Nieuwe verplichtingen voor kritieke entiteiten
Op dinsdag 7 juli 2026 heeft de Eerste Kamer der Staten-Generaal ingestemd met zowel de Cyberbeveiligingswet (Cbw) als de Wet weerbaarheid kritieke entiteiten (Wwke). Daarmee zijn de Nederlandse implementaties van respectievelijk de Europese NIS2-richtlijn en de CER-richtlijn definitief vastgesteld. Beide wetten treden op 15 augustus 2026 formeel in werking. Vanaf dat moment gelden nieuwe verplichtingen voor organisaties die als kritieke entiteit zijn aangewezen of die onder het toepassingsbereik van de Cyberbeveiligingswet vallen.
Voor organisaties in onder meer de sectoren energie, drinkwater, infrastructuur, vervoer, overheid, gezondheidszorg en digitale dienstverlening betekent dit een belangrijke stap in de verdere professionalisering van risicobeheersing, beveiliging (weerbaarheid) en bestuurlijke verantwoordelijkheid.
Wat verandert er?
De Wet weerbaarheid kritieke entiteiten (Wwke) richt zich op de fysieke weerbaarheid van kritieke entiteiten. Organisaties moeten aantoonbaar inzicht hebben in risico's die de continuïteit van essentiële diensten kunnen verstoren, zoals sabotage, terrorisme, maatschappelijke onrust, natuurrampen of andere fysieke dreigingen. De wet introduceert onder andere:
•
Verplichte risicobeoordelingen;
•
Een wettelijke zorgplicht voor passende beveiligingsmaatregelen;
•
Een meldplicht voor significante incidenten;
•
Versterkte samenwerking tussen overheid en kritieke entiteiten;
•
Toezicht en handhaving door bevoegde autoriteiten.
De Cyberbeveiligingswet (Cbw) introduceert vergelijkbare verplichtingen voor de digitale weerbaarheid van organisaties. Daarbij wordt expliciet vastgelegd dat bestuurders verantwoordelijk zijn voor adequaat cyberrisicobeheer en dat organisaties passende maatregelen moeten treffen om incidenten te voorkomen en te beheersen.
Wat betekent dit voor organisaties?
Voor veel organisaties betekent de invoering van deze wetgeving niet slechts een aanvullende compliance-verplichting, maar een fundamentele verandering in de wijze waarop beveiliging wordt ingericht en bestuurd. De nieuwe wetgeving vraagt aantoonbaar om:
•
Een integraal Security Management Systeem;
•
Samenhang tussen fysieke beveiliging en informatiebeveiliging;
•
Actuele risicobeoordelingen;
•
Heldere governance en verantwoordelijkheden;
•
Oefeningen, incidentmanagement en crisisbeheersing;
•
Onafhankelijke controles en audits;
•
Aantoonbare naleving richting toezichthouders.
Voor veel organisaties verschuift de focus de komende jaren van beveiliging als operationele activiteit naar beveiliging als onderdeel van de strategische bedrijfsvoering.
Wat betekent dit voor relaties van Security Adviesgroep?
Security Adviesgroep ondersteunt organisaties al 25 jaar bij de implementatie van normenkaders en managementsystemen op het gebied van fysieke beveiliging, informatiebeveiliging en weerbaarheid. Binnen verschillende organisaties zijn trajecten uitgevoerd gericht op:
•
Security Management Systemen (SMS);
•
Integratie van fysieke beveiliging binnen ISMS-omgevingen;
•
Governance- en compliancevraagstukken;
•
Aantoonbare beveiliging en auditvoorbereiding.
Wij verwachten dat veel organisaties de komende periode te maken krijgen met vragen als:
•
Vallen wij onder de Wwke of Cyberbeveiligingswet?
•
Is onze beveiligingsorganisatie voldoende ingericht?
•
Hoe tonen wij compliance aan richting toezichthouders?
•
Is onze governance Wwke-proof?
•
Hoe integreren wij fysieke beveiliging en cyberweerbaarheid?
•
Welke rollen en verantwoordelijkheden moeten formeel worden belegd?
Juist op deze vraagstukken ondersteunt Security Adviesgroep organisaties met onafhankelijk advies, implementatieondersteuning, audits, risicobeoordelingen en managementsystemen.
Congres rond weerbaarheid kritieke entiteiten
De actualiteit benadrukt het belang van het congres dat Security Adviesgroep organiseert op donderdag 8 oktober 2026 ter gelegenheid van het 25-jarig bestaan van onze organisatie. Tijdens dit congres staan thema's centraal zoals:
•
Weerbaarheid van kritieke infrastructuur;
•
Wet weerbaarheid kritieke entiteiten (Wwke);
•
Cyberbeveiligingswet en NIS2;
•
Fysieke beveiliging en informatiebeveiliging;
•
Governance, compliance en toezicht;
•
Publiek-private samenwerking;
•
Dreigingsontwikkelingen en maatschappelijke weerbaarheid.
Voor bestuurders, securitymanagers, CIO's, CISO's, compliance officers, riskmanagers en professionals werkzaam binnen vitale en essentiële sectoren biedt het congres een uitgelezen mogelijkheid om kennis te delen en ervaringen uit te wisselen rondom de nieuwe wettelijke verplichtingen.
Waarom je dit niet wil missen? Omdat weerbaarheid geen abstract begrip is, maar een directe bestuurlijke én operationele verantwoordelijkheid. Dit congres brengt een select gezelschap van beslissers en experts samen die daadwerkelijk invloed hebben op de continuïteit van kritieke processen in Nederland.
Reserveer donderdag 8 oktober in je agenda. Nadere informatie over programma, sprekers en aanmelding volgt binnenkort.Meer informatie
Rijksoverheid – Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten vanaf 15 augustus 2026 van kracht [rijksoverheid.nl]Eerste Kamer – Wet weerbaarheid kritieke entiteiten (36.765) [eerstekamer.nl]Contact
Wilt u weten wat de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) betekenen voor uw organisatie? Neem dan
contact op met Security Adviesgroep voor een vrijblijvend gesprek over weerbaarheid, governance, compliance en aantoonbare beveiliging.