Tweede Kamer neemt Cyberbeveiligingswet aan: NIS2 stap dichterbij

Het ging lange tijd langzaam, maar nu gaat het hard: op woensdag 15 april 2026 heeft de Tweede Kamer ingestemd met de Cyberbeveiligingswet — de Nederlandse implementatie van de Europese NIS2-richtlijn. Tegelijkertijd werd ook de Wet weerbaarheid kritieke entiteiten (de CER-implementatie) aangenomen.

Voor duizenden Nederlandse bedrijven betekent dit dat de cybersecurity-verplichtingen nu écht heel dichtbij komen.

Snel weten of jij eronder valt? Doe de gratis NIS2-check — in 2 minuten heb je antwoord.

Wat is er aangenomen?

Twee wetten, beide gericht op weerbaarheid van cruciale sectoren:

1. Cyberbeveiligingswet (NIS2)

De Cyberbeveiligingswet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en breidt de reikwijdte fors uit. Waar Wbni gold voor circa 100 "essentiële operators", gaat NIS2 gelden voor naar schatting 8.000–10.000 Nederlandse organisaties.

Onder de Cyberbeveiligingswet krijgen organisaties drie hoofdverplichtingen:

• Zorgplicht — passende cybersecurity-maatregelen treffen
• Meldplicht — significante incidenten binnen 24/72 uur melden
• Registratieplicht — zich aanmelden bij de toezichthouder

2. Wet weerbaarheid kritieke entiteiten (CER)

Deze wet implementeert de Europese CER-richtlijn (Critical Entities Resilience) uit eind 2022 en beschermt vitale infrastructuur tegen dreigingen als terrorisme, sabotage en natuurrampen. Ze is complementair aan NIS2: waar NIS2 zich richt op cyberdreigingen, gaat CER over fysieke en hybride dreigingen.

Veel "essentiële entiteiten" onder NIS2 vallen automatisch ook onder de CER-wet — denk aan energie, drinkwater, transport en gezondheidszorg.

Wat zijn de volgende stappen?

De wetsvoorstellen liggen nu bij de Eerste Kamer. Tegelijkertijd loopt de uitwerking van de onderliggende regelgeving op meerdere sporen:

• Adviezen van de Raad van State worden verwacht
• Ministeriële regelingen zijn in voorbereiding
• De regering streeft naar gelijktijdige inwerkingtreding in Q2 2026

Dat sluit aan op de eerder aangekondigde streefdatum van 1 juli 2026.

Wat betekent dit voor jouw bedrijf?

De officiële boodschap van de overheid is helder: niet afwachten, maar nu al actie ondernemen. Drie redenen waarom dat verstandig is:

1. Het feit dat de wet er nu is, betekent geen extra tijd

Veel bedrijven dachten: "Nederland heeft de EU-deadline van oktober 2024 gemist, dus we hebben nog wel even." Met deze stemming is dat argument van tafel. De inwerkingtreding komt in Q2 2026 — dat is over enkele maanden.

2. Compliance opbouwen kost maanden, niet weken

De 10 verplichte maatregelen onder NIS2 (risicobeheer, incident response, supply chain security, etc.) bouw je niet in een weekend op. Reken op 6–12 maanden als je nu nog op nul staat.

3. Auditors en consultants raken vol

Met duizenden bedrijven die tegelijk hulp nodig hebben, ontstaat schaarste in de markt. Vroege starters hebben de keuze, late starters krijgen wat overblijft — vaak duurder.

Concrete actiestappen

Wat kun je deze maand al doen?

1. Bepaal of je onder NIS2 valt — gebruik onze gratis check of lees ons artikel "Val ik onder NIS2?"
2. Inventariseer je huidige cybersecurity — heb je een ISO 27001? CIS Controls? Niets?
3. Praat met je directie — NIS2 maakt bestuurders persoonlijk aansprakelijk (zie ook ons artikel "NIS2 uitgelegd voor MKB")
4. Reserveer capaciteit — interne uren én externe ondersteuning

Conclusie

De stemming van 15 april 2026 is een belangrijk signaal: de Cyberbeveiligingswet komt er, en sneller dan veel bedrijven dachten. Met een verwachte inwerkingtreding in Q2 2026 heb je nog krap een jaar om je organisatie compliant te maken.

Begin vandaag met de basis: weten of je eronder valt, en wat de gap is met je huidige situatie.

Klaar om te beginnen? Doe de gratis NIS2-check — in 2 minuten weet je waar je staat.

Bron

NCTV — Tweede Kamer stemt in met wetsvoorstellen Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten (14 april 2026)