Cyberbeveiligingswet en WWKE aangenomen door Tweede Kamer: wat betekent dit voor jouw organisatie?

Het is zover. Gisteren, 15 april 2026, heeft de Tweede Kamer ingestemd met twee wetsvoorstellen die al lange tijd in de pijplijn zaten: de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Twee wetten die straks grote gevolgen hebben voor duizenden organisaties in Nederland.

Dit is geen klein nieuwtje. Dit is het startschot voor een nieuwe fase in hoe Nederland omgaat met digitale en fysieke veiligheid. En als je als organisatie dacht ‘dat lossen we wel op als het zover is’: nu is het (bijna) zover.

Wat is er precies aangenomen?

De Tweede Kamer stemde in met twee afzonderlijke wetten:

1. Cyberbeveiligingswet (Cbw)

Dit is de Nederlandse implementatie van de Europese NIS2-richtlijn. De Cbw vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en stelt strengere eisen aan de digitale weerbaarheid van bedrijven en organisaties. Denk aan een zorgplicht, een meldplicht bij incidenten en een registratieplicht.

2. Wet weerbaarheid kritieke entiteiten (Wwke)

Dit is de implementatie van de Europese CER-richtlijn en richt zich op de fysieke weerbaarheid van organisaties die essentiële diensten leveren, denk aan energie, water, transport en gezondheidszorg. Anders dan bij de Cbw bepaal je hier niet zelf of je eronder valt: de verantwoordelijke minister wijst jouw organisatie aan.

Minister Van Weel stelde het treffend: ‘De dreiging van cyberaanvallen en verstoringen is geen abstract risico meer maar dagelijkse realiteit.’

Wat verandert er concreet voor organisaties?

Veel, en dat geldt voor meer organisaties dan je misschien denkt. Onder de Cyberbeveiligingswet krijgen organisaties te maken met drie kernverplichtingen:

  • Zorgplicht: je bent verplicht om zelf risico’s te analyseren en op basis daarvan passende maatregelen te nemen.
  • Meldplicht: significante incidenten moeten gemeld worden, en snel ook.
  • Registratieplicht: organisaties die onder de wet vallen moeten zich registreren.

Weet je niet zeker of jouw organisatie onder de wet valt? De Rijksoverheid adviseert dit zelf te checken en adviseert daarnaast nadrukkelijk: wacht niet af. De risico’s voor je netwerk- en informatiesystemen bestaan nu al.

Wat is de status en wanneer gaat de wet in?

De Tweede Kamer heeft gestemd, maar we zijn er nog niet. De wetsvoorstellen gaan nu naar de Eerste Kamer. De regering streeft ernaar om beide wetten én de bijbehorende lagere regelgeving gelijktijdig in te laten gaan in het tweede kwartaal van 2026, dat is dus potentieel nog dit kwartaal.

De planning is afhankelijk van de voortgang in de Eerste Kamer. Maar de richting is helder: het komt eraan, en snel.

Waarom moet je nu al in actie komen?

We horen het regelmatig: ‘We wachten tot de wet echt van kracht is.’ Begrijpelijk, maar onverstandig. Hier zijn drie concrete redenen waarom je nu moet starten:

  • Implementatie kost tijd. Een risicoanalyse uitvoeren, maatregelen treffen, processen aanpassen — dat doe je niet in een week. Organisaties die nu beginnen, zijn straks klaar. Organisaties die wachten, moeten straks haasten.
  • Toezichthouders kijken mee. Zodra de wet van kracht is, start ook het toezicht. Boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde omzet. Voor bestuurders geldt bovendien persoonlijke aansprakelijkheid.
  • Je leveranciers en klanten verwachten het. Ook als je zelf niet direct onder de wet valt, verwachten essentiële entiteiten steeds vaker dat hun ketenpartners aantoonbaar veilig zijn.

De risico’s bestaan nu al — de wet maakt ze alleen zichtbaarder en handhaafbaar.

Hoe helpt RiskGuard jou?

Bij RiskGuard helpen we organisaties om grip te krijgen op hun digitale risico’s, zonder oeverloze rapporten, maar met concrete stappen die passen bij jouw organisatie. Voor de Cyberbeveiligingswet en Wwke betekent dat concreet:

  • We helpen met het controleren aan welke verplichtingen je moet voldoen
  • We voeren een risicoanalyse uit en brengen jouw huidige beveiligingsniveau in kaart.
  • We stellen een praktisch actieplan op met duidelijke prioriteiten.
  • We ondersteunen bij implementatie en zorgen dat je dit aantoonbaar kunt maken richting toezichthouders en klanten.

Eén vast aanspreekpunt, geen poespas. Dat is RiskGuard.

Wil je weten of jouw organisatie onder de Cyberbeveiligingswet valt en wat je nu al kunt doen?

De Rijksoverheid heeft de NIS2 Zelfevaluatie NL gelanceerd waarbij iedere organisatie voor zichzelf kan controleren aan welke verplichtingen ze moeten voldoen en adviseert hier zo snel mogelijk mee aan de slag te gaan.

Wij helpen daar uiteraard graag bij, ook met de praktische uitvoerbaarheid van zo’n traject. Neem daarvoor contact met ons op.

Lees verder:

Een wachtwoord verstopt in code

Kwaadaardige code die je niet kunt zien: hoe aanvallers Unicode misbruiken in open source repositories

2150041854

OAuth-misbruik: hoe aanvallers vertrouwde inlogpagina’s als wapen gebruiken

2151877169

Ransomware jaarbeeld 2025: minder meldingen, maar het risico blijft