Nieuws
image

Tweede Kamer stemt in met Cyberbeveiligingswet en NIS2-implementatie

woensdag 15 april 2026, 16:50 door Redactie, 14 reacties

De Tweede Kamer heeft vandaag ingestemd met de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten. De Cbw implementeert de Europese NIS2-richtlijn in Nederlandse wetgeving en vervangt de huidige Wbni. Daarmee worden zorgplicht, meldplicht en registratieplicht voor duizenden organisaties in Nederland wettelijk verankerd. Voor het Nationaal Cyber Security Centrum (NCSC) betekent dit dat het werkterrein significant uitbreidt: naar meer dan circa 8.000 organisaties die straks onder de verantwoordelijkheid van de overheidsinstantie vallen.

De Wet weerbaarheid kritieke entiteiten (Wwke) is de omzetting in nationale wetgeving van de Europese Critical Entities Resilience (CER)-richtlijn. De Wwke is gericht op het verhogen van de weerbaarheid van organisaties die essentiële diensten aanbieden, zoals zorgaanbieders, luchthavens, kredietinstellingen en energieleveranciers. De wet verplicht deze organisaties om passende maatregelen te nemen om verstorende incidenten te voorkomen, de impact te beperken en snel ervan te herstellen.

De wetsvoorstellen gaan nu naar de Eerste Kamer. De planning is dat de wetten in het tweede kwartaal van 2026 in werking treden. Of die planning precies wordt gehaald, hangt af van het tempo van de Eerste Kamer.

Reacties (14)
Reageer met quote
15-04-2026, 17:07 door Anoniem
Heeft geen zin zo lang het toegestaan is om consumenten besturingssystemen zonder kwaliteitskenmerk te mogen gebruiken voor kritische systemen. Hoeveel windows ransomware incidenten moeten er nog komen?
Zie https://on-it.net/windows-is-een-magneet-voor-ransomware/ Het is de laatste 4j alleen maar erger geworden. Het blijkt elke maand continue kritisch lek maar we doen net of onze neus bloedt of we geven de gecertificeerde beheerders de schuld.
Reageer met quote
15-04-2026, 17:36 door Anoniem
Had het er letterlijk gister over dat deze wet nog steeds niet door de tweede kamer was. Moet dit maar even doorsturen
Reageer met quote
15-04-2026, 17:40 door Anoniem
Ach als er flink aangepakt wordt in de eerste kamer, dan zijn we maar een jaar te laat met de implementatie van deze Europese richtlijn. Gelukkig komen datalekken, cyberaanvallen en oorlogen in Europa niet voor en konden de ambtelijke molens alle tijd nemen /s

Wellicht moet het bedrijfsleven met terugwerkende kracht klaar zijn.
Reageer met quote
15-04-2026, 22:06 door Drs Security en Privacy
Door Anoniem: Heeft geen zin zo lang het toegestaan is om consumenten besturingssystemen zonder kwaliteitskenmerk te mogen gebruiken voor kritische systemen. Hoeveel windows ransomware incidenten moeten er nog komen?
Zie https://on-it.net/windows-is-een-magneet-voor-ransomware/ Het is de laatste 4j alleen maar erger geworden. Het blijkt elke maand continue kritisch lek maar we doen net of onze neus bloedt of we geven de gecertificeerde beheerders de schuld.
Dat is een jaar of 16 geleden ongeveer begonnen.
Daarvoor was alles dedicated.
Bijkomend probleem is overigens dat in heel veel gevallen de leveranciers van specifieke OT (operational IT) patchen tegenhouden.
Daarnaast is het niet altijd mogelijk direct te patchen, je kunt een chemische fabriek niet ff stil leggen voor patch Tuesday namelijk. Helemaal niet als dan de boel door een fout 24 uur uit gaat, dan kun je al het leidingwerk vervangen.
Daarnaast speelt nog een ander probleem: veel installaties moeten gecertificeerd worden, grote IT wijzigingen betekend opnieuw certificeren.
heb daar zelf een keer indirect mee te maken gehad met een uitrol van een oude WIndows 2003 servicepack die bijna EOL was, alles upgraden en opnieuw certificeren koste 15 maanden (minimaal).
Reageer met quote
15-04-2026, 22:09 door Drs Security en Privacy
Door Anoniem: Ach als er flink aangepakt wordt in de eerste kamer, dan zijn we maar een jaar te laat met de implementatie van deze Europese richtlijn. Gelukkig komen datalekken, cyberaanvallen en oorlogen in Europa niet voor en konden de ambtelijke molens alle tijd nemen /s

Wellicht moet het bedrijfsleven met terugwerkende kracht klaar zijn.
Een jaar te laat zeg je?
Anderhalf jaar bedoel je toch?
Deze wetgeving had 18 oktober 2024 in moeten gaan. Dus over 3 dagen 18 maanden geleden.
Reageer met quote
16-04-2026, 06:32 door AX0
Laten we eerlijk zijn,

We zien dit ook op andere 'verplichte' terreinen terug, zoals bijv de bescherming van persoonsgegevens, die nog steeds maar te summier bij organisaties wordt toegepast. We zien dat telkens weer bij hacks terug die persoonlijke data als target hebben.

Ongeacht hun 'succes', zien we dat ook nog steeds, in organisaties, dat die soms niet helemaal begrijpen hoe met persoonsgegevens en aanhangende data om moeten gaan. Bijzonder is ook dat organisties en bedrijven die een Functionaris Gegevensbescherming (FG) hebben, daar nog steeds problemen mee blijken te hebben.

Vaak gaat het gewoon om onbegrip, te denken dat een FG een post is met vinkjes, vaak gaat het om een medewerker die 'het' er even bij doet, maar velen omdat de fucntie van FG gewoon een verplichting is.

Naarmate IT voor de organisatie gewoon business critical is, zien heel veel managers en executives dat nog steeds niet zo. En dat zou iedereen zorgen moeten baren. Want moeten voldoen aan richtlijnen als DPA en NIS2 in dit geval, hebben we het over verplichtingen. En daar zijn veel IT professionals klaarblijkelijk helemaal niet mee bezig. Wel onderdeel van hun core business.

RC
Reageer met quote
16-04-2026, 08:38 door Anoniem
Door Anoniem: Heeft geen zin zo lang het toegestaan is om consumenten besturingssystemen zonder kwaliteitskenmerk te mogen gebruiken voor kritische systemen.
In de VS mogen consumenten geen buitenlandse routers meer kopen. Of het ook 'kritische systemen' zijn, daar kun je over discussieren
Reageer met quote
16-04-2026, 08:52 door Drs Security en Privacy
Door AX0: Laten we eerlijk zijn,

We zien dit ook op andere 'verplichte' terreinen terug, zoals bijv de bescherming van persoonsgegevens, die nog steeds maar te summier bij organisaties wordt toegepast. We zien dat telkens weer bij hacks terug die persoonlijke data als target hebben.

Ongeacht hun 'succes', zien we dat ook nog steeds, in organisaties, dat die soms niet helemaal begrijpen hoe met persoonsgegevens en aanhangende data om moeten gaan. Bijzonder is ook dat organisties en bedrijven die een Functionaris Gegevensbescherming (FG) hebben, daar nog steeds problemen mee blijken te hebben.

Vaak gaat het gewoon om onbegrip, te denken dat een FG een post is met vinkjes, vaak gaat het om een medewerker die 'het' er even bij doet, maar velen omdat de fucntie van FG gewoon een verplichting is.

Naarmate IT voor de organisatie gewoon business critical is, zien heel veel managers en executives dat nog steeds niet zo. En dat zou iedereen zorgen moeten baren. Want moeten voldoen aan richtlijnen als DPA en NIS2 in dit geval, hebben we het over verplichtingen. En daar zijn veel IT professionals klaarblijkelijk helemaal niet mee bezig. Wel onderdeel van hun core business.

RC
Helemaal mee eens. Veel professionals, althans diegene claimen het te zijn, doen vrolijk mee aan die vinkjes cultuur.
Vaak wordt een FG ook als onderdeel gezien van het op orde krijgen van de AVG compliance, de rol gecombineerd met een privacy officer of CISO verantwoordelijkheid wat helemaal niet mag, niet betrokken bij de zaken waar ze betrokken bij behoren te zijn, geen eigen mail adres hebben of zelfs gewoon vervuld worden als rol door een IT manager of de directeur/eigenaar van de onderneming.
Of zelfs vermelden dat je een FG hebt terwijl dat helemaal niet zo is.
Ik heb het allemaal de afgelopen 8 jaar langs zien komen.

Alles hangt samen met vlotte, deskundige en deels openbare handhaving. Nu lijkt het AP daar langzaam beter in te worden maar hoe dat voor de NIS2 zal gaan is een flink vraagstuk.
Als dat, zoals in de concepten die in internet consultatie zijn geweest (bijna 2 jaar geleden) bij elk afzonderlijk ministerie komt te liggen, heb ik er weinig vertrouwen in.
Reageer met quote
16-04-2026, 09:49 door Erikje
Door Anoniem: Heeft geen zin zo lang het toegestaan is om consumenten besturingssystemen zonder kwaliteitskenmerk te mogen gebruiken voor kritische systemen. Hoeveel windows ransomware incidenten moeten er nog komen?
Zie https://on-it.net/windows-is-een-magneet-voor-ransomware/ Het is de laatste 4j alleen maar erger geworden. Het blijkt elke maand continue kritisch lek maar we doen net of onze neus bloedt of we geven de gecertificeerde beheerders de schuld.

Dus alle andere OS'sen zijn daarmee veilig, is dat wat je zegt? Zo ja, dan lijk je weinig van deze materie te begrijpen.
Reageer met quote
16-04-2026, 09:49 door Erikje - Bijgewerkt: 16-04-2026, 09:50
..
Reageer met quote
16-04-2026, 14:53 door Anoniem
NIS2 gaat weinig uithalen. Het is vooral extra administratieve bla bla en dus overhead. Zorgplicht, meldplicht en registratie plicht ja het zal wel. Maar het zegt in werkelijkheid niks over hoe de beveiliging geregeld moet worden.
Reageer met quote
16-04-2026, 15:41 door Valheru
Door Anoniem: NIS2 gaat weinig uithalen. Het is vooral extra administratieve bla bla en dus overhead. Zorgplicht, meldplicht en registratie plicht ja het zal wel. Maar het zegt in werkelijkheid niks over hoe de beveiliging geregeld moet worden.

Dat is ook heel lastig want alles wat je vandaag concreet zegt kan morgen alweer achterhaald zijn. Beste wat je er van kunt maken is dat je je beveiliging naar beste richtlijnen op orde moet hebben en security patches zo snel mogelijk moet implementeren, maar ook daar zijn haken en ogen aan zoals al eerder in de comments genoemd.
Reageer met quote
16-04-2026, 16:52 door Anoniem
Ik ben benieuwd hoe de CBW invloed gaat hebben op de achterlijke keuzes van onze 2e kamer om de meeste cruciale vormen van dienstverlening in Amerikaanse handen te geven. Alle persoonsgegevens van Nederlandse burgers in handen can de VS maar ook de cruciale diensten als DigiD. Sowieso in strijd met de AVG en je moet of corrupt zijn of een complete randdebiel om daar voor te stemmen. Wat als de idioten in de VS DigiD uit zetten? Hebben die debielen in de 2e kamer daar weleens over nagedacht? Hoe gaan ze daar weer een geloofwaardig verhaal aan spinnen? Zal vast weer aan extreem rechts gelegen hebben.
Reageer met quote
16-04-2026, 21:02 door Anoniem
Door Anoniem: NIS2 gaat weinig uithalen. Het is vooral extra administratieve bla bla en dus overhead. Zorgplicht, meldplicht en registratie plicht ja het zal wel. Maar het zegt in werkelijkheid niks over hoe de beveiliging geregeld moet worden.

Haal die wettekst desnoods even door AI, en reageer dan nog een keer. Het zegt alles over de pluk-ze wetgeving, die hier altijd de handjes op elkaar krijgen, zolang het maar bij die paar onderwerpen blijft, want dat andere is voor "de achterkamertjes" ook die op het internet, want die zijn er nog steeds. En daarvoor hoef je niet naar een Telegram Room kan ik je verklappen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components