In 2026 gaat er nieuwe cyberwetgeving in. De Wet beveiliging netwerk- en informatiesystemen (Wbni) wordt vervangen door de Cyberbeveiligingswet (Cbw). En er komt een nieuwe wet bij: de Wet weerbare kritieke entiteiten (Wwke). Deze wetgeving gaat vermoedelijk in het 2e kwartaal van het jaar in.

De Cbw is de Nederlandse uitwerking van de Network and Information Security Directive (NIS2). De Wwke is de Nederlandse uitwerking van de Europese Critical Entities Resilience Directive (CER). 

Lees meer over de Cbw en de Wwke.

Welke organisaties vallen onder de Cbw en de Wwke?

De ILT houdt toezicht op de cybersecurity van organisaties in sectoren die onder het  Ministerie van Infrastructuur en Waterstaat vallen. Dit zijn organisaties die gelden als ‘essentieel’ of ‘belangrijk’ binnen de volgende sectoren:

  • Vervoer (weg, water, spoor, luchtvaart, openbaar vervoer)
  • Drinkwater en afvalwater
  • Chemische bedrijven
  • Organisaties voor waterkering (Keren en beheren)
  • Afvalstoffenbeheer
  • Overheid (gemeentes, provincies, Rijkswaterstaat)

Wilt u weten of uw organisatie belangrijk of essentieel is? Op de website van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) vindt u meer informatie over welke branches en welke organisaties onder de cyberwetgeving vallen.

Let op: Bent u een luchtvaartorganisatie? Lees meer over de Europese regels voor informatiebeveiliging in de burgerluchtvaart (EASA Part-IS).

Wat moet u doen?

Controleer of de Cbw voor uw organisatie geldt. Dit doet u met de NIS2-zelfevaluatie.

Registratieplicht

Valt uw organisatie onder de Cbw? Dan moet u uw organisatie registreren in het entiteitenregister. Dit is verplicht. Het entiteitenregister geeft inzicht in de digitale veiligheid van organisaties en diensten in Europa. Op basis van uw gegevens in het register biedt het Nationaal Cyber Security Centrum (NCSC) gericht producten en diensten aan om de weerbaarheid van uw organisatie te vergroten. Ook kan de overheid bij incidenten snel contact met u opnemen.

Lees meer over de registratieplicht op de website van het NCSC.

Zorgplicht

U moet maatregelen nemen om uw netwerk- en informatiesystemen te beschermen tegen cyberincidenten. Dit geldt ook voor de fysieke omgeving waarin de systemen zich bevinden. 

Lees meer over de zorgplicht op de website van het NCSC.

Doe de NIS2-Quickscan om te controleren of uw organisatie de juiste maatregelen neemt en voldoet aan de eisen van NIS2. 

Meldplicht

Significante cyberincidenten moet u direct melden bij het NCSC. Dit geldt ook voor bijna-incidenten die de continuïteit van uw dienstverlening ernstig kunnen verstoren. Tijdig melden is verplicht. Hierdoor is een snelle reactie mogelijk en blijft de schade voor de sector en de samenleving beperkt.

Wanneer moet u melden?  

  • Als uw organisatie onder de Cbw valt.
  • Bij een significant incident met aanzienlijke gevolgen voor de continuïteit van de dienst die uw organisatie levert. 
  • Bij een inbreuk op de beveiliging van uw netwerk- en informatiesystemen die aanzienlijke gevolgen heeft voor de continuïteit van de dienst. 
  • Als het incident de drempelwaarde overschrijdt die het ministerie vaststelt. 

Een cyberincident in uw organisatie melden doet u op website van het NCSC. Ook voor hulp en ondersteuning bij cyberincidenten kunt u terecht bij het NCSC.

Incident melden