De Eerste Kamer heeft de Cyberbeveiligingswet op 7 juli 2026 aangenomen. Op 15 augustus 2026 treedt de wet in werking, zonder overgangsperiode. Kantyra bevat het officiële Cbw (NIS2) Control Framework van de Auditdienst Rijk en NOREA, zodat je niet zelf een normenkader hoeft te bouwen maar direct aan de slag kunt met de maatregelen en het bewijs.
De Cyberbeveiligingswet is de Nederlandse uitwerking van de Europese NIS2-richtlijn en geldt voor ruim 8.000 essentiële en belangrijke organisaties in 18 sectoren, van energie en zorg tot digitale infrastructuur en overheid. De wet kent drie kernverplichtingen, die alle drie vanaf de eerste dag gelden.
Je organisatie registreert zich in het entiteitenregister, zodat de toezichthouder en het NCSC weten wie onder de wet valt.
Je neemt passende maatregelen om de risico's voor je netwerk- en informatiesystemen te beheersen. Het bestuur keurt die maatregelen goed en ziet toe op de uitvoering.
Bij een significant incident geef je binnen 24 uur een vroegtijdige waarschuwing en doe je binnen 72 uur een formele melding, gevolgd door een eindrapport.
De Auditdienst Rijk en NOREA hebben een Control Framework opgesteld waarmee organisaties de zorgplicht van de Cbw concreet kunnen invullen en toetsen. Dat kader zit volledig in Kantyra, gekoppeld aan de rest van je informatiebeveiliging.
Alle maatregelen uit het Cbw (NIS2) Control Framework staan als werkbaar register in Kantyra, met per maatregel een eigenaar, een status en het bijbehorende bewijs. Je hoeft de wettekst dus niet zelf om te zetten in een spreadsheet.
Met de Cbw-zelfevaluatie leg je per maatregel vast wat er geregeld is en wat nog niet, inclusief de onderbouwing. Zo zie je direct waar je staat en wat er vóór een toets nog moet gebeuren.
De maatregelen zijn gekoppeld aan ISO 27001 Annex A, de AVG en ISO 27701. Wat je voor het ene kader regelt, telt automatisch mee voor het andere; je onderhoudt één werkelijkheid in plaats van vier lijsten.
Het programmaplan in Kantyra volgt vier fasen. Elke fase levert iets op dat je aan de toezichthouder, de auditor of je grootste klant kunt laten zien.
Je brengt systemen, leveranciers en afhankelijkheden in beeld en registreert je organisatie als entiteit.
Je voert de risicoanalyse en de Cbw-zelfevaluatie uit en bepaalt welke maatregelen prioriteit krijgen.
Elke maatregel krijgt een eigenaar en een einddatum; de voortgang is voor jou en de directie zichtbaar in hetzelfde overzicht.
Het bewijs hangt aan de maatregelen zelf. Een toets of audit wordt daarmee een export in plaats van een verhuizing van documenten.
De Nederlandse wet die de Europese NIS2-richtlijn omzet. De Eerste Kamer nam de wet aan op 7 juli 2026; zij treedt op 15 augustus 2026 in werking, zonder overgangsperiode.
Voor essentiële en belangrijke entiteiten in 18 sectoren, ruim 8.000 organisaties. Val je er zelf buiten, dan kun je er via de ketenzorg van je klanten alsnog mee te maken krijgen.
NIS2 is de Europese richtlijn, de Cbw de Nederlandse wet die haar implementeert. Wie in Nederland aan NIS2 moet voldoen, voldoet in de praktijk dus aan de Cbw.
Nee, maar de overlap is groot: een werkend ISMS dekt een groot deel van de zorgplicht. Kantyra koppelt beide kaders, zodat één set maatregelen voor allebei telt.
Aanwijzingen van de toezichthouder en boetes die voor essentiële entiteiten kunnen oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet. De verantwoordelijkheid ligt uitdrukkelijk bij het bestuur.
Ja. Het incidentenregister legt vast wat er gebeurde en welke besluiten er genomen zijn, zodat je de waarschuwing binnen 24 uur en de melding binnen 72 uur kunt onderbouwen.
Meer lezen? Waarom je Cbw-Excel een startpunt is, maar geen bewijs · Wat een auditor werkelijk wil zien
In een demo van 30 minuten lopen we het Cbw-toetsingskader door aan de hand van jouw situatie: welke plichten voor jouw organisatie gelden, waar je nu staat en wat er in de eerste 90 dagen moet gebeuren.
Plan een demo van 30 minuten