Wat is de Cyberbeveiligingswet en wanneer geldt hij?

De Cyberbeveiligingswet is de Nederlandse uitwerking van de Europese richtlijn NIS2. De wet verplicht organisaties in vitale en belangrijke sectoren om hun digitale weerbaarheid op orde te brengen via een zorgplicht en een meldplicht. De Tweede Kamer heeft de wet op 15 april 2026 aangenomen; daarna is hij voorgelegd aan de Eerste Kamer. Inwerkingtreding wordt verwacht rond 1 juli 2026, onder voorbehoud van de behandeling in de Eerste Kamer.

Voor de overheid geldt een belangrijk verschil met andere sectoren: het omvangscriterium telt hier niet. Alle gemeenten, provincies en waterschappen worden automatisch aangewezen als essentiële entiteit, hoe groot of klein ze ook zijn. De meeste gemeenschappelijke regelingen, zoals omgevingsdiensten en veiligheidsregio's, vallen daar als overheidsorganisatie eveneens onder.

Wat betekent essentiële entiteit voor toezicht en zorgplicht?

Essentiële entiteiten vallen onder proactief toezicht. Dat betekent dat de naleving actief wordt gecontroleerd, ook als er geen incident is geweest. Dat is strenger dan het reactieve toezicht voor belangrijke entiteiten, waar controle vooral achteraf plaatsvindt. De zorgplicht vraagt om passende maatregelen om risico's te beheersen, en goed toegangsbeheer hoort daar onmiskenbaar bij. Toegang die niet beperkt is tot wat nodig is, accounts die blijven openstaan na vertrek, en het ontbreken van logging zijn precies de zwakke plekken waar toezicht naar kijkt.

Voor decentrale overheden komt de Cyberbeveiligingswet bovenop de Baseline Informatiebeveiliging Overheid, het bestaande normenkader. De baseline en de wet wijzen dezelfde kant op: gecontroleerde, rolgebaseerde en aantoonbare toegang.

Hoe sluit geautomatiseerd toegangsbeheer aan op de wet?

De praktische invulling is om het personeelssysteem de bron van waarheid te maken en de toegang van medewerkers daaruit te laten voortvloeien. Een orchestratielaag boven Microsoft Entra ID of Google Workspace vertaalt de gegevens uit het personeelssysteem naar accounts en rechten. Joinly van KoppelHet werkt als zo'n laag: nieuwe medewerkers krijgen automatisch de juiste rechten, wijzigingen worden meteen verwerkt, en bij vertrek wordt de toegang direct ingetrokken. Elke handeling wordt gelogd, zodat de organisatie kan aantonen dat toegang de werkelijkheid volgt.

Daarmee dek je het deel van de zorgplicht af dat over toegangsbeheer van medewerkers gaat. Het gaat hier uitsluitend om medewerkers; identiteiten van burgers in de dienstverlening vallen buiten deze opzet.

FAQ

Vallen kleine gemeenten ook onder de wet? Ja. Omdat het omvangscriterium niet geldt voor de overheid, worden alle gemeenten, provincies en waterschappen aangewezen als essentiële entiteit, ongeacht hun grootte.

Vervangt de Cyberbeveiligingswet de BIO? Nee. De Baseline Informatiebeveiliging Overheid blijft het inhoudelijke normenkader; de Cyberbeveiligingswet voegt een wettelijke zorgplicht, meldplicht en toezicht toe.

Wanneer moet ik er klaar voor zijn? De wet treedt naar verwachting rond 1 juli 2026 in werking, maar dit was bij het schrijven nog in behandeling. Begin tijdig met toegangsbeheer, omdat dit een van de meer zichtbare en controleerbare onderdelen van de zorgplicht is.