Naar hoofdinhoud
Kennisbank
Cyberbeveiligingswet

Cyberbeveiligingswet aangenomen: dit regelt u vóór 15 augustus 2026

De Eerste Kamer nam de Cyberbeveiligingswet (NIS2) op 7 juli 2026 aan; de wet treedt op 15 augustus 2026 in werking. Een praktische checklist met wat u vóór die datum geregeld wilt hebben.

Bijgewerkt 10 juli 2026 5 min lezen

Het is definitief: na de Tweede Kamer (15 april 2026) heeft ook de Eerste Kamer de Cyberbeveiligingswet aangenomen, op 7 juli 2026. Daarmee is de parlementaire behandeling afgerond en treedt de Nederlandse implementatie van de Europese NIS2-richtlijn op 15 augustus 2026 in werking. Vanaf die datum gelden de registratieplicht, de zorgplicht en de meldplicht.

Wat verandert er op 15 augustus 2026?

De wet zelf kent geen lange overgangsperiode voor de kernverplichtingen: wie onder de wet valt, moet vanaf de inwerkingtreding aan de zorgplicht voldoen en incidenten volgens de wettelijke termijnen melden. Toezicht en registratie worden daarna verder ingericht, maar daarop wachten is riskant — de verplichtingen gelden intussen gewoon.

De checklist: vijf zaken om nu te regelen

1. Bepaal of u onder de wet valt
Toets uw organisatie aan de sectoren en omvangscriteria: bent u een essentiële of belangrijke entiteit? Ook wie er formeel buiten valt, krijgt de eisen vaak via klanten of de keten opgelegd.
2. Doe de zelfevaluatie op de tien zorgplichtgebieden
Artikel 21 van NIS2 schrijft tien maatregelgebieden voor, van risicobeleid en incidentbehandeling tot ketenbeveiliging en cryptografie. Breng per gebied in kaart wat er staat en wat ontbreekt.
3. Richt het meldproces in
Bij een significant incident geldt een getrapte meldplicht: vroegtijdige waarschuwing binnen 24 uur, incidentmelding binnen 72 uur en een eindverslag binnen één maand. Beleg wie meldt, via welk kanaal, en maak sjablonen vooraf klaar.
4. Betrek het bestuur aantoonbaar
De leiding keurt het beveiligingsbeleid goed, blijft verantwoordelijk en traint mee. Leg die betrokkenheid vast — dat is precies wat een toezichthouder als eerste wil zien.
5. Maak het aantoonbaar
De zorgplicht is risicogebaseerd: u moet kunnen láten zien dat uw maatregelen passen bij uw risico’s. Een bijgehouden zelfevaluatie met onderbouwing, taken en bewijs is uw dossier richting bestuur en toezichthouder.

Hergebruik wat er al ligt

Organisaties die al met ISO 27001 of de BIO werken, hoeven niet opnieuw te beginnen: een groot deel van de zorgplichtgebieden wordt door bestaande maatregelen afgedekt. Breng de overlap in kaart en organiseer alleen de aanvulling — met name bestuursverantwoordelijkheid, ketenbeveiliging en het meldproces.

Vijf weken is genoeg voor een start

Een volledige implementatie vergt langer, maar de zelfevaluatie, het meldproces en de bestuurlijke vaststelling zijn vóór 15 augustus haalbaar. Daarmee laat u zien dat u de wet serieus neemt — ook als nog niet alles af is.

Dit artikel is informatief en geen juridisch advies. Wetgeving kan wijzigen. Raadpleeg bij twijfel een specialist of de officiele bronnen.

Lees verder

Aan de slag met Normio

Zet deze theorie om in een concreet actieplan. Probeer Normio 14 dagen gratis.

Start 14 dagen gratis
Cyberbeveiligingswet aangenomen: dit regelt u vóór 15 augustus 2026 | Normio