Kantyra Kantyra
Cbw (NIS2) · in werking per 15 augustus 2026

NIS2-software voor de Cyberbeveiligingswet

De Eerste Kamer heeft de Cyberbeveiligingswet op 7 juli 2026 aangenomen. Op 15 augustus 2026 treedt de wet in werking, zonder overgangsperiode. Kantyra bevat het officiële Cbw (NIS2) Control Framework van de Auditdienst Rijk en NOREA, zodat je niet zelf een normenkader hoeft te bouwen maar direct aan de slag kunt met de maatregelen en het bewijs.

De wet

Wat verplicht de Cyberbeveiligingswet?

De Cyberbeveiligingswet is de Nederlandse uitwerking van de Europese NIS2-richtlijn en geldt voor ruim 8.000 essentiële en belangrijke organisaties in 18 sectoren, van energie en zorg tot digitale infrastructuur en overheid. De wet kent drie kernverplichtingen, die alle drie vanaf de eerste dag gelden.

Registratieplicht

Je organisatie registreert zich in het entiteitenregister, zodat de toezichthouder en het NCSC weten wie onder de wet valt.

Zorgplicht

Je neemt passende maatregelen om de risico's voor je netwerk- en informatiesystemen te beheersen. Het bestuur keurt die maatregelen goed en ziet toe op de uitvoering.

Meldplicht

Bij een significant incident geef je binnen 24 uur een vroegtijdige waarschuwing en doe je binnen 72 uur een formele melding, gevolgd door een eindrapport.

Het toetsingskader

Het officiële Cbw-toetsingskader zit ingebouwd

De Auditdienst Rijk en NOREA hebben een Control Framework opgesteld waarmee organisaties de zorgplicht van de Cbw concreet kunnen invullen en toetsen. Dat kader zit volledig in Kantyra, gekoppeld aan de rest van je informatiebeveiliging.

Geen eigen vertaalslag nodig

Alle maatregelen uit het Cbw (NIS2) Control Framework staan als werkbaar register in Kantyra, met per maatregel een eigenaar, een status en het bijbehorende bewijs. Je hoeft de wettekst dus niet zelf om te zetten in een spreadsheet.

Zelfevaluatie met onderbouwing

Met de Cbw-zelfevaluatie leg je per maatregel vast wat er geregeld is en wat nog niet, inclusief de onderbouwing. Zo zie je direct waar je staat en wat er vóór een toets nog moet gebeuren.

Eén set maatregelen voor Cbw én ISO 27001

De maatregelen zijn gekoppeld aan ISO 27001 Annex A, de AVG en ISO 27701. Wat je voor het ene kader regelt, telt automatisch mee voor het andere; je onderhoudt één werkelijkheid in plaats van vier lijsten.

Aan de slag

In 90 dagen aantoonbaar in control

Het programmaplan in Kantyra volgt vier fasen. Elke fase levert iets op dat je aan de toezichthouder, de auditor of je grootste klant kunt laten zien.

Signaleren

Je brengt systemen, leveranciers en afhankelijkheden in beeld en registreert je organisatie als entiteit.

Beoordelen

Je voert de risicoanalyse en de Cbw-zelfevaluatie uit en bepaalt welke maatregelen prioriteit krijgen.

Oplossen

Elke maatregel krijgt een eigenaar en een einddatum; de voortgang is voor jou en de directie zichtbaar in hetzelfde overzicht.

Aantonen

Het bewijs hangt aan de maatregelen zelf. Een toets of audit wordt daarmee een export in plaats van een verhuizing van documenten.

Veelgestelde vragen

Veelgestelde vragen over de Cbw

Wat is de Cyberbeveiligingswet (Cbw)?

De Nederlandse wet die de Europese NIS2-richtlijn omzet. De Eerste Kamer nam de wet aan op 7 juli 2026; zij treedt op 15 augustus 2026 in werking, zonder overgangsperiode.

Voor wie geldt de wet?

Voor essentiële en belangrijke entiteiten in 18 sectoren, ruim 8.000 organisaties. Val je er zelf buiten, dan kun je er via de ketenzorg van je klanten alsnog mee te maken krijgen.

Wat is het verschil tussen NIS2 en de Cbw?

NIS2 is de Europese richtlijn, de Cbw de Nederlandse wet die haar implementeert. Wie in Nederland aan NIS2 moet voldoen, voldoet in de praktijk dus aan de Cbw.

Is ISO 27001-certificering hetzelfde als voldoen aan de Cbw?

Nee, maar de overlap is groot: een werkend ISMS dekt een groot deel van de zorgplicht. Kantyra koppelt beide kaders, zodat één set maatregelen voor allebei telt.

Wat riskeer je als je niet voldoet?

Aanwijzingen van de toezichthouder en boetes die voor essentiële entiteiten kunnen oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet. De verantwoordelijkheid ligt uitdrukkelijk bij het bestuur.

Helpt Kantyra ook bij de meldplicht?

Ja. Het incidentenregister legt vast wat er gebeurde en welke besluiten er genomen zijn, zodat je de waarschuwing binnen 24 uur en de melding binnen 72 uur kunt onderbouwen.

Meer lezen? Waarom je Cbw-Excel een startpunt is, maar geen bewijs · Wat een auditor werkelijk wil zien

Demo

Waar sta jij ten opzichte van 15 augustus?

In een demo van 30 minuten lopen we het Cbw-toetsingskader door aan de hand van jouw situatie: welke plichten voor jouw organisatie gelden, waar je nu staat en wat er in de eerste 90 dagen moet gebeuren.

Plan een demo van 30 minuten