Op woensdag 15 april 2026 heeft de Tweede Kamer de wetsvoorstellen voor de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) aangenomen. Met deze wetsvoorstellen implementeert Nederland de NIS2-richtlijn respectievelijk de CER-richtlijn (Critical Entities Resilience). Voorafgaand aan de eindstemming is gestemd over een groot aantal amendementen en moties, waarvan diverse zijn aangenomen. De regering streeft ernaar om de Cbw, de Wwke en de bijbehorende lagere regelgeving gelijktijdig in het tweede kwartaal van 2026 in werking te laten treden, al blijft die planning afhankelijk van het tempo van de Eerste Kamer. De parlementaire behandeling heeft op verschillende punten tot inhoudelijke aanscherpingen geleid, variërend van een expliciete verankering van de interventiebevoegdheid in de Wwke tot afspraken over de voorkoming van meervoudige beboeting voor hetzelfde feitencomplex. Deze blog brengt de contouren van beide wetten in kaart en staat stil bij de belangrijkste aangenomen amendementen en moties.

Cbw en Wwke in hoofdlijnen

De Cbw vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en legt een zorgplicht, meldplicht en registratieplicht op aan essentiële en belangrijke entiteiten in achttien sectoren, waaronder energie, zorg, digitale infrastructuur, vervoer en chemie. Volgens het Nationaal Cyber Security Centrum (NCSC) gaat het om ongeveer achtduizend organisaties die onder de reikwijdte van de wet vallen. Cyberbeveiliging wordt expliciet als bestuurstaak gepositioneerd, met bijbehorende verantwoordelijkheden voor bestuurders. De Wwke richt zich op de fysieke en organisatorische weerbaarheid van zogeheten kritieke entiteiten, waarvoor een aparte aanwijzing door de vakminister nodig is. Anders dan bij de Cbw, waar de entiteit zelf moet beoordelen of zij onder het bereik valt, wijst de minister kritieke entiteiten aan op basis van wettelijke criteria. Voor financiële entiteiten geldt dat zij primair onder de DORA-verordening vallen, die in dit opzicht als lex specialis fungeert voor zorgplicht, meldplicht en het toezicht daarop.

Het amendement-Kathmann: van AMvB naar wet

De kern van het amendement-Kathmann (36765-13) betreft artikel 13 van het concept-Besluit weerbaarheid kritieke entiteiten. Die bepaling gaf de vakminister de bevoegdheid om een kritieke entiteit te verplichten producten of diensten van specifieke leveranciers te weren wanneer dat vanuit het oogpunt van nationale veiligheid noodzakelijk is. Volgens de indiener is dit een zodanig verstrekkende interventiebevoegdheid dat zij op wetsniveau thuishoort, niet in lagere regelgeving. Het amendement voegt daarom een nieuw artikel 15a aan de Wwke toe, dat de bevoegdheid expliciet codificeert als aanvullende uitwerking van de algemene zorgplicht van artikel 15 Wwke. Volgens een overzicht van NLdigital heeft de minister dit amendement het oordeel Kamer gegeven, het meest positieve oordeel dat mogelijk is. Voor de rechtspraktijk betekent deze verschuiving dat interventies niet langer worden gelegitimeerd door een AMvB-bepaling, maar door een autonoom wetsartikel met directe parlementaire betrokkenheid en, via de gekoppelde boetebepaling, directe aanknoping bij het handhavingskader van de Wwke.

Waarborgen in het nieuwe artikel 15a Wwke

Het amendement voegt een aantal inhoudelijke waarborgen toe die voorheen alleen in de toelichting bij het Bwke terug te vinden waren. Artikel 15a, tweede lid, Wwke bepaalt dat de vakminister in elk geval beoordeelt of minder ingrijpende beheersmaatregelen mogelijk zijn die de nationale veiligheidsrisico's voldoende afdekken. Daarmee wordt de interventiebevoegdheid expliciet als ultimum remedium gepositioneerd, wat aansluit bij de subsidiariteitstoets die ook voortvloeit uit artikel 1 Eerste Protocol bij het EVRM en de jurisprudentie van het Europees Hof voor de Rechten van de Mens. Het derde lid voorziet in een termijn voor vervanging of beëindiging van reeds in gebruik zijnde producten of diensten. Het vierde lid legt de minister een inspanningsverplichting op om, samen met de kritieke entiteit, de continuïteit van de dienstverlening te waarborgen. De gecombineerde toets op proportionaliteit, subsidiariteit en inspanningsverplichting beoogt volgens de toelichting op het amendement politieke willekeur te voorkomen. In het debat van 23 maart 2026 is daarnaast toegezegd dat hoor en wederhoor procedureel geborgd wordt: de betrokken entiteit krijgt de gelegenheid een zienswijze in te dienen voordat tot aanwijzing wordt overgegaan.

Voorhang, evaluatie en invoeringstoets: aanvullende amendementen

Naast het amendement op artikel 15a zijn meerdere amendementen aangenomen die de parlementaire controle en de rechtszekerheid versterken. Kathmann diende een amendement in dat voorziet in een lichte voorhangprocedure voor toekomstige wijzigingen van de zorgplicht in zowel het Cyberbeveiligingsbesluit als het Besluit weerbaarheid kritieke entiteiten. Daarmee moeten wijzigingen van de zorgplicht eerst aan beide Kamers worden voorgelegd voordat zij kunnen worden vastgesteld. Het lid Van den Berg (JA21) heeft een amendement ingediend dat voorziet in een versnelde evaluatie van de Cbw binnen twee jaar na inwerkingtreding en in een invoeringstoets binnen achttien maanden, waarbij onder meer wordt gekeken naar de uitvoerbaarheid, de regeldruk en het functioneren van het meld- en registratiesysteem. Blijkens een debatverslag had het Adviescollege toetsing regeldruk (ATR) eerder geadviseerd om een invoeringstoets binnen één jaar uit te voeren. Een verdere groep amendementen van Van den Berg maakt het voor Wwke-entiteiten die binnen één concern vallen mogelijk om gezamenlijk invulling te geven aan de zorgplicht, en verplicht de vakminister tot meer transparantie richting het parlement over de uitvoering van de Wwke, met name waar het gaat om leveranciersmaatregelen die diep kunnen ingrijpen in bedrijfseigendom.

Voorkoming van dubbele bestraffing en dubbel toezicht

Voor de bijzonder-strafrechtpraktijk is van bijzondere betekenis dat de Tweede Kamer de motie-Van den Berg (36764/36765-24) heeft aangenomen, waarin wordt uitgesproken dat er geen meervoudige beboeting mag plaatsvinden voor hetzelfde feitencomplex. De motie raakt aan het ne bis in idem-beginsel zoals neergelegd in artikel 50 van het Handvest van de grondrechten van de Europese Unie, artikel 4 Zevende Protocol bij het EVRM en artikel 5:43 Awb. Entiteiten kunnen in de praktijk onder het bereik van zowel de Cbw als de Wwke vallen, en kunnen daarnaast aan de orde komen onder sectorspecifieke kaders zoals DORA, de Cyber Resilience Act of de AVG. De motie beoogt te voorkomen dat eenzelfde gedraging tot afzonderlijke punitieve sancties onder verschillende regimes leidt. In dezelfde lijn is motie 36764/36765-22 aangenomen, waarin wordt aangedrongen op zo min mogelijk dubbeling voor entiteiten die onder beide wetten vallen, onder meer door harmonisering van verplichtingen, bewijslasten, auditlogica en verantwoordingsinformatie. Aanvullend voorziet de motie-Kathmann over het inrichten van één centraal meldloket erin dat meldingen onder de Cbw, de Wwke, DORA, de Cyber Resilience Act en de netcode elektriciteit via één punt bij het NCSC kunnen worden gedaan.

Eigendomsregulering, nadeelcompensatie en Europees kader

Een beschikking op grond van artikel 15a Wwke vormt een inmenging in het eigendomsrecht van kritieke entiteiten. De toelichting bij het amendement kwalificeert de maatregel niet als onteigening maar als eigendomsregulering: getroffen entiteiten behouden de eigendom van de te weren producten, maar de gebruiksmogelijkheden worden beperkt. De indiener loopt de legaliteits-, legitimiteits- en evenredigheidstoets onder artikel 1 EP EVRM langs en wijst op de mogelijkheid van nadeelcompensatie op grond van titel 4.5 Algemene wet bestuursrecht. Daarnaast wordt getoetst aan het vrij verkeer van goederen (artikelen 34 en 36 VWEU) en aan de uitzonderingsgronden onder de WTO-akkoorden en bilaterale investeringsbeschermingsafspraken. De maatregel moet noodzakelijk, geschikt en proportioneel zijn en mag niet leiden tot een individuele en buitensporige last voor de betrokken entiteit. Tegen de beschikking staan de reguliere bestuursrechtelijke rechtsmiddelen open: bezwaar bij de vakminister, beroep bij de bestuursrechter en, in beginsel, hoger beroep.

Handhavingskader: bestuursrechtelijk, met punitieve sancties

Voor de bijzonder-strafrechtpraktijk is relevant dat de wetgever zowel voor de Cbw als voor de Wwke gekozen heeft voor bestuursrechtelijke handhaving, die blijkens de memorie van toelichting bij de Wwke zowel reparatoir als punitief kan zijn. De CER-richtlijn schrijft zelf geen keuze voor tussen bestuursrechtelijke en strafrechtelijke handhaving. De Nederlandse wetgever heeft gemotiveerd dat kritieke entiteiten op meerdere terreinen al met bestuursrechtelijke handhaving te maken hebben en dat aansluiting bij dat kader de voorkeur verdient. Het handhavingsinstrumentarium omvat onder meer een beveiligingsscan, beveiligingsaudit, aanwijzing, last onder bestuursdwang, last onder dwangsom en bestuurlijke boete. Onder de Cbw kan de boete oplopen tot tien miljoen euro of twee procent van de totale wereldwijde jaaromzet in het voorgaande boekjaar, afhankelijk van welk bedrag hoger is. Ook kan in bepaalde gevallen een bestuurlijke boete of last onder dwangsom aan individuele bestuurders worden opgelegd. Het toezicht wordt per sector belegd bij de vakminister of een door hem aangewezen toezichthouder, zoals de Rijksinspectie Digitale Infrastructuur (RDI), de Inspectie Gezondheidszorg en Jeugd (IGJ) of de Inspectie Leefomgeving en Transport (ILT). Dat verscheidene toezichthouders bevoegd zijn, maakt de aangenomen moties over voorkoming van dubbel toezicht en meervoudige beboeting des te relevanter voor de praktijk.

Vervolgtraject: behandeling door de Eerste Kamer

Met de aanvaarding door de Tweede Kamer is de parlementaire behandeling nog niet afgerond. De Eerste Kamer bepaalt de vervolgstappen en de planning voor de behandeling van beide wetsvoorstellen. Het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten liggen nog voor advies bij de Afdeling advisering van de Raad van State. Daarnaast wordt gewerkt aan sectorspecifieke ministeriële regelingen, waarin drempelwaarden en concrete maatregelen per sector worden uitgewerkt. De implementatietermijn van de NIS2-richtlijn is al op 18 oktober 2024 verstreken, waardoor Nederland tot de laatste lidstaten behoort die de richtlijn omzetten; alleen België en Kroatië haalden de oorspronkelijke deadline.

Afsluiting

De aanvaarding van de Cbw en de Wwke markeert een voorlopige afronding van een complex implementatietraject dat meerdere kabinetten beslaat. De parlementaire behandeling heeft op systeemniveau tot aanscherpingen geleid: de bevoegdheid om producten of diensten van specifieke leveranciers te weren is opgenomen in een zelfstandig wetsartikel met expliciete waarborgen, wijzigingen van de zorgplicht worden onder een voorhangprocedure gebracht en zowel de evaluatie als de invoeringstoets zijn aanzienlijk versneld. Voor de bijzonder-strafrechtpraktijk is de uitgesproken parlementaire lijn tegen meervoudige beboeting voor hetzelfde feitencomplex en tegen onnodige dubbele toezichtslasten een beweging die in de komende fase nadere concrete uitwerking zal vergen, onder meer in samenwerkingsafspraken tussen toezichthouders en in de sectorspecifieke ministeriële regelingen. Of de gecombineerde inwerkingtreding in het tweede kwartaal van 2026 haalbaar is, hangt af van de voortgang in de Eerste Kamer en de afronding van de onderliggende AMvB's en ministeriële regelingen. De behandeling in de Eerste Kamer zal uitwijzen of de ingeslagen lijn ongewijzigd wordt voortgezet.