Cyberbeveiligingswet (NIS2) naar Tweede Kamer verzonden, inwerkingtreding in 2026 

De langverwachte Cyberbeveiligingswet is deze week officieel ingediend bij de Tweede Kamer. Het wetsvoorstel, dat de Europese NIS2-richtlijn implementeert in Nederlandse wetgeving, kan nu eindelijk de parlementaire behandeling ingaan. Over de snelheid van die behandeling valt echter nog niets te zeggen, en de val van het kabinet op 3 juni brengt extra onzekerheid met zich mee.

Update 17 juni: De verantwoordelijke beleidsafdeling van het ministerie van Justitie & Veiligheid (de NCTV) heeft bevestigd dat de inwerkingtreding voorzien is voor het tweede kwartaal 2026.

De indiening markeert een belangrijke mijlpaal in het langdurige traject om Nederland aan de Europese cybersecurityeisen te laten voldoen. NLdigital gaat het definitieve wetsvoorstel nu bestuderen en beoordelen in hoeverre er tegemoet is gekomen aan de zorgen die de organisatie eerder heeft geuit tijdens de consultatiefase. Er ontbreekt nog wel de nodige informatie, de val van het kabinet vond plaats tijdens de indiening van de wet waardoor een aanbiedingsbrief en verdere informatie ontbreekt. 

NLdigital heeft eerder gereageerd op het concept voor deze wet, met Digital Europe samen op de uitvoeringsverordening voor digitale sectoren en op de lagere wetgeving die de details van de Cyberbeveiligingswet uitwerkt. Wij gaan het definitieve wetsvoorstel bestuderen en beoordelen of onze eerdere zorgen hierin weggenomen zijn. Dit zal gebeuren in overleg met de Commissie Cybersecurity

Oorspronkelijke planning Q3 2025 is onmogelijk 

De oorspronkelijke planning om de wet in het derde kwartaal van 2025 in werking te laten treden, is door de recente politieke ontwikkelingen definitief onhaalbaar geworden. Met de val van het kabinet op 3 juni en het aanstaande zomerreces van 4 juli tot 1 september blijven er slechts vier weken over voor eventuele behandeling in de Tweede Kamer. Dit is volstrekt ontoereikend voor een wetsvoorstel van deze omvang en complexiteit, zeker nu er eerst gekeken moet worden waar het demissionaire kabinet nog wel mee aan de slag mag en wat de Tweede Kamer controversieel gaat bepalen. 

Realistische scenario’s: van december 2025 tot medio 2026 

In het meest optimistische scenario zou een inwerkingtreding rond de kerstperiode van 2025 theoretisch mogelijk zijn. Dit zou echter vereisen dat de Tweede Kamer direct na het zomerreces in september begint met intensieve behandeling. Dit zou ook moeten worden afgerond vóór het verkiezingsreces dat ongeveer een maand voor de verkiezingen begint. 

De realiteit wijst echter naar een inwerkingtreding in de eerste helft van 2026. Hoewel de urgentie van de EU-implementatie mogelijk tot een iets snellere behandeling leidt dan de gemiddelde ongeveer 10 maanden in de Tweede Kamer en 2 maanden in Eerste Kamer, lijkt het onwaarschijnlijk dat de Kamer veel winst kan behalen ten opzichte van normale doorlooptijden. De drukke parlementaire agenda met Prinsjesdag in september, het verkiezingsreces van ongeveer een maand vóór de verkiezingen eind oktober, en de daaropvolgende periode van coalitieonderhandelingen zorgen voor aanzienlijke vertragingen in de normale werkzaamheden. 

Het verkiezingsproces brengt namelijk extra vertragingen met zich mee. Er zal een verkiezingsreces zijn van ongeveer een maand vóór de verkiezingen, waarin Kamerleden hun politieke partijen ondersteunen bij de campagne. Daarnaast zorgen verkiezingen altijd voor aanzienlijke verstoringen in de normale parlementaire werkzaamheden. Zelfs als de Cyberbeveiligingswet niet controversieel wordt verklaard, maken deze praktische beperkingen een inwerkingtreding voor het tweede kwartaal van 2026 zeer onwaarschijnlijk. [Update 17 juni: dit is inmiddels bevestigd door de NCTV]

Controversieel verklaren als grootste risico 

Het grootste risico voor verdere vertraging ligt bij het mogelijk controversieel verklaren van de wet. In de komende weken vóór het zomerreces zullen de Kamercommissies beslissen welke onderwerpen zij controversieel willen verklaren. Politiek gevoelige onderwerpen komen dan niet meer aan de orde totdat er een nieuw kabinet is geformeerd. 

De Cyberbeveiligingswet heeft echter goede kansen om niet controversieel verklaard te worden. Nederland is al in gebreke bij de Europese Unie sinds de deadline van 17 oktober 2024, cybersecurity heeft meestal brede politieke steun, en het betreft primair technische implementatiewetgeving die minder politiek geladen is. 

Mocht de wet wel controversieel worden verklaard, dan schuift de behandeling door naar een nieuwe Kamer die eind november/begin december 2025 wordt geïnstalleerd. Hoewel de nieuwe Kamer relatief snel aan de slag kan, zorgt de combinatie van inwerktijd, het opnieuw oppakken van dossiers en de politieke onzekerheid tijdens een langdurige kabinetsformatie ervoor dat een inwerkingtreding waarschijnlijk pas in de tweede helft van 2026 realistisch wordt. 

Informatie voor leden

Via onze website, de politieke update, en de verschillende ledennetwerken houden we je op de hoogte van de laatste ontwikkelingen, duiden we de politieke situatie, en informeren we over mogelijke impact op specifieke dossiers.  

Vragen of signalen over projecten en het controversieel verklaren van dossiers?  Neem vooral contact op met ons team Public Affairs via een mail naar René of Casper.

Voor meer informatie

Deel via:

Jelmer Schreuder

Public policy manager
Neem contact op met
Jelmer Schreuder

Jessica Meijer

Communicatiespecialist
Neem contact op met
Jessica Meijer

NLdigital

Redactie
Neem contact op met
NLdigital

Het laatste nieuws

NLdigital stuurt inbreng digitale sector aan informateurs

De kabinetsformatie is een nieuwe fase ingegaan, waarbij Hans Wijers (D66) en Sybrand Buma (CDA) zijn benoemd als informateurs. Ze...
Cybersecurity

NLdigital en overheid starten dialoog over soevereine cloud voor Nederland

Ontdek hoe de Nederlandse Digitaliseringsstrategie (NDS) samen met NLdigital en cloudleveranciers werkt aan een soevereine overheidscloud. Lees meer over de open dialoogsessies, samenwerking en Europese kaders.
Cybersecurity

ABRO: Nieuwe beveiligingseisen voor leveranciers aan Rijksoverheid en Politie

Vanaf 2026 geldt met ABRO één uniform stelsel van beveiligingseisen voor leveranciers aan de Rijksoverheid en Politie, gericht op het beschermen van de nationale veiligheid tegen onder andere spionage en sabotage. Leveranciers moeten rekening houden met strengere, proportioneel toegepaste eisen op gebieden als cyber, cloud en ketenbeveiliging, waarbij het Nationaal Bureau Industrieveiligheid toeziet op de naleving.
Cybersecurity

Wat betekent de verkiezingsuitslag voor de digitale sector? 

Nu de verkiezingsuitslag op hoofdlijnen vastgesteld is, kunnen we voorzichtig mogelijke coalities in kaart gaan brengen. We kijken naar reële coalities op basis van de uitslag, wat partijen eerder zelf uitgesproken hebben, en ook zetelaantallen in de Eerste Kamer. Met behulp van onze analyse van de verkiezingsprogramma’s kijken we ook vooruit naar wat deze coalities zullen betekenen voor de digitale sector. Met VNO-NCW en MKB-Nederland delen wij in ieder geval de visie dat de politiek geen tijd te verliezen heeft en nú werk moet maken van een stabiel en daadkrachtig kabinet. 
Cybersecurity

NLdigital: Volt meest digitaal, CDA verrassende binnenkomer kopgroep

NLdigital analyseerde alle partijprogramma’s op digitale thema’s: Volt scoort het hoogst, gevolgd door VVD, D66 en verrassend CDA. De Verkiezingsmatrix laat grote verschillen zien per thema: innovatie en AI krijgen veel aandacht, maar cybersecurity en digitale overheid blijven onderbelicht. NLdigital ziet bij een mogelijke nieuwe coalitie met VVD, CDA en D66 kansen voor serieuze stappen in de digitale economie.
Cybersecurity