Twee nieuwe cyberwetten van kracht per 2026
Vanaf 2026 moeten veel organisaties rekening houden met twee nieuwe cyberwetten in Nederland: de Cyber Resilience Act (CRA) en de Cyberbeveiligingswet (CBW). Wat houden deze wetten in en welke organisaties vallen hieronder?
De Cyber Resilience Act, ook bekend als de Verordening cyberweerbaarheid, is een Europese wet die digitale producten beter moet beveiligen. Fabrikanten, importeurs en distributeurs worden verplicht veilige digitale producten te leveren. Vanaf 11 september 2026 geldt voor fabrikanten een meldplicht voor ernstige problemen met hun producten. Meldingen moeten worden gedaan via het digitale meldloket van het Nationaal Cyber Security Centrum (NCSC). Daarnaast moeten producten een CE-markering hebben als bewijs dat zij aan de wet voldoen. Vanaf 11 december 2027 zijn ook beveiligingsupdates verplicht.
Cyberbeveiligingswet geldt vanaf voorjaar 2026
De Cyberbeveiligingswet treedt naar verwachting in het voorjaar van 2026 in werking. Deze wet komt voort uit de EU-richtlijn de Network and Information Security Directive (NIS2) (artikel) en geldt voor organisaties in vitale sectoren, zoals energiebedrijven, ziekenhuizen en banken. Zij moeten kunnen aantonen dat hun cybersecurity op orde is. Zij hebben een registratieplicht bij het NCSC en een meldplicht voor incidenten. Vindt een cyberincident plaats waardoor de onderneming stilvalt, dan moet dit binnen 24 uur bij het NCSC gemeld worden. Ook toeleveranciers van CBW-ondernemingen kunnen worden gevraagd naar hun inspanningen op het gebied van cybersecurity.
Aanval leidt tot schade
Uiteraard is het ook voor ondernemingen die niet onder de nieuwe cyberwetten vallen van groot belang om hun cybersecurity op orde te hebben. Een cyberaanval kan immers niet alleen de bedrijfscontinuïteit bedreigen, maar ook leiden tot financiële schade, reputatieverlies en juridische problemen. Daarnaast is er nog het risico op verlies van klantvertrouwen en zelfs het kwijtraken van klanten.