Vanaf 15 augustus 2026 treden de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) in werking. Met deze nieuwe wetgeving versterkt Nederland de digitale en fysieke weerbaarheid van organisaties tegen cyberaanvallen, sabotage, uitval van vitale infrastructuur en andere verstoringen. De wetten vloeien voort uit Europese regelgeving en brengen nieuwe verantwoordelijkheden met zich mee voor overheden en organisaties.
Gemeenten aangemerkt als essentiële entiteiten
Onder de Cyberbeveiligingswet worden gemeenten aangemerkt als essentiële entiteiten. Dit betekent dat digitale veiligheid niet langer uitsluitend een ICT-aangelegenheid is, maar een bestuurlijke verantwoordelijkheid die integraal onderdeel moet zijn van de bedrijfsvoering, risicobeheersing en besluitvorming.
De wet ziet niet alleen op traditionele ICT-systemen, maar ook op operationele technologie (OT), zoals verkeersregelinstallaties, bruggen en sluizen. Verstoring van deze systemen kan directe gevolgen hebben voor inwoners, ondernemers, bereikbaarheid en openbare veiligheid. Daarnaast vraagt de wet nadrukkelijk aandacht voor risico's binnen de keten van leveranciers en samenwerkingspartners.
Bestuurlijke verantwoordelijkheid
De Cyberbeveiligingswet legt een duidelijke verantwoordelijkheid bij het college van burgemeester en wethouders. Het college moet actief sturen op cyberrisico’s, zorgen voor voldoende middelen en expertise en de digitale weerbaarheid verankeren in beleid en begroting. Het bestuur wordt gezien als risico-eigenaar en moet afwegingen maken over risicoacceptatie en investeringen. Collegeleden moeten voldoende kennis hebben van cyberrisico's en cyberbeveiligingsmaatregelen. Daarom geldt een verplichte opleiding voor bestuurders. Binnen twee jaar na inwerkingtreding moeten alle collegeleden aan deze verplichting hebben voldaan.
Ook de gemeenteraad krijgt een belangrijke rol. Van raadsleden wordt verwacht dat zij kaders stellen, toezicht houden op de uitvoering en voldoende aandacht besteden aan digitale en fysieke weerbaarheid binnen de planning- en controlcyclus.
Wet weerbaarheid kritieke entiteiten
Naast de Cyberbeveiligingswet treedt ook de Wet weerbaarheid kritieke entiteiten in werking. Deze wet richt zich op de bescherming van vitale processen en infrastructuren zoals energie, vervoer, drinkwater en digitale infrastructuur. Organisaties die als kritieke entiteit worden aangewezen, krijgen aanvullende verplichtingen op het gebied van risicobeoordelingen, crisisplannen en incidentmeldingen.
Meer informatie
De wetgeving kent geen overgangstermijn: vanaf de inwerkingtreding gelden de verplichtingen direct. Vanuit de VNG volgt binnenkort een ledenbrief met meer informatie over de gevolgen voor de gemeenten.
Meer informatie over de nieuwe wetten is hier te vinden. Op deze pagina staan hulpmiddelen en publicaties voor beleidsmakers, bestuurders en raadsleden.