Nieuwe cyberwetten in 2026: wat verandert er?

In 2026 treden twee nieuwe cyberwetten in werking: de Cyber Resilience Act (CRA) en de Cyberbeveiligingswet (Cbw). Ze richten zich vooral op organisaties die digitale producten maken of actief zijn in vitale sectoren. Maar ook ondernemers buiten die sectoren kunnen er mee te maken krijgen, bijvoorbeeld als leverancier of dienstverlener.
 

Cyber Resilience Act: veiligere digitale producten

De CRA, ook wel de Verordening cyberweerbaarheid, is een Europese wet die fabrikanten, importeurs en distributeurs verplicht om veilige digitale producten te leveren. De wet moet ervoor zorgen dat digitale producten al bij het ontwerp veilig zijn, een principe dat ook wel security-by-design wordt genoemd. Fabrikanten moeten kunnen aantonen dat hun producten aan de nieuwe beveiligingseisen voldoen. In sommige gevallen is daarbij ook een externe toets verplicht.

Vanaf 11 september 2026 geldt voor fabrikanten een meldplicht voor ernstige beveiligingsproblemen. Deze meldingen moeten worden gedaan bij het digitale meldloket van het Nationaal Cyber Security Centrum (NCSC). Daarnaast moeten producten een CE-markering krijgen als bewijs dat ze aan de wet voldoen.

Vanaf 11 december 2027 komt daar nog een aanvullende verplichting bij: fabrikanten moeten dan aan nieuwe beveiligingseisen voldoen, zoals het leveren van beveiligingsupdates.
De regels zijn van toepassing op alle digitale producten, zoals apps, videokaarten en slimme apparaten.
 

Cyberbeveiligingswet: strengere eisen voor vitale sectoren

De Cbw is de Nederlandse uitwerking van de Europese NIS2-richtlijn. Deze wet richt zich op organisaties in vitale sectoren, zoals energiebedrijven, ziekenhuizen en banken. Bedrijven die onder deze wet vallen, moeten kunnen aantonen dat hun cybersecurity op orde is. Zo hebben ze een registratieplicht bij het Nationaal Cyber Security Centrum (NCSC) en moeten ze incidenten melden. Komt een onderneming door een cyberaanval stil te liggen, dan moet dit binnen 24 uur bij het NCSC worden gemeld. 

Ook leveranciers van bedrijven in deze sectoren kunnen worden gevraagd om te laten zien dat ze voldoen aan de nieuwe eisen. Deze nieuwe wet gaat naar verwachting in het voorjaar van 2026 in.
 

Bereid je goed voor op de nieuwe regels

Ook als je bedrijf niet direct onder de nieuwe cyberwetten valt, is het belangrijk om je cybersecurity serieus te nemen. Een cyberaanval kan immers niet alleen de continuïteit van je onderneming in gevaar brengen, maar ook leiden tot financiële schade, reputatieverlies en verlies van klantvertrouwen.

Wil je weten wat de nieuwe regels precies betekenen en hoe je je goed kunt voorbereiden? In de Gids Cyber Resilience Act van het ministerie van Economische Zaken lees je wat er verandert voor de CRA. En in dit artikel over de Cyberbeveiligingswet vind je wat er op dat gebied op je afkomt.

Regelmatige updates, sterke wachtwoorden en tweestapsverificatie blijven daarbij de basis voor een veilige digitale omgeving.