Begin april 2026 ontdekte ChipSoft, leverancier van elektronische patiëntdossiers, ongewone activiteit in zijn systemen. Op 16 april bevestigde het bedrijf dat het om een ransomware-aanval ging en dat medische patiëntgegevens waren ontvreemd.

De impact was onmiddellijk voelbaar: patiëntportalen gingen offline, VPN-verbindingen werden verbroken en tientallen zorginstellingen kwamen zonder toegang tot hun digitale dossiers te zitten. Volgens NOS gebruikt ongeveer zeventig procent van de Nederlandse ziekenhuizen software van ChipSoft. Één incident bij één leverancier was voldoende om een groot deel van de Nederlandse ziekenhuiszorg te raken.

Dit incident illustreert precies het probleem dat de Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, wil aanpakken. Digitale veiligheid stopt niet bij de eigen muren van een organisatie. Wie afhankelijk is van externe leveranciers, deelt ook hun kwetsbaarheden. En de verantwoordelijkheid om dat risico te beheersen, legt de wet uitdrukkelijk neer bij het bestuur. Niet bij de IT-afdeling.

Wat de Cyberbeveiligingswet precies inhoudt en wanneer deze ingaat

De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn en vervangt de bestaande Wet beveiliging netwerk- en informatiesystemen. De wet treedt naar verwachting in het tweede kwartaal van 2026 in werking, afhankelijk van de afronding van de parlementaire behandeling in de Eerste Kamer. De inhoudelijke richting staat al volledig vast: het wetsvoorstel is ingediend, de lagere regelgeving is uitgewerkt en de rijksoverheid roept organisaties actief op om nu al te beginnen met de voorbereiding.

Waar de vorige wet zich beperkte tot een kleine groep vitale sectoren zoals energie en telecom, trekt de Cyberbeveiligingswet het net veel breder. Zorginstellingen, overheden, logistieke organisaties, voedingsbedrijven en digitale dienstverleners vallen er allemaal onder. Of een organisatie daadwerkelijk onder de wet valt, hangt af van twee factoren: de sector waarin zij actief is en haar omvang. Als vuistregel geldt dat organisaties met meer dan vijftig medewerkers, of met een jaaromzet of balanstotaal van meer dan tien miljoen euro, moeten nagaan of zij aan de vereisten moeten voldoen. Kleinere organisaties die niet rechtstreeks onder de wet vallen, kunnen er via ketenverantwoordelijkheid alsnog mee te maken krijgen, omdat de grotere partijen in hun netwerk strengere eisen aan hen gaan stellen.

De wet maakt onderscheid tussen essentiële entiteiten, zoals grote ziekenhuizen en energiebedrijven, en belangrijke entiteiten, zoals middelgrote organisaties in dezelfde sectoren. Essentiële entiteiten vallen onder zwaarder toezicht en kunnen hogere boetes krijgen bij overtredingen, maar voor beide categorieën geldt dezelfde kernverplichting: het bestuur is eindverantwoordelijk.

Cyberveiligheid is geen IT-beslissing meer, maar een bestuursbeslissing

De meest fundamentele verandering die de Cyberbeveiligingswet teweegbrengt, heeft niets met technologie te maken. Het is een verschuiving van verantwoordelijkheid. Artikel 24 van de wet is helder: het bestuur van een organisatie is verplicht de beveiligingsmaatregelen formeel goed te keuren en actief toezicht te houden op de uitvoering ervan. Dat is een andere rol dan bestuurders gewend zijn. Jarenlang was digitale veiligheid een technisch vraagstuk dat bij de IT-afdeling of een externe partij lag. De wet maakt daar een einde aan.

Bestuurders die zich verschuilen achter hun CISO of een ingehuurd beveiligingsbedrijf, voldoen niet aan de wettelijke norm. De wet gaat zelfs zo ver dat een trainingsplicht wordt voorgeschreven: alle uitvoerende bestuurders moeten voldoende kennis en vaardigheden hebben om weloverwogen beslissingen te nemen over cyberrisico’s. Toezichthoudende bestuurders en commissarissen zijn van deze verplichting uitgezonderd, al laat dit hun bestuurlijke betrokkenheid bij het onderwerp onverlet. Zittende uitvoerende bestuurders hebben twee jaar na inwerkingtreding van de wet de tijd om aan de opleidingsverplichting te voldoen en een certificaat te behalen. Dat de trainingsplicht bestaat, betekent niet dat bestuurders zelf technische experts moeten worden. Zij moeten begrijpen welke risico’s hun organisatie loopt, hoe maatregelen worden onderbouwd en wat de gevolgen zijn van onvoldoende naleving.

In onze eerdere analyse van hoe organisaties zich praktisch kunnen voorbereiden op de Cyberbeveiligingswet beschreven we al dat het niet gaat om papieren beleid, maar om werkend beleid dat aantoonbaar in de praktijk wordt uitgevoerd.

Persoonlijke aansprakelijkheid: wat staat bestuurders te wachten bij nalatigheid

De Cyberbeveiligingswet introduceert de mogelijkheid van persoonlijke aansprakelijkheid voor bestuurders.

Deze versturen we 3-4x per jaar.