Cyberbeveiligingswet aangenomen: wat bestuurders nu écht moeten regelen

Op 15 april 2026 stemde de Tweede Kamer in met de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). De Eerste Kamer behandelt beide wetsvoorstellen nog, maar het kabinet streeft naar gelijktijdige inwerkingtreding in het tweede kwartaal van 2026. Voor bestuurders betekent dat: minder dan één kwartaal om zorgplicht, meldplicht, registratieplicht én een opleidingsplicht op orde te hebben — met persoonlijke aansprakelijkheid als stok achter de deur. In dit artikel zetten we op een rij wat er écht verandert, wat u nu moet regelen en hoe OpenKAT een groot deel van de technische zorgplicht aantoonbaar afdekt.

Minister Van Weel liet bij de stemming geen ruimte voor twijfel: “cyberaanvallen en verstoringen zijn geen abstract risico meer, maar dagelijkse realiteit.” Dat is geen politieke retoriek. Het is het nieuwe uitgangspunt waaronder bestuurders vanaf Q2 2026 worden beoordeeld.

Belangrijke nuance vooraf: de Europese deadline voor NIS2-implementatie was 17 oktober 2024. Nederland heeft die deadline niet gehaald. Dat betekent níet dat u tot inwerkingtreding rustig kunt afwachten — de wet krijgt geen volledige terugwerkende kracht, maar toezichthouders zullen vanaf dag één kijken naar wat u redelijkerwijs al had kunnen doen. Organisaties die in april 2026 nog niet begonnen zijn, hebben een serieus probleem.

Wat is er vandaag aangenomen?

Het gaat om twee samenhangende wetten:

• Cyberbeveiligingswet (Cbw) — de Nederlandse implementatie van de Europese NIS2-richtlijn. Deze vervangt de Wet beveiliging netwerk- en informatiesystemen (Wbni) en gaat gelden voor 18 sectoren, zowel “essentiële” als “belangrijke” entiteiten. Organisaties moeten zelf bepalen of ze eronder vallen.
• Wet weerbaarheid kritieke entiteiten (Wwke) — implementatie van de Europese CER-richtlijn. Deze richt zich op fysieke weerbaarheid tegen sabotage, terrorisme en natuurrampen. Hier geldt geen zelftoets: de vakminister wijst kritieke entiteiten per sector aan.

De meeste bestuurders zullen vooral met de Cbw te maken krijgen. Die wet raakt direct de IT-governance, de boardroom en de portemonnee.

Van compliance-afvinklijst naar bestuurlijke risico-afweging

Dit is de belangrijkste mentale verschuiving die de Cbw eist. De wet is uitdrukkelijk niet ingericht als een checklist die u kunt afvinken en vervolgens vergeten. Het is een risicogebaseerde wet: u moet kunnen aantonen dat uw maatregelen passend zijn bij uw specifieke risicoprofiel. Passend is een open norm.

Dat betekent twee dingen voor bestuurders. Ten eerste: u moet een expliciete risico-afweging hebben gemaakt en vastgelegd. Welke dreigingen zijn relevant voor ons? Welke impact hebben die? Welke maatregelen nemen we — en welke bewust níet, en waarom niet? Ten tweede: onder de Cbw is het niet fataal als er iets misgaat, mits u kunt aantonen dat het bestuur zijn huiswerk heeft gedaan. Het is wél fataal als u die onderbouwing niet heeft.

De kernvraag die elk bestuurslid zich nu moet stellen: “Kunnen wij aantonen waarom we bepaalde risico’s wél hebben geaccepteerd en andere niet?” Als het antwoord niet op papier staat, staat het straks ook niet in uw verweer richting de toezichthouder.

Valt mijn organisatie eronder?

Er zijn drie toetsstappen:

1. Sector — valt uw hoofdactiviteit in één van de 18 aangewezen sectoren? Essentieel zijn onder meer energie, transport, bankwezen, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstbeheer, overheid en ruimtevaart. Belangrijke entiteiten omvatten onder meer post- en koeriersdiensten, afvalverwerking, chemie, voedselproductie, maakindustrie, digitale dienstverleners (marktplaatsen, zoekmachines, sociale netwerken) en onderzoeksorganisaties.
2. Omvang — grote organisaties (250+ medewerkers, of jaaromzet > €50 miljoen én balanstotaal > €43 miljoen) vallen automatisch onder de zwaarste categorie. Middelgrote organisaties (50–249 medewerkers, of omzet €10–50 miljoen met balanstotaal €10–43 miljoen) vallen ook onder de wet.
3. Aanwijzing — micro- en kleinbedrijf valt in principe buiten scope, tenzij de vakminister een specifieke organisatie op risicogronden aanwijst (bijvoorbeeld unieke leveranciers of enige aanbieder in een regio).

Bent u leverancier van een essentiële entiteit? Dan raakt de wet u sowieso — al is het indirect. We komen daar bij de ketenzorgplicht op terug.

Wat verandert er voor bestuurders?

De kern van de Cbw is dat cyberbeveiliging niet meer delegeerbaar is naar de CISO of IT-afdeling. Het bestuur zelf is wettelijk eindverantwoordelijk. Concreet betekent dat vier dingen:

1. Goedkeuringsplicht

Bestuurders moeten de cyberrisicobeheersmaatregelen van de organisatie actief goedkeuren en toezicht houden op de uitvoering. Een handtekening onder een risicoregister is niet voldoende — u moet kunnen aantonen dát u de maatregelen hebt beoordeeld en waarom u ze toereikend acht.

2. Opleidingsplicht (Art. 20 NIS2)

Dit is een van de meest onderschatte onderdelen van de wet. Artikel 20 van NIS2 — één-op-één overgenomen in de Cbw — verplicht bestuurders zélf een erkende cybersecurity-opleiding te volgen. Niet optioneel, niet te delegeren. De opleiding moet minimaal dekken: soorten dreigingen, de gevolgen van incidenten, risicobeheerprocessen en de beoordeling van beheersmaatregelen.

Er geldt een overgangsperiode van maximaal 2 jaar na inwerkingtreding om aan deze verplichting te voldoen. Een certificaat (NL of EN) is vereist. Daarnaast moet het bestuur ervoor zorgen dat relevant personeel eveneens wordt opgeleid.

De logica achter Art. 20 is scherp: u kunt beveiligingsmaatregelen niet goedkeuren als u niet begrijpt wat u goedkeurt. De toezichthouder mag bij een incident uw certificaat opvragen — en bij gebreke daarvan is dat op zichzelf al een overtreding.

3. Persoonlijke aansprakelijkheid — tot en met bestuursverbod

Dit is waar het écht bijt. De wet voorziet in zowel bestuursrechtelijke, civielrechtelijke als strafrechtelijke aansprakelijkheid voor bestuurders bij schending van de zorgplicht. Persoonlijk aangesproken worden voor een bedrijfsboete is één ding; serieuzer is dat toezichthouders in uiterste gevallen bevoegd zijn om:

• Bestuurders tijdelijk te schorsen van hun functie (een de-facto bestuursverbod voor de duur dat de schending voortduurt);
• Certificeringen en vergunningen van de organisatie op te schorten;
• Openbaarmaking van de overtreding en de naam van de verantwoordelijke bestuurder af te dwingen.

Een schorsing raakt uw CV, uw verzekerbaarheid en de continuïteit van de organisatie tegelijk. Dit is niet langer een theoretisch IT-risico — het is een persoonlijk carrièrerisico.

4. Boetes

Reken voor een middelgrote essentiële entiteit snel op boetes in de miljoenen. En dat is de bovengrens per overtreding, niet per jaar.

De zorgplicht: wat moet er op orde zijn?

De zorgplicht wordt uitgewerkt in Artikel 21(2) van NIS2, dat één-op-één in de Cbw landt. In de kern: tien maatregelcategorieën die op basis van een risicoanalyse ingericht moeten zijn. Vertaald naar wat een bestuurder moet kunnen demonstreren:

• Beleid voor risicoanalyse en informatiebeveiliging — vastgesteld, actueel, en door het bestuur goedgekeurd.
• Incidentafhandeling — detectie, respons en herstel, inclusief geteste draaiboeken.
• Bedrijfscontinuïteit — back-up, disaster recovery, crisismanagement.
• Supply chain security — leverancierssegmenten in kaart, risicoscores, contractuele eisen.
• Beveiliging bij verwerving, ontwikkeling en onderhoud — ook van ingekochte software en cloud-diensten.
• Toetsing van effectiviteit — structureel, niet eenmalig. Audits, scans, pentests.
• Cyberhygiëne en training — voor alle medewerkers, niet alleen IT.
• Cryptografie en versleuteling — beleid én implementatie (TLS, key management).
• Toegangsbeveiliging en assetbeheer — wie heeft toegang tot wat, en hoe wordt dat vastgelegd.
• Multi-factor authenticatie en veilige communicatie — voor beheer, voor noodverbindingen, voor alles wat kritiek is.

Er komt geen sectie “MFA verplicht per 1 juli”. De toezichthouder kijkt naar de passendheid van uw maatregelen ten opzichte van het risico. Dat maakt de lat juist hoger: u moet kunnen uitleggen waarom uw keuzes verdedigbaar zijn.

Ketenzorgplicht: u bent zo sterk als uw zwakste leverancier

Artikel 21(2)(d) NIS2 staat apart genoemd omdat het voor veel organisaties de grootste verrassing gaat worden. U bent onder de Cbw wettelijk mede-verantwoordelijk voor de cyberveiligheid van uw leveranciers, onderaannemers en dienstverleners. Een incident bij uw SaaS-provider, uw managed service provider of uw softwareleverancier kan uw eigen zorgplicht schenden — ook als uw interne systemen vlekkeloos werken.

Concreet verwacht de toezichthouder dat u:

• Due diligence doet bij leveranciersselectie — certificeringen (ISO 27001, SOC 2, NEN7510), penetratietesten, incidentresponscapaciteit;
• Beveiligingseisen contractueel vastlegt — inclusief meldplichten bij incidenten, audit-rechten en onderaannemers-clausules;
• Continu inzicht houdt in de kwetsbaarheden van uw keten, niet alleen bij het tekenen van het contract;
• De aansprakelijkheid niet volledig kunt wegcontracteren — bij een incident blijft u als opdrachtgever mede aanspreekpunt.

Dit raakt ook organisaties die zelf niet direct onder de Cbw vallen, maar wel leveren aan essentiële entiteiten. Verwacht strengere aanbestedingscriteria, audit-verzoeken en meldverplichtingen vanuit uw klanten. Als u nu geen aantoonbare beveiliging hebt, verliest u straks opdrachten.

Meld- en registratieplicht: de praktijk

De meldplicht heeft drie stappen, en de tijd loopt snel:

Een incident is meldplichtig als het de continuïteit van dienstverlening aanzienlijk (kan) verstoren. Drempelcriteria — aantal getroffen personen, duur van de verstoring, potentiële financiële schade — worden uitgewerkt in ministeriële regelingen.

De registratieplicht verloopt via het NCSC-portaal. Sinds 17 oktober 2024 is registratie vrijwillig mogelijk; bij inwerkingtreding wordt het verplicht. Overheidsorganisaties kunnen hun bestaande ROO-registratie hergebruiken.

De toezichthouder is sectorafhankelijk. De Rijksinspectie Digitale Infrastructuur (RDI) houdt toezicht op (rijks)overheden en digitale infrastructuur; de Inspectie Leefomgeving en Transport (ILT) op waterschappen en transport; DNB en AFM op de financiële sector; de IGJ op de zorg. Elk sector heeft bovendien een eigen CSIRT.

De drie dingen die elk bestuur nu moet regelen: Inzicht, Investering en Incidentrespons

Als u de Cbw vertaalt naar de dagelijkse bestuurspraktijk, komt het neer op drie pijlers. Geen daarvan is een IT-probleem; alledrie zijn bestuurlijke besluiten.

1. Inzicht

U kunt niet beveiligen wat u niet kent. Dat lijkt voor de hand liggend, maar in de praktijk heeft de meerderheid van organisaties geen volledig beeld van het eigen externe aanvalsoppervlak — laat staan van dat van hun keten. Vergeten subdomeinen, oude testomgevingen, cloud-tenants onder persoonlijke accounts, leveranciers die al jaren geen contact meer zijn: dat is het materiaal waar incidenten uit voortkomen.

Bestuurlijke vraag: “Kunnen we binnen een week een geactualiseerd overzicht op tafel leggen van alles wat onder onze verantwoordelijkheid valt en aan het internet hangt?” Als het antwoord nee is, begin daar.

2. Investering

De Cbw is geen gratis wet. Opleiding van bestuur en personeel, continue scanning, contractherzieningen met leveranciers, een incidentresponsproces dat daadwerkelijk getest is — dat kost geld en menscapaciteit. Een bestuur dat dit jaar geen budget heeft vrijgemaakt, heeft een probleem bij de eerste toezichtsactie.

Bestuurlijke vraag: “Staat cyberweerbaarheid in onze meerjarenbegroting als structurele post, of alleen als ad-hoc project?”

3. Incidentrespons

24 uur is kort. 72 uur ook. Als uw escalatieketen niet vooraf gedocumenteerd en getest is, haalt u de termijnen niet. Dat geldt voor technische detectie, maar vooral voor bestuurlijke besluitvorming: wie beslist over externe communicatie? Wie tekent de melding? Wie contracteert forensische hulp? Deze vragen kunt u niet om 3 uur ’s nachts voor het eerst stellen.

Bestuurlijke vraag: “Hebben we in het afgelopen jaar een tabletop-oefening gedaan waarbij het bestuur zelf meedraaide?”

Hoe OpenKAT de technische zorgplicht afdekt

OpenKAT is een open source monitoring- en vulnerability scanning platform dat oorspronkelijk in opdracht van het Ministerie van VWS is ontwikkeld en inmiddels breed wordt ingezet bij Nederlandse overheden. Het is gebouwd op het principe van continue scanning — precies wat de Cbw-zorgplicht van u vraagt.

Een directe mapping tussen de Art. 21(2) NIS2-verplichtingen en wat OpenKAT concreet levert:

De kracht zit in drie dingen. Ten eerste: OpenKAT is continu, niet jaarlijks. Waar een pentest een momentopname is, draait OpenKAT 24/7. Dat is het verschil tussen aantonen dat u op 15 juni compliant wás en aantonen dat u continu compliant bent — en dat laatste is wat de Cbw wil zien.

Ten tweede: de knowledge graph onder OpenKAT (XTDB) is bi-temporeel. U kunt op elk willekeurig moment in het verleden terugkijken: “was onze certificaatketen op 1 maart 2026 op orde?” Dat is cruciaal voor audits én voor incidentreconstructie binnen de 30-daagse eindrapport-termijn.

Ten derde: OpenKAT is open source onder EU PL 1.2. Geen vendor lock-in, geen licentieproblemen, en volledige transparantie over wat de scanner doet. Voor een wet die van u vraagt dat u uw maatregelen kunt verdedigen, is een black-boxscanner een risico op zichzelf.

Wat OpenKAT níet doet — en wat u dus elders moet regelen

Eerlijkheid hoort erbij. OpenKAT dekt de technische, outside-in kant van de zorgplicht. Het is geen SIEM (daarvoor combineren we het met Elastic), geen EDR, geen IAM-systeem en geen GRC-platform. De organisatorische maatregelen — bestuursbesluiten, trainingsregisters, leverancierscontracten, incident-draaiboeken — zijn menselijk werk. OpenKAT levert wel de feitelijke onderbouwing die u in die documenten kunt hergebruiken.

Actielijst voor bestuurders — nu, deze maand, dit kwartaal

Nu (binnen 2 weken):

• Bepaal of uw organisatie onder de Cbw valt (sector × omvang × aanwijzing). Documenteer deze analyse — ook als u denkt dat u er níet onder valt.
• Identificeer de bestuurders met eindverantwoordelijkheid. Noteer wie goedkeuring geeft.
• Maak een eerste inventarisatie van uw externe aanvalsoppervlak. Weet u welke domeinen, subdomeinen, IP-ranges en cloud-tenants bij u horen? De meerderheid van organisaties onderschat dit met een factor 2–3.

Deze maand:

• Plan de bestuurdersopleiding (Art. 20 NIS2). Wacht niet tot Q2 — goede trainingen lopen vol.
• Start de risicoanalyse voor Art. 21(2). Een gap-analyse tegen de tien maatregelcategorieën is de minimale basis.
• Start (of schaal op) continue monitoring. Een OpenKAT-installatie is in een week operationeel; de eerste bruikbare rapportages heeft u binnen een maand.
• Inventariseer uw top-10 leveranciers en hun beveiligingsstatus. Dit is de keten waar u straks op afgerekend wordt.

Dit kwartaal (vóór inwerkingtreding):

• Leg de incident-meldprocedure vast. Wie belt wie binnen 24 uur? Wie schrijft het 72-uurs rapport? Test het met een tabletop-oefening.
• Audit uw leveranciers. Welke contracten moeten worden aangevuld met NIS2-clausules?
• Registreer uw entiteit zodra het NCSC-portaal verplicht wordt gesteld.
• Zorg dat u het audit-bewijs voor de zorgplicht kunt genereren op verzoek, niet pas gaat opzoeken.

Hasecon’s rol

Hasecon is actieve ontwikkelaar van OpenKAT en helpt organisaties met de volledige cyclus: installatie en inrichting, koppeling met bestaande SIEM-oplossingen (Elastic), ontwikkeling van maatwerk-boefjes voor sectorspecifieke controles, training van uw team, en strategisch advies om de technische findings te vertalen naar bestuurbare compliance-rapportages. Voor zorgorganisaties combineren we OpenKAT met de NEN7510-mapping; voor overheden met BIO; voor de financiële sector met DORA — de controles overlappen voor 70% met NIS2, dus één implementatie levert meerdere compliance-rapporten op.

Veiligheid is geen product, maar een continu proces. Met de Cyberbeveiligingswet wordt dat niet langer een motto, maar een wettelijke norm. Onder de nieuwe wet is het niet fataal als er iets misgaat, mits u kunt aantonen dat u als bestuurder uw huiswerk hebt gedaan. De organisaties die in Q2 2026 hun zaken op orde hebben, zijn de organisaties die nu beginnen.

Vragen over hoe u OpenKAT inzet voor uw Cbw-zorgplicht? Wilt u een gap-analyse tegen Art. 21(2) NIS2?

Bekijk onze OpenKAT-diensten → | Bekijk onze Elasticsearch-diensten →

Bronnen

• Rijksoverheid (15 april 2026). Tweede Kamer stemt in met wetsvoorstellen Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten. rijksoverheid.nl
• Digitale Overheid. Verplichtingen Cyberbeveiligingswet. digitaleoverheid.nl
• NCTV. Cyberbeveiligingswet — Vragen en antwoorden. nctv.nl
• Richtlijn (EU) 2022/2555 (NIS2) — Artikel 20 (governance) en Artikel 21 (risicobeheersmaatregelen). eur-lex.europa.eu
• OpenKAT documentatie. docs.openkat.nl