studenten lopen door de gang
Nieuws

Cyberbeveiligingswet: stand van zaken, planning en gevolgen voor hoger onderwijs

Vanaf 15 augustus 2026 gaat de Cyberbeveiligingswet (Cbw) in, maar nog niet voor het hoger onderwijs. Hoe zit dat? In dit artikel lees je waarom het voor hogeronderwijsinstellingen langer duurt en wat je nu al kunt doen om je voor te bereiden.

Waarom is er nog geen concrete ingangsdatum?

De Cyberbeveiligingswet (Cbw) is de Nederlandse uitwerking van de NIS2-richtlijn, die in november 2022 is aangenomen. EU-lidstaten moesten deze richtlijn uiterlijk in oktober 2024 omzetten in nationale wetgeving.

De Europese deadline is dus al verstreken, daarom wil het kabinet de wet na goedkeuring door de Eerste Kamer wel zo snel mogelijk in werking laten treden. De Eerste Kamer heeft de wet op 7 juli 2026 aangenomen. Dat houdt in dat de wet op 15 augustus 2026 van kracht gaat. Voor de meeste sectoren geldt de wet dan direct, maar voor het hoger onderwijs ligt dat anders.

Visuele tijdlijn NIS2: van 2022 tot 2026

De tijdlijn van NIS2

Waarom duurt het langer voor het hoger onderwijs?

Dat de Cbw voor het hoger onderwijs pas later ingaat, heeft te maken met de manier waarop de Europese NIS2-richtlijn is opgebouwd. Anders dan bijvoorbeeld de GDPR (AVG), geldt de NIS2-richtlijn niet voor alle organisaties, maar alleen voor sectoren die expliciet zijn benoemd. Deze sectoren, zoals de gezondheidszorg en het bankwezen, zijn verplicht om zich aan de wettelijke bepalingen van de NIS2-richtlijn te houden. Zij weten dan ook al enkele jaren dat dit er voor hen aankomt.

Alleen voor de onderwijssector ligt dat anders: volgens de NIS2-richtlijn mogen EU-lidstaten zelf beslissen of onderwijsinstellingen onder de wet komen te vallen. Daar heeft Nederland pas in april 2025 een besluit over genomen. Toen maakte de toenmalige minister van Onderwijs bekend dat hij van plan was om de bekostigde hogeronderwijsinstellingen aan te wijzen als organisaties waarop de Cyberbeveiligingswet van toepassing wordt (andere onderwijsinstellingen vallen daar dus niet onder). Daardoor stond voor deze instellingen pas veel later vast dat zij aan de wet moeten voldoen, en ook het ministerie van Onderwijs moest daarna nog aan de slag met de benodigde regelingen en afspraken.

Gezien de kortere tijdslijnen is er daarom voor het onderwijs een uitzondering in de wet opgenomen: om onderwijsinstellingen tijd te geven zich voor te bereiden, wordt het moment waarop zij aan de zorgplicht moeten voldoen voor hen uitgesteld.

Wat betekent dit concreet voor het hoger onderwijs?

Voor de meeste sectoren gelden de Cbw-verplichtingen direct zodra de wet in werking treedt. Voor het onderwijs ligt dat anders: de aanwijzing van de instellingen gebeurt via een ministeriële regeling van OCW, de Cyberbeveiligingsregeling hoger onderwijs. Dat besluit kan ook ná inwerkingtreding van de wet worden genomen.

Het ministerie heeft zelf bovendien ook nog tijd nodig om de randvoorwaarden op orde te brengen, zoals het aanwijzen van de betrokken instellingen, de toezichthouder en het CSIRT. Daarom zal de minister pas enige tijd ná de ingang van de wet de Cyberbeveiligingsregeling hoger onderwijs laten ingaan. De ambitie is om dit zo snel mogelijk na de inwerkingtreding van de Cbw te doen, naar verwachting in de winter van 2026. Vanaf dat moment gaan de Cbw-verplichtingen gelden voor het bekostigd hoger onderwijs. De zorgplicht uit de wet gaat drie jaar daarna in.

Samengevat ziet de planning er als volgt uit:

  • 15 augustus 2026: Cyberbeveiligingswet treedt in werking voor alle sectoren die al in 2022 zijn benoemd in de richtlijn.
  • Winter 2026 (naar verwachting): officiële aanwijzing van het bekostigd hoger onderwijs en ingang van het grootste deel van de Cbw-verplichtingen.
  • Drie jaar na de officiële aanwijzing: ingang van de zorgplicht voor het bekostigd hoger onderwijs.
NIS2 fasering rechten en plichten per 15 augustus 2026 voor bijna alle sectoren of hoger onderwijs.

Fasering rechten en plichten Cyberbeveiligingswet

Wat kun je als hogeronderwijsinstelling nu al doen?

Hoewel de definitieve ingangsdatum dus nog niet vaststaat, kun je je als onderwijsinstelling wel al voorbereiden:

  • registreer je instelling alvast om te voldoen aan de registratieplicht - gebruik hiervoor de registratiehandleiding;
  • Bereid je voor op de meldplicht en maak bij voorkeur nu al vrijwillig gebruik van de meldprocedure;
  • Lees alle relevante artikelen over de voorbereiding op de Cyberbeveiligingswet op onze Cbw-focuspagina.

Bekijk ook de veelgestelde vragen over de Cbw. Kom je er niet uit, neem dan contact op via sec@surf.nl.

Over de Cyberbeveiligingswet

De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de NIS2-richtlijn, en vraagt om structurele aandacht voor governance, risicobeheer en incidentrespons. Voor SURF en de leden die het betreft, betekent dit niet alleen voldoen aan wettelijke verplichtingen, maar ook samenwerken aan een hoger niveau van digitale weerbaarheid. Op het Security Expertise Centrum vind je  handvatten en hulpmiddelen om nu gericht aan de slag te gaan.

Het originele artikel staat op de website van het Security Expertise Centrum.

Gerelateerde onderwerpen: