
Cyberbeveiligingswet: stand van zaken, planning en gevolgen voor hoger onderwijs
De Cyberbeveiligingswet (Cbw) komt eraan, maar een concrete ingangsdatum is nog steeds niet bekend. Hoe zit dat? In dit artikel lees je waarom de datum nog niet vaststaat, waarom het voor hogeronderwijsinstellingen langer duurt en wat je nu al kunt doen om je voor te bereiden.
Waarom is er nog geen concrete ingangsdatum?
De Cyberbeveiligingswet (Cbw) is de Nederlandse uitwerking van de NIS2-richtlijn, die in november 2022 is aangenomen. EU-lidstaten moesten deze richtlijn uiterlijk in oktober 2024 omzetten in nationale wetgeving.
De Europese deadline is dus al verstreken, daarom wil het kabinet de wet na goedkeuring door de Eerste Kamer wel zo snel mogelijk in werking laten treden. De Eerste Kamer heeft de wet op 7 juli 2026 aangenomen. Dat houdt in dat de wet op 15 augustus 2026 van kracht gaat. Voor de meeste sectoren geldt de wet dan direct, maar voor het hoger onderwijs ligt dat anders.

Waarom duurt het langer voor het hoger onderwijs?
Dat de Cbw voor het hoger onderwijs pas later ingaat, heeft te maken met de manier waarop de Europese NIS2-richtlijn is opgebouwd. Anders dan bijvoorbeeld de GDPR (AVG), geldt de NIS2-richtlijn niet voor alle organisaties, maar alleen voor sectoren die expliciet zijn benoemd. Deze sectoren, zoals de gezondheidszorg en het bankwezen, zijn verplicht om zich aan de wettelijke bepalingen van de NIS2-richtlijn te houden. Zij weten dan ook al enkele jaren dat dit er voor hen aankomt.
Alleen voor de onderwijssector ligt dat anders: volgens de NIS2-richtlijn mogen EU-lidstaten zelf beslissen of onderwijsinstellingen onder de wet komen te vallen. Daar heeft Nederland pas in april 2025 een besluit over genomen. Toen maakte de toenmalige minister van Onderwijs bekend dat hij van plan was om de bekostigde hogeronderwijsinstellingen aan te wijzen als organisaties waarop de Cyberbeveiligingswet van toepassing wordt (andere onderwijsinstellingen vallen daar dus niet onder). Daardoor stond voor deze instellingen pas veel later vast dat zij aan de wet moeten voldoen, en ook het ministerie van Onderwijs moest daarna nog aan de slag met de benodigde regelingen en afspraken.
Gezien de kortere tijdslijnen is er daarom voor het onderwijs een uitzondering in de wet opgenomen: om onderwijsinstellingen tijd te geven zich voor te bereiden, wordt het moment waarop zij aan de zorgplicht moeten voldoen voor hen uitgesteld.
Wat betekent dit concreet voor het hoger onderwijs?
Voor de meeste sectoren gelden de Cbw-verplichtingen direct zodra de wet in werking treedt. Voor het onderwijs ligt dat anders: hiervoor is een apart aanwijsbesluit van de minister van Onderwijs nodig. Dat besluit kan ook ná inwerkingtreding van de wet worden genomen.
Het ministerie heeft zelf bovendien ook nog tijd nodig om de randvoorwaarden op orde te brengen, zoals het aanwijzen van de betrokken instellingen, de toezichthouder en het CSIRT. Daarom zal de minister pas enige tijd ná de ingang van de wet het aanwijsbesluit laten ingaan. De ambitie is om dit zo snel mogelijk na de inwerkingtreding van de Cbw te doen, naar verwachting in het najaar van 2026. Vanaf dat moment gaan de Cbw-verplichtingen gelden voor het bekostigd hoger onderwijs. De zorgplicht uit de wet gaat drie jaar daarna in.
Samengevat ziet de planning er als volgt uit:
- 15 augustus 2026: Cyberbeveiligingswet treedt in werking voor alle sectoren die al in 2022 zijn benoemd in de richtlijn.
- Najaar 2026 (naar verwachting): officiële aanwijzing van het bekostigd hoger onderwijs en ingang van het grootste deel van de Cbw-verplichtingen.
- Drie jaar na de officiële aanwijzing: ingang van de zorgplicht voor het bekostigd hoger onderwijs.

Wat kun je als hogeronderwijsinstelling nu al doen?
Hoewel de definitieve ingangsdatum dus nog niet vaststaat, kun je je als onderwijsinstelling wel al voorbereiden:
- registreer je instelling alvast om te voldoen aan de registratieplicht - gebruik hiervoor de registratiehandleiding;
- Bereid je voor op de meldplicht en maak bij voorkeur nu al vrijwillig gebruik van de meldprocedure;
- Lees alle relevante artikelen over de voorbereiding op de Cyberbeveiligingswet op onze Cbw-focuspagina.
Bekijk ook de veelgestelde vragen over de Cbw. Kom je er niet uit, neem dan contact met ons op via sec@surf.nl.