
Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten: van verplichting naar praktische weerbaarheid
Op 7 juli 2026 heeft de Eerste Kamer ingestemd met de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Daarmee zet Nederland een belangrijke stap in het versterken van de digitale en fysieke weerbaarheid van organisaties. Beide wetten treden op 15 augustus 2026 in werking. Vanaf dat moment krijgen ruim 8.000 organisaties in Nederland te maken met nieuwe verplichtingen op het gebied van cyberbeveiliging.
Wat verandert er met de Cyberbeveiligingswet?
De Cyberbeveiligingswet is de Nederlandse implementatie van de Europese NIS2-richtlijn. De wet geldt voor organisaties die essentiële of belangrijke diensten leveren, onder andere binnen sectoren zoals energie, drinkwater, digitale infrastructuur, gezondheidszorg, overheid en vervoer.
Organisaties moeten zelf beoordelen of zij onder de wet vallen. Voor gemeenten, provincies en waterschappen geldt dat zij als decentrale overheden onder de reikwijdte vallen, ongeacht hun omvang.
Organisaties die onder de Cyberbeveiligingswet vallen, krijgen onder andere te maken met:
- Registratieplicht
- Zorgplicht
- Meldplicht
- Bestuurlijke verantwoordelijkheid
- Toezicht
Het gaat dus niet alleen om het hebben van beveiligingstools. Organisaties moeten kunnen laten zien dat zij bewust sturen op risico’s, dat maatregelen logisch zijn onderbouwd en dat incidenten niet alleen technisch, maar ook organisatorisch goed worden opgepakt.
Wet weerbaarheid kritieke entiteiten
Naast de Cyberbeveiligingswet treedt ook de Wet weerbaarheid kritieke entiteiten in werking. Deze wet implementeert de Europese CER-richtlijn en richt zich breder op de continuïteit van vitale en kritieke dienstverlening.
Waar de Cyberbeveiligingswet vooral ziet op digitale weerbaarheid, kijkt de Wwke ook naar fysieke, organisatorische en operationele risico’s. Denk aan sabotage, natuurrampen, verstoringen in ketens of uitval van essentiële voorzieningen.
Voor ongeveer 500 organisaties geldt dat zij formeel als kritieke entiteit kunnen worden aangewezen. Zij moeten vervolgens maatregelen nemen om hun dienstverlening robuuster te maken tegen verstoringen. Daarmee ontstaat een duidelijke beweging: organisaties moeten niet alleen veilig zijn, maar ook aantoonbaar weerbaar.
Waarom dit nu urgent is
De officiële inwerkingtreding op 15 augustus 2026 betekent niet dat organisaties kunnen wachten tot die datum. De risico’s bestaan nu al. Het NCSC adviseert organisaties daarom om niet af te wachten, maar nu al te starten met voorbereiding.
Wie nu inzicht krijgt in kwetsbaarheden, afhankelijkheden, leveranciersrisico’s en incidentprocedures, staat straks sterker bij toezicht, audits en eventuele incidenten.
Een goede voorbereiding begint bij een eerlijke nulmeting. Daarbij horen vragen zoals:
- Waar staan we nu?
- Welke systemen zijn kritisch?
- Welke leveranciers hebben toegang tot gevoelige omgevingen?
- Zijn back-ups getest?
- Is duidelijk wie verantwoordelijk is bij een incident?
- Zijn medewerkers getraind?
- Is er bewijs dat maatregelen daadwerkelijk werken?
Wat VERBYND hierin kan betekenen
Binnen VERBYND helpen we organisaties bij digitale soevereiniteit, veilige werkplekken en toekomstbestendige IT-inrichting. Met onze cyber-tak voegen we daar een praktisch security-aanbod aan toe.
Hiervoor werken we samen met CyberGlobal, een internationale cybersecuritypartner met diensten op het gebied van onder andere SOC, penetration testing en compliance audits. CyberGlobal biedt via haar MSP-programma toegang tot een breed cybersecurityportfolio dat partners kunnen inzetten richting hun klanten.
Onze insteek is praktisch: geen dikke rapporten die in een la verdwijnen, maar inzicht, prioriteiten en concrete vervolgstappen.
Onze cyberdiensten
1. NIS2/Cbw quickscan
We brengen in kaart of een organisatie waarschijnlijk onder de Cyberbeveiligingswet valt, welke verplichtingen relevant zijn en waar de grootste aandachtspunten zitten. Dit geeft bestuur, management en IT snel overzicht.
2. Cybersecurity nulmeting
We beoordelen de huidige digitale weerbaarheid op hoofdlijnen. Denk aan identiteiten en toegangsbeheer, back-upbeleid, patchmanagement, endpointbeveiliging, netwerksegmentatie, logging, leveranciersafspraken en incidentrespons.
3. Kwetsbaarhedenscan en externe aanvalsvlak-analyse
We onderzoeken welke kwetsbaarheden zichtbaar zijn vanaf buitenaf. Dit helpt om snel risico’s te vinden die door kwaadwillenden kunnen worden misbruikt.
4. Penetratietesten
Voor kritieke applicaties, portalen, infrastructuur of cloudomgevingen kan een gerichte pentest worden uitgevoerd. Daarmee wordt getest of beveiligingsmaatregelen in de praktijk standhouden.
5. SOC en monitoring
Voor organisaties die continu zicht willen op dreigingen, verdachte activiteiten en incidenten kan monitoring via een Security Operations Center worden ingericht.
6. Compliance en auditvoorbereiding
We helpen om maatregelen, risico’s, processen en bewijsvoering beter vast te leggen. Dat is belangrijk omdat de Cyberbeveiligingswet niet alleen vraagt om maatregelen, maar ook om aantoonbaarheid.
7. Incidentrespons en verbeterplan
Wanneer zich een incident voordoet, is snelheid cruciaal. We kunnen helpen bij het inrichten van een incidentproces, escalatieafspraken en herstelmaatregelen. Ook na een incident is het belangrijk om structureel te verbeteren.
Van losse maatregelen naar een volwassen cyberaanpak
Veel organisaties hebben al losse beveiligingsmaatregelen genomen. Denk aan MFA, antivirus, back-ups of awareness-trainingen. Dat is waardevol, maar onder de nieuwe wetgeving is samenhang belangrijker dan ooit.
De vraag wordt niet alleen: hebben we maatregelen? De vraag wordt: passen de maatregelen bij onze risico’s, werken ze aantoonbaar en kunnen we uitleggen waarom dit voldoende is?
Daar ligt precies de meerwaarde van een gestructureerde aanpak. Door eerst inzicht te creëren, daarna te prioriteren en vervolgens gericht te verbeteren, voorkom je dat cybersecurity een verzameling losse tools wordt. Het wordt dan onderdeel van governance, continuïteit en digitale soevereiniteit.
Cyberweerbaarheid als onderdeel van digitale soevereiniteit
Bij VERBYND kijken we niet alleen naar cybersecurity als technische bescherming, maar ook naar grip. Grip op data, grip op leveranciers, grip op toegang, grip op continuïteit en grip op herstelvermogen.
De Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten maken die grip urgenter. Organisaties moeten weten waar hun kritieke processen draaien, wie toegang heeft, welke afhankelijkheden bestaan en hoe snel zij kunnen reageren als er iets misgaat.
Cybersecurity wordt daarmee een strategisch thema. Niet alleen voor IT, maar ook voor directie, bestuur, management en toezichthouders.
Aan de slag
De komende maanden zijn belangrijk. Organisaties die onder de Cyberbeveiligingswet of Wet weerbaarheid kritieke entiteiten vallen, doen er verstandig aan om nu al te starten met een praktische inventarisatie.
Niet vanuit angst, maar vanuit volwassenheid.
Want digitale weerbaarheid begint niet bij een wettelijke verplichting. Het begint bij inzicht in je eigen kwetsbaarheid en de bereidheid om daar structureel op te sturen.
VERBYND helpt organisaties graag om die stap concreet te maken. Samen met CyberGlobal bieden we een praktische route van eerste quickscan naar technische toetsing, monitoring, compliance en verbetering.
Zo wordt cyberweerbaarheid geen papieren verplichting, maar een werkbare basis voor veilige en betrouwbare digitale dienstverlening.
---
Bronnen
- Rijksoverheid — Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten vanaf 15 augustus 2026 van kracht: https://www.rijksoverheid.nl/actueel/nieuws/2026/07/07/cyberbeveiligingswet-en-wet-weerbaarheid-kritieke-entiteiten-vanaf-15-augustus-2026-van-kracht
- NCTV — Welke organisaties vallen onder de Cyberbeveiligingswet: https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet/welke-organisaties-vallen-onder-de-cyberbeveiligingswet
- NCSC — Cyberbeveiligingswet / NIS2: https://www.ncsc.nl/cyberbeveiligingswet-nis2
- CyberGlobal — MSP Partners: https://cybergl.com/msp-partners/


