Wbni-deadline nadert: Nederlandse organisaties onvoorbereid
🇳🇱 De Wbni in het kort
De Wet beveiliging netwerk- en informatiesystemen (Wbni) is de Nederlandse implementatie van de Europese NIS2-richtlijn. De wet verplicht organisaties in essentiële en belangrijke sectoren om cyberbeveiligingsmaatregelen te implementeren en incidenten te melden.
Wie valt onder de Wbni?
Naar schatting 2.500 Nederlandse organisaties vallen onder de Wbni, verdeeld over:
- Essentiële sectoren: Energie, transport, drinkwater, gezondheid, digitale infrastructuur, financiën, ruimtevaart
- Belangrijke sectoren: Post, afval, chemie, voedselproductie, digitale diensten
📊 Nederlandse Wbni-compliance cijfers
- 37% heeft een volledige kwetsbaarheidsanalyse uitgevoerd
- 42% heeft incident response procedures geïmplementeerd
- 28% heeft supply chain security maatregelen gedocumenteerd
- 51% is zich bewust van persoonlijke aansprakelijkheid bestuurders
⚠️ De compliance-kloof
Uit onderzoek door het Rathenau Instituut blijkt dat Nederlandse organisaties worstelen met drie hoofdproblemen:
1. Onduidelijkheid over reikwijdte
Veel organisaties zijn onzeker of zij onder de Wbni vallen. Met name middelgrote bedrijven in toeleveringsketens van essentiële diensten onderschatten hun verplichtingen.
⚠️ Let op: Indirecte Wbni-verplichting
Ook als uw organisatie zelf niet onder de Wbni valt, kunnen klanten die wel onder de wet vallen eisen dat u aan specifieke beveiligingseisen voldoet. Dit komt voort uit de supply chain security verplichting in Artikel 21 van NIS2.
2. Complexiteit van technische maatregelen
De Wbni vereist "passende en evenredige" technische maatregelen, maar geeft geen specifieke technische standaarden. Organisaties moeten zelf bepalen wat "passend" is voor hun risicoprofiel—een uitdaging voor bedrijven zonder interne cybersecurity-expertise.
3. Kosten en resources
Nederlandse MKB-bedrijven schatten de kosten voor Wbni-compliance op gemiddeld €180.000 tot €450.000 in het eerste jaar, inclusief personeel, tools, en externe consultants. Voor veel organisaties is dit een significante investering.
💰 Sancties en handhaving
De Nederlandse toezichthouders (afhankelijk van sector: NCSC-NL, ILT, DNB, ACM, of andere) hebben vergaande bevoegdheden onder de Wbni:
| Overtreding | Maximale boete | Handhaving |
|---|---|---|
| Geen risicomanagementmaatregelen | €10 miljoen of 2% omzet | Bestuurlijke boete |
| Geen incidentmelding binnen 24 uur | €10 miljoen of 2% omzet | Bestuurlijke boete |
| Geen medewerking aan toezicht | €7 miljoen of 1,4% omzet | Dwangsom mogelijk |
| Grove nalatigheid bestuurders | Persoonlijke aansprakelijkheid | Civielrechtelijk |
🚨 Persoonlijke aansprakelijkheid bestuurders
Nieuw in de Wbni: leden van het bestuur kunnen persoonlijk aansprakelijk worden gesteld voor schade als gevolg van onvoldoende cyberbeveiligingsmaatregelen. Dit betekent dat directeuren en commissarissen hun eigen vermogen kunnen verliezen bij grove nalatigheid.
✅ Wbni-compliance checklist voor 2026
Het ministerie van Justitie en Veiligheid heeft een implementatietijdlijn gepubliceerd. Voor organisaties die nu beginnen is dit de aanbevolen aanpak:
Fase 1: Assessment (maand 1-2)
- Bepaal of uw organisatie onder de Wbni valt (essentieel of belangrijk)
- Identificeer alle kritieke IT- en OT-systemen
- Voer een gap-analyse uit tegen NIS2/Wbni-vereisten
- Documenteer huidige beveiligingsmaatregelen
Fase 2: Implementatie (maand 3-6)
- Implementeer incident detection en response (24-uurs meldplicht!)
- Voer volledige kwetsbaarheidsanalyse uit van alle systemen
- Implementeer multi-factor authenticatie voor alle kritieke systemen
- Segmenteer netwerken (vooral IT/OT-scheiding)
- Implementeer geautomatiseerde backup en recovery
Fase 3: Supply chain (maand 6-9)
- Inventariseer alle kritieke leveranciers en dienstverleners
- Voer security audits uit bij strategische partners
- Stel contractuele security-eisen op voor leveranciers
- Implementeer vendor risk management proces
Fase 4: Governance (doorlopend)
- Zorg voor bewustwording op bestuursniveau (persoonlijke aansprakelijkheid!)
- Implementeer periodieke security training voor alle medewerkers
- Stel een CISO of security officer aan
- Voer jaarlijkse compliance audits uit
🛡️ NCSC-NL guidelines
Het Nationaal Cyber Security Centrum (NCSC-NL) heeft specifieke richtlijnen gepubliceerd voor Wbni-compliance:
- Baseline Informatiebeveiliging Rijksdienst (BIR): Aanbevolen als basis voor risicomanagement
- Cybersecurity Assessment Tool (CAT): Gratis zelfassessment tool voor organisaties
- Meldplicht Datalekken: Integratie met bestaande AVG-meldplicht
- Sectorale ISAC's: Information Sharing and Analysis Centers per sector
Wbni-compliance in 60 seconden
KENSAI scant automatisch 332.000+ kwetsbaarheden in uw applicaties, APIs en infrastructuur. Krijg een compliance-rapport dat voldoet aan Wbni-eisen—zonder handmatig werk.
Start gratis Wbni-scan →€990/maand • 24-uurs incident detectie • NCSC-NL compliant
🔮 Wat komt er na implementatie?
Wbni-compliance is geen eenmalig project, maar een doorlopend proces:
- Kwartaal-rapportages: Toezichthouders kunnen periodieke rapportages eisen
- On-site inspecties: NCSC-NL en sectortoezichthouders kunnen ter plaatse audits uitvoeren
- Incident response drills: Regelmatige testen van incident response procedures
- Supply chain monitoring: Doorlopende monitoring van leveranciers en partners
📚 Aanvullende bronnen
- NCSC-NL officiële Wbni-portal — Richtlijnen en meldpunt
- KENSAI Wbni-gids — Technische implementatiegids
- Rijksoverheid NIS2/Wbni — Officiële wetgeving en FAQ
- Supply chain security onder Wbni — Leveranciersrisico's
Blijf compliant.
KENSAI Compliance Team
1 maart 2026