaan of uw organisatie hieronder valt, kunt u de quickscan van de Rijksinspectie Digitale Infrastructuur (RDI) doen.

Wat moet uw organisatie doen?

De Cbw kent verschillende verplichtingen. De belangrijkste zijn: 
 
1. Zorgplicht 
Uw organisatie moet de risico’s voor de veiligheid en beschikbaarheid van netwerk- en informatiesystemen in kaart brengen en passende maatregelen treffen. Denk aan beveiligingsstandaarden, toegangsbeheer, monitoring en herstelplannen. 
 
2. Meldplicht 
Significante cyberincidenten moeten snel worden gemeld bij de bevoegde autoriteit. Dit geldt ook voor bijna-incidenten die de continuïteit ernstig hadden kunnen verstoren. Tijdige melding maakt snelle respons mogelijk en beperkt schade voor de sector en de samenleving. 
 
3. Governance-verplichting 
Het bestuur moet actief betrokken zijn bij beslissingen over cyberrisico’s en verantwoordelijk zijn voor de naleving van de verplichtingen. Bestuurders moeten zich ook laten scholen in dit onderwerp. Cybersecurity is dus niet alleen een taak van de IT-afdeling, maar een kernonderdeel van de bedrijfsvoering. 
 
4. Leveranciersmanagement 
Uw organisatie blijft verantwoordelijk voor de veiligheid van uitbestede processen en diensten. Dit betekent dat uw organisatie nagaat of leveranciers en dienstverleners kunnen voldoen aan uw cybersecurity-beleid en daar met hen afspraken maakt. 

Wat kunt u doen?

Hoewel de wet nog in de beleidsfase is, is het verstandig om nu al voorbereidingen te treffen. U kunt beginnen met: 

• Inventariseren: breng de belangrijkste netwerk- en informatiesystemen in kaart en beoordeel de mogelijke risico’s. 
• Betrekken van bestuur: zorg dat bestuurders en toezichthouders geïnformeerd zijn over hun (toekomstige) verantwoordelijkheden met betrekking tot de Cbw. 
• Beleid en procedures opstellen: werk aan incidentresponsplannen, opleidingsprogramma’s en leveranciersafspraken. 
• Contact zoeken met sectorale partners: gebruik bestaande samenwerkingsverbanden, zoals sectorale CSIRTs (Computer Security Incident Response Team) of brancheorganisaties, om kennis te delen. 

Ondersteuning

De overheid ondersteunt organisaties via verschillende instanties: 

• Het Nationaal Cyber Security Centrum (NCSC) verstrekt dreigingsinformatie, advies en richtlijnen. 
• Sectorale CSIRTs en aangewezen autoriteiten helpen bij incidentrespons en informatie-uitwisseling. 
• Brancheorganisaties bieden vaak sectorspecifieke handreikingen en trainingen. 

Beleidsfase

De Cbw is ingediend bij de Tweede Kamer. Het onderliggende Cyberbeveiligingsbesluit, dat nadere uitwerking geeft aan de verplichtingen, is via internetconsultatie openbaar geweest en ook ter informatie aangeboden aan de Tweede Kamer.  De verwachting is dat de Cbw in het tweede kwartaal van 2026 in werking zal treden.

Wet weerbaarheid kritieke entiteiten (Wwke)

De Wet weerbaarheid kritieke entiteiten (Wwke) geeft uitvoering aan de Europese CER-richtlijn (Critical Entities Resilience). Het doel van de wet is om de continuïteit van vitale processen in Nederland te beschermen tegen verstoringen die grote maatschappelijke gevolgen kunnen hebben. Waar de Cyberbeveiligingswet zich richt op digitale weerbaarheid, gaat de Wwke vooral over fysieke en organisatorische risico’s. 

Voor bestuurders en compliance-managers betekent dit dat er nieuwe verantwoordelijkheden komen bij het in kaart brengen en beperken van risico’s die de levering van essentiële diensten in gevaar kunnen brengen.

Waarom deze wet?

Vitale processen, zoals energievoorziening, drinkwater, transport en telecom, vormen de ruggengraat van onze samenleving. Verstoring van deze processen kan leiden tot maatschappelijke ontwrichting. Denk aan langdurige uitval van elektriciteit, problemen in de brandstofdistributie of sabotage van transportinfrastructuur. 
 
De Wwke verplicht kritieke entiteiten maatregelen te nemen die hun weerbaarheid versterken. Daarmee wil de wet voorkomen dat incidenten leiden tot uitval van diensten die cruciaal zijn voor burgers en bedrijven. 

Wie valt onder de Wwke?

De Wwke geldt voor organisaties die door de minister van Infrastructuur en Waterstaat worden aangewezen als kritieke entiteit. Dit gebeurt wanneer een verstoring van hun aandeel in een vitaal proces grote maatschappelijke impact kan hebben.

Wat moet uw organisatie doen?

1. Risicobeoordeling 
Kritieke entiteiten moeten de risico’s op verstoringen van hun processen systematisch in kaart brengen. Daarbij gaat het om fysieke risico’s (bijvoorbeeld brand of sabotage), organisatorische risico’s (zoals onvoldoende noodplannen) en afhankelijkheden van andere partijen. 
 
2. Zorgplicht 
Uw organisatie moet passende maatregelen nemen om geïdentificeerde risico’s terug te brengen tot een aanvaardbaar niveau. Dit kan gaan om fysieke beveiligingsmaatregelen, redundantie in leveringsketens of verbeterde crisisplannen. 
 
3. Meldplicht 
Er geldt een verplichting om ernstige incidenten en bijna-incidenten te melden bij de bevoegde autoriteiten. De ministeriële regeling geeft nadere invulling aan de meldplicht, bijvoorbeeld door drempelwaarden te bepalen (zoals de duur van een verstoring). 
 
4. Leveranciersmanagement 
Net als bij de Cbw blijft uw organisatie verantwoordelijk voor uitbestede activiteiten. U moet dus ook de weerbaarheid van uw leveranciers en ketenpartners borgen. 

Wat kunt u doen?

Hoewel de wet nog in de beleidsfase is, kunt u als bestuurder of compliance-manager nu al stappen zetten: 

• Analyseer afhankelijkheden: welke leveranciers of ketenpartners zijn cruciaal voor uw processen? 
• Werk aan continuïteitsplannen: zorg dat er noodscenario’s zijn voor uitval van processen of faciliteiten. 
• Integreer risico’s in governance: betrek bestuur en toezichthouders actief bij besluiten over weerbaarheid. 
• Zoek aansluiting bij sectorale initiatieven: brancheorganisaties of toezichthouders kunnen ondersteuning bieden.

Beleidsfase

De Wwke is ingediend bij de Tweede Kamer. Het onderliggende Besluit weerbaarheid kritieke entiteiten, dat de verplichtingen verder concretiseert, is via internetconsultatie openbaar gemaakt en ook ter informatie naar de Tweede Kamer gezonden. De verwachting is dat de Wwke in het tweede kwartaal van 2026 in werking zal treden.