De Eerste Kamer heeft op 7 juli 2026 ingestemd met de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Beide wetten treden op 15 augustus 2026 in werking en brengen nieuwe verplichtingen met zich mee voor duizenden organisaties in Nederland. Naar verwachting vallen ruim 8.000 organisaties onder de Cyberbeveiligingswet.
NIS2 wordt werkelijkheid
Met de Cyberbeveiligingswet wordt de Europese NIS2-richtlijn omgezet naar Nederlandse wetgeving. De wet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en is van toepassing op organisaties die essentiële of belangrijke diensten leveren binnen onder meer de sectoren gezondheidszorg, overheid, energie, drinkwater, digitale infrastructuur en vervoer.
Voor veel organisaties betekent dit dat cyberveiligheid niet langer uitsluitend een verantwoordelijkheid van de IT-afdeling is. Het bestuur wordt expliciet verantwoordelijk voor het beheersen van cyberrisico’s en moet aantoonbaar betrokken zijn bij de informatiebeveiliging van de organisatie.
Nieuwe verplichtingen
Organisaties die onder de Cyberbeveiligingswet vallen, krijgen onder andere te maken met:
- Registratieplicht bij het Nationaal Cyber Security Centrum (NCSC);
- Zorgplicht voor het treffen van passende beveiligingsmaatregelen;
- Meldplicht voor significante cyberincidenten;
- Bestuurlijke verantwoordelijkheid voor cyberrisicobeheersing;
- Toezicht en handhaving door bevoegde autoriteiten.
Deze verplichtingen vragen niet alleen om technische maatregelen, maar ook om beleid, governance, risicomanagement, awareness en aantoonbare beheersing van risico’s.
Ook aandacht voor fysieke weerbaarheid
Naast de Cyberbeveiligingswet treedt de Wet weerbaarheid kritieke entiteiten (Wwke) in werking. Deze wet richt zich op de bescherming van vitale organisaties tegen verstoringen zoals sabotage, terroristische dreigingen, natuurrampen en andere incidenten die de continuïteit van essentiële dienstverlening kunnen bedreigen. Organisaties die onder deze wet vallen, worden formeel aangewezen als kritieke entiteit en krijgen aanvullende verplichtingen op het gebied van risicobeoordeling en crisisvoorbereiding.
Wat betekent dit voor de zorg?
Voor zorginstellingen sluit de nieuwe wetgeving nauw aan op bestaande normen zoals NEN7510, maar de eisen rondom governance, risicobeheersing, leveranciersmanagement en incidentrespons worden nadrukkelijker en strenger. Bestuurders zullen beter inzicht moeten hebben in cyberrisico’s en aantoonbaar moeten kunnen maken welke maatregelen zijn getroffen om de continuïteit en veiligheid van de organisatie te waarborgen.
Om zorgorganisaties hierbij te ondersteunen heeft Privacyzorg de nieuwe AVG-cockpit en NEN-cockpit ontwikkeld. Deze innovatieve online dashboards geven bestuurders, privacy officers, functionarissen gegevensbescherming, informatiebeveiligingsfunctionarissen en kwaliteitsmanagers continu inzicht in de compliance-status van hun organisatie.
Met de AVG-cockpit beschikken organisaties over een centraal overzicht van onder andere verwerkingsregisters, datalekken, DPIA’s, verwerkersovereenkomsten, leveranciers, risicoanalyses en openstaande verbetermaatregelen. Hierdoor ontstaat direct inzicht in de mate waarin wordt voldaan aan de AVG en welke acties nog aandacht vragen.
De NEN-cockpit ondersteunt organisaties bij het aantoonbaar voldoen aan de eisen van NEN 7510, NEN 7512 en NEN 7513. Beheersmaatregelen, risicoanalyses, audits, managementbeoordelingen, verbeteracties en compliance-statussen worden overzichtelijk samengebracht in één gebruiksvriendelijke omgeving.
Juist de nieuwe Cyberbeveiligingswet legt een sterke nadruk op bestuurlijke verantwoordelijkheid, aantoonbare risicobeheersing en continue monitoring van informatiebeveiliging. De AVG- en NEN-cockpit zijn daarom specifiek ingericht om organisaties te helpen deze verplichtingen praktisch, efficiënt en aantoonbaar te borgen. Bestuurders beschikken hierdoor altijd over actuele stuurinformatie en kunnen eenvoudig verantwoording afleggen richting toezichthouders, auditors, certificerende instellingen en stakeholders.
Met de combinatie van onze beheerdiensten, audits, opleidingen en de nieuwe cockpit-oplossingen biedt Privacyzorg zorgorganisaties een compleet platform om voorbereid te zijn op de komst van de Cyberbeveiligingswet, NIS2 en toekomstige toezichtseisen.
Wacht niet tot 15 augustus
Er geldt geen ruime overgangsperiode. Organisaties die onder de nieuwe wetgeving vallen doen er verstandig aan nu al te beoordelen welke verplichtingen op hen van toepassing zijn en waar eventuele verbetermaatregelen nodig zijn.
Wilt u weten of uw organisatie onder de Cyberbeveiligingswet valt of hoe uw organisatie ervoor staat op het gebied van AVG, NEN 7510 en NIS2-compliance? Neem contact op met Privacyzorg voor een vrijblijvend adviesgesprek of een demonstratie van onze nieuwe AVG- en NEN-cockpit.