Het is zover. De Tweede Kamer heeft woensdag 15 april 2026 de wetsvoorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen. Daarmee is de belangrijkste parlementaire horde genomen voor de Nederlandse implementatie van de Europese NIS2- en CER-richtlijnen.
De Cyberbeveiligingswet vervangt de huidige Wbni en verplicht duizenden Nederlandse organisaties tot het treffen van cybersecuritymaatregelen, het melden van incidenten en het registreren bij een toezichthouder. De regering mikt op inwerkingtreding in Q2 2026. Bij de stemming zijn diverse moties en amendementen ingediend over de uitvoerbaarheid, het beperken van de regeldruk, de rolverdeling tussen toezichthouders en het informeren van het parlement.
Twee wetten, twee doelen
De Tweede Kamer heeft gestemd over twee wetsvoorstellen tegelijk:
De Cyberbeveiligingswet is de Nederlandse implementatie van de Europese NIS2-richtlijn. Deze wet verplicht organisaties in essentiële en belangrijke sectoren tot het treffen van cybersecuritymaatregelen en het melden van incidenten. Organisaties beoordelen zelf of ze eronder vallen. Er geldt een zorgplicht, meldplicht en registratieplicht — en géén overgangsperiode bij inwerkingtreding.
De Wet weerbaarheid kritieke entiteiten implementeert de CER-richtlijn en beschermt vitale infrastructuur tegen fysieke dreigingen zoals sabotage, terrorisme en natuurrampen. Hier wijst de minister de betrokken organisaties aan — anders dan bij de Cyberbeveiligingswet waar dat op zelfinschatting is gebaseerd. Beide wetten treden gelijktijdig in werking.
Tijdlijn: wat komt er nog?
De stemming in de Tweede Kamer is een belangrijke stap, maar de wet is nog niet van kracht. Dit is het vervolgtraject:
✓ 23 maart 2026 — Plenair debat Tweede Kamer afgerond
✓ 15 april 2026 — Tweede Kamer stemt in met beide wetsvoorstellen
→ Komende weken — Behandeling door de Eerste Kamer (verslag → nota → plenair debat → stemming)
Parallel — Raad van State adviseert over het Cyberbeveiligingsbesluit en Besluit weerbaarheid kritieke entiteiten (AMvB’s)
Parallel — Ministeriële regelingen met sectorspecifieke uitwerking in voorbereiding
Streefdatum: Q2 2026 — Gelijktijdige inwerkingtreding wetten + lagere regelgeving
Geen overgangsperiode voor de zorgplicht
Zodra de Cyberbeveiligingswet in werking treedt, moet uw organisatie direct voldoen aan de zorgplicht, meldplicht en registratieplicht. Er is geen overgangsperiode. De Rijksoverheid adviseert organisaties om nu al aan de slag te gaan — de cyberdreigingen waartegen de wet beschermt zijn er vandaag al.
De drie verplichtingen in het kort
1. Zorgplicht — Passende technische, operationele en organisatorische maatregelen treffen. Denk aan risicoanalyse, incidentbehandeling, security awareness training, leveranciersbeheer en cryptografie.
2. Meldplicht — Significante incidenten melden bij het NCSC en de sectorale toezichthouder. Binnen 24 uur een eerste melding, binnen 72 uur een incidentnotificatie, binnen één maand een eindverslag.
3. Registratieplicht — Organisaties moeten zelf beoordelen of ze onder de wet vallen en zich registreren bij het NCSC. Bij de Cyberbeveiligingswet is dit zelfinschatting — niemand wijst u aan.
Het supply chain-effect: waarom ook MKB geraakt wordt
De directe scope is helder: organisaties met 50+ medewerkers of €10M+ omzet in aangewezen sectoren. Maar de impact reikt verder. Essentiële en belangrijke entiteiten zijn verplicht om de cybersecurity van hun toeleveringsketen te waarborgen. Dat betekent dat zij eisen gaan stellen aan hun leveranciers — ongeacht de grootte van die organisaties.
Voor MKB-bedrijven en dienstverleners betekent dit concreet:
• Opdrachtgevers leggen contractueel cybersecurityeisen op
• U moet kunnen aantonen dat u passende maatregelen treft
• Niet-compliant leveranciers lopen het risico uitgesloten te worden uit de keten
• Phishing-simulaties en awareness training worden onderdeel van de verwachte baseline
Met andere woorden: ook als u formeel niet onder de Cyberbeveiligingswet valt, zullen uw klanten en opdrachtgevers u erop aanspreken. Compliance wordt een concurrentievoordeel — of het gebrek eraan een reden om u niet meer als leverancier in te zetten.
Wat moet u nu doen?
De Eerste Kamer moet nog stemmen, maar de richting staat vast. De Rijksoverheid roept organisaties op om niet af te wachten. Deze vijf stappen kunt u vandaag nemen:
1. Bepaal of u onder de wet valt — Doe de NIS2 Quick Scan om in 2 minuten uw status te bepalen. Ook als u niet direct onder de wet valt, kan het supply chain-effect op u van toepassing zijn.
2. Start met security awareness — De Cyberbeveiligingswet vereist dat alle medewerkers en bestuurders cybersecuritytraining volgen. Begin nu met doorlopende awareness training zodat u bij inwerkingtreding al aantoonbaar bewijs hebt.
3. Test uw phishing-weerbaarheid — 40% van medewerkers deelt bij de eerste phishing-simulatie gevoelige gegevens. Meet waar u staat vóórdat de wet van kracht wordt.
4. Breng uw risico’s in kaart — Controleer uw dark web exposure, e-mailbeveiliging (DMARC/SPF/DKIM), endpoints en cloudconfiguratie.
5. Documenteer uw maatregelen — Compliance draait om bewijs. Zorg dat u voor elke maatregel kunt aantonen wat u doet, wie verantwoordelijk is en wat de resultaten zijn.
Lees ook: Cyberbeveiligingswet Q2 2026: 7 concrete stappen die u nu moet nemen →
Veelgestelde vragen
Is de Cyberbeveiligingswet nu definitief?
De Tweede Kamer heeft op 15 april 2026 ingestemd. De wet gaat nu naar de Eerste Kamer voor verdere behandeling: verslag, nota, plenair debat en stemming. De regering streeft naar inwerkingtreding in Q2 2026.
Wat is het verschil met de Wet weerbaarheid kritieke entiteiten?
De Cyberbeveiligingswet richt zich op digitale beveiliging (NIS2). Organisaties beoordelen zelf of ze eronder vallen. De Wet weerbaarheid kritieke entiteiten richt zich op fysieke weerbaarheid (CER). Daar wijst de minister de betrokken organisaties aan.
Valt mijn MKB-bedrijf onder de Cyberbeveiligingswet?
Organisaties met 50+ medewerkers of €10M+ omzet in aangewezen sectoren vallen direct onder de wet. Kleinere bedrijven kunnen indirect geraakt worden via het supply chain-effect: opdrachtgevers die onder de wet vallen stellen cybersecurityeisen aan hun leveranciers.
Is er een overgangsperiode?
Nee. Zodra de wet in werking treedt, moeten organisaties direct voldoen aan de zorgplicht, meldplicht en registratieplicht. De Rijksoverheid adviseert organisaties om nu al te beginnen met voorbereidingen.
Bronnen: NCTV, Rijksoverheid: Tweede Kamer stemt in met wetsvoorstellen Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten, 15 april 2026. Tweede Kamer der Staten-Generaal: stemmingsuitslagen 15 april 2026.
Waar staat uw organisatie? Doe de NIS2-scan
Wilt u weten of uw organisatie voorbereid is op de Cyberbeveiligingswet? Met de gratis Lupasafe NIS2-scan ziet u in twee minuten waar u staat — en waar de grootste risico’s zitten.
Disclaimer: dit artikel is geschreven op basis van het NCTV-nieuwsbericht van 15 april 2026. De wetsvoorstellen zijn aangenomen door de Tweede Kamer maar moeten nog worden behandeld door de Eerste Kamer. Details kunnen wijzigen bij de definitieve publicatie in het Staatsblad. Dit artikel is informatief bedoeld en vormt geen juridisch advies.
