De parlementaire behandeling van de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) is in de afrondende fase. Op 6 en 7 juli 2026 zal het debat in de Eerste Kamer over de wetsvoorstellen plaatsvinden. Op die laatste dag stemt de Eerste Kamer over de wetsvoorstellen.
Beeld: © ANP
Als de Eerste Kamer de wetsvoorstellen aanneemt, treden de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten naar verwachting op 15 augustus 2026 in werking. De definitieve datum wordt gedeeld zodra dit vaststaat. Organisaties die onder de wetten vallen, krijgen dan te maken met nieuwe verplichtingen op het gebied van digitale en fysieke weerbaarheid. De Rijksoverheid adviseert organisaties om zich nu al voor te bereiden op de komst van deze verplichtingen.
Behandeling in de Eerste Kamer
Op 2 juni 2026 heeft de Eerste Kamer verslag uitgebracht over beide wetsvoorstellen: verslag Cyberbeveiligingswet en verslag Wet weerbaarheid kritieke entiteiten. In deze verslagen stelden de leden van verschillende fracties vragen over onder meer de uitvoering, het toezicht en de gevolgen voor organisaties. De regering heeft deze vragen beantwoord in een nota naar aanleiding van het verslag voor de Cyberbeveiligingswet en voor de Wet weerbaarheid kritieke entiteiten. Tijdens de procedurevergadering van 23 juni 2026 bleek dat er nog één vraag van een fractie onbeantwoord was gebleven. Deze vraag is inmiddels beantwoord in een nota naar aanleiding van het tweede verslag. Daarmee is de schriftelijke behandeling van beide wetsvoorstellen afgerond.
Cyberbeveiligingswet
De Cyberbeveiligingswet implementeert de Europese NIS2-richtlijn in Nederland en stelt eisen aan de digitale weerbaarheid van ruim 8.000 organisaties in Nederland.
Organisaties zijn zelf verantwoordelijk om te toetsen of ze onder deze wet vallen. Zodra de wet ingaat, betekent dit voor organisaties onder andere:
- registratie bij het Nationaal Cyber Security Centrum (NCSC);
- een wettelijke zorgplicht voor cybersecurity;
- een meldplicht voor significante incidenten;
- bestuurders die aantoonbaar kennis moeten hebben van cybersecurity;
- verplicht risicobeheer van leveranciers en de gehele toeleveranciersketen.
De Rijksoverheid adviseert deze organisaties om niet af te wachten totdat de Cyberbeveiligingswet in werking treedt, maar om nu al aan de slag te gaan.
Begin bijvoorbeeld met een eerste risicoanalyse en breng in kaart welke maatregelen jouw organisatie al heeft getroffen om cyberrisico’s te beheersen. Bespreek de uitkomsten met het bestuur en maak afspraken over eventuele verbetermaatregelen en vervolgstappen. Bereid ook je registratie voor.
Wet weerbaarheid kritieke entiteiten
De Europese CER-richtlijn wordt in Nederland geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. Deze wet heeft als doel de weerbaarheid te verhogen van organisaties die essentiële diensten leveren aan de samenleving.
Organisaties vallen onder de Wet weerbaarheid kritieke entiteiten als zij door de vakminister zijn aangewezen als kritieke entiteit op basis van wettelijke criteria. Na die aanwijzing moeten zij voldoen aan verschillende verplichtingen, waaronder het uitvoeren van een risicobeoordeling, de zorgplicht en de meldplicht.
Lees meer over de Wet weerbaarheid kritieke entiteiten.