Cyberbeveiligingswet: stand van zaken, planning en gevolgen voor hoger onderwijs
Waarom is er nog geen concrete ingangsdatum?
De Cyberbeveiligingswet (Cbw) is de Nederlandse uitwerking van de NIS2-richtlijn, die in november 2022 is aangenomen. EU-lidstaten moesten deze richtlijn uiterlijk in oktober 2024 omzetten in nationale wetgeving.
De Europese deadline is dus al verstreken, daarom wil het kabinet de wet na goedkeuring door de Eerste Kamer wel zo snel mogelijk in werking laten treden. De Eerste Kamer heeft de wet op 7 juli 2026 aangenomen. Dat houdt in dat de wet op 15 augustus 2026 van kracht gaat. Voor de meeste sectoren geldt de wet dan direct, maar voor het hoger onderwijs ligt dat anders.
De tijdlijn van NIS2
Waarom duurt het langer voor het hoger onderwijs?
Dat de Cbw voor het hoger onderwijs pas later ingaat, heeft te maken met de manier waarop de Europese NIS2-richtlijn is opgebouwd. Anders dan bijvoorbeeld de GDPR (AVG), geldt de NIS2-richtlijn niet voor alle organisaties, maar alleen voor sectoren die expliciet zijn benoemd. Deze sectoren, zoals de gezondheidszorg en het bankwezen, zijn verplicht om zich aan de wettelijke bepalingen van de NIS2-richtlijn te houden. Zij weten dan ook al enkele jaren dat dit er voor hen aankomt.
Alleen voor de onderwijssector ligt dat anders: volgens de NIS2-richtlijn mogen EU-lidstaten zelf beslissen of onderwijsinstellingen onder de wet komen te vallen. Daar heeft Nederland pas in april 2025 een besluit over genomen. Toen maakte de toenmalige minister van Onderwijs bekend dat hij van plan was om de bekostigde hogeronderwijsinstellingen aan te wijzen als organisaties waarop de Cyberbeveiligingswet van toepassing wordt (andere onderwijsinstellingen vallen daar dus niet onder). Daardoor stond voor deze instellingen pas veel later vast dat zij aan de wet moeten voldoen, en ook het ministerie van Onderwijs moest daarna nog aan de slag met de benodigde regelingen en afspraken.
Gezien de kortere tijdslijnen is er daarom voor het onderwijs een uitzondering in de wet opgenomen: om onderwijsinstellingen tijd te geven zich voor te bereiden, wordt het moment waarop zij aan de zorgplicht moeten voldoen voor hen uitgesteld.
Wat betekent dit concreet voor het hoger onderwijs?
Voor de meeste sectoren gelden de Cbw-verplichtingen direct zodra de wet in werking treedt. Voor het onderwijs ligt dat anders: de aanwijzing van de instellingen gebeurt via een ministeriële regeling van OCW, de Cyberbeveiligingsregeling hoger onderwijs. Dat besluit kan ook ná inwerkingtreding van de wet worden genomen.
Het ministerie heeft zelf bovendien ook nog tijd nodig om de randvoorwaarden op orde te brengen, zoals het aanwijzen van de betrokken instellingen, de toezichthouder en het CSIRT. Daarom zal de minister pas enige tijd ná de ingang van de wet de Cyberbeveiligingsregeling hoger onderwijs laten ingaan. De ambitie is om dit zo snel mogelijk na de inwerkingtreding van de Cbw te doen, naar verwachting in de winter van 2026. Vanaf dat moment gaan de Cbw-verplichtingen gelden voor het bekostigd hoger onderwijs. De zorgplicht uit de wet gaat drie jaar daarna in.
Samengevat ziet de planning er als volgt uit:
- 15 augustus 2026: Cyberbeveiligingswet treedt in werking voor alle sectoren die al in 2022 zijn benoemd in de richtlijn.
- Winter 2026 (naar verwachting): officiële aanwijzing van het bekostigd hoger onderwijs en ingang van het grootste deel van de Cbw-verplichtingen.
- Drie jaar na de officiële aanwijzing: ingang van de zorgplicht voor het bekostigd hoger onderwijs.
Fasering rechten en plichten Cyberbeveiligingswet
Wat kun je als hogeronderwijsinstelling nu al doen?
Hoewel de definitieve ingangsdatum dus nog niet vaststaat, kun je je als onderwijsinstelling wel al voorbereiden:
- registreer je instelling alvast om te voldoen aan de registratieplicht - gebruik hiervoor de registratiehandleiding;
- Bereid je voor op de meldplicht en maak bij voorkeur nu al vrijwillig gebruik van de meldprocedure;
- Lees alle relevante artikelen over de voorbereiding op de Cyberbeveiligingswet op onze Cbw-focuspagina.
Bekijk ook de veelgestelde vragen over de Cbw. Kom je er niet uit, neem dan contact op via sec@surf.nl.
Over de Cyberbeveiligingswet
De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de NIS2-richtlijn, en vraagt om structurele aandacht voor governance, risicobeheer en incidentrespons. Voor SURF en de leden die het betreft, betekent dit niet alleen voldoen aan wettelijke verplichtingen, maar ook samenwerken aan een hoger niveau van digitale weerbaarheid. Op het Security Expertise Centrum vind je handvatten en hulpmiddelen om nu gericht aan de slag te gaan.
Het originele artikel staat op de website van het Security Expertise Centrum.