Cyberbeveiligingswet (NIS2) naar Tweede Kamer verzonden, inwerkingtreding in 2026
De langverwachte Cyberbeveiligingswet is deze week officieel ingediend bij de Tweede Kamer. Het wetsvoorstel, dat de Europese NIS2-richtlijn implementeert in Nederlandse wetgeving, kan nu eindelijk de parlementaire behandeling ingaan. Over de snelheid van die behandeling valt echter nog niets te zeggen, en de val van het kabinet op 3 juni brengt extra onzekerheid met zich mee.
Update 17 juni: De verantwoordelijke beleidsafdeling van het ministerie van Justitie & Veiligheid (de NCTV) heeft bevestigd dat de inwerkingtreding voorzien is voor het tweede kwartaal 2026.
De indiening markeert een belangrijke mijlpaal in het langdurige traject om Nederland aan de Europese cybersecurityeisen te laten voldoen. NLdigital gaat het definitieve wetsvoorstel nu bestuderen en beoordelen in hoeverre er tegemoet is gekomen aan de zorgen die de organisatie eerder heeft geuit tijdens de consultatiefase. Er ontbreekt nog wel de nodige informatie, de val van het kabinet vond plaats tijdens de indiening van de wet waardoor een aanbiedingsbrief en verdere informatie ontbreekt.
NLdigital heeft eerder gereageerd op het concept voor deze wet, met Digital Europe samen op de uitvoeringsverordening voor digitale sectoren en op de lagere wetgeving die de details van de Cyberbeveiligingswet uitwerkt. Wij gaan het definitieve wetsvoorstel bestuderen en beoordelen of onze eerdere zorgen hierin weggenomen zijn. Dit zal gebeuren in overleg met de Commissie Cybersecurity.
Oorspronkelijke planning Q3 2025 is onmogelijk
De oorspronkelijke planning om de wet in het derde kwartaal van 2025 in werking te laten treden, is door de recente politieke ontwikkelingen definitief onhaalbaar geworden. Met de val van het kabinet op 3 juni en het aanstaande zomerreces van 4 juli tot 1 september blijven er slechts vier weken over voor eventuele behandeling in de Tweede Kamer. Dit is volstrekt ontoereikend voor een wetsvoorstel van deze omvang en complexiteit, zeker nu er eerst gekeken moet worden waar het demissionaire kabinet nog wel mee aan de slag mag en wat de Tweede Kamer controversieel gaat bepalen.
Realistische scenario’s: van december 2025 tot medio 2026
In het meest optimistische scenario zou een inwerkingtreding rond de kerstperiode van 2025 theoretisch mogelijk zijn. Dit zou echter vereisen dat de Tweede Kamer direct na het zomerreces in september begint met intensieve behandeling. Dit zou ook moeten worden afgerond vóór het verkiezingsreces dat ongeveer een maand voor de verkiezingen begint.
De realiteit wijst echter naar een inwerkingtreding in de eerste helft van 2026. Hoewel de urgentie van de EU-implementatie mogelijk tot een iets snellere behandeling leidt dan de gemiddelde ongeveer 10 maanden in de Tweede Kamer en 2 maanden in Eerste Kamer, lijkt het onwaarschijnlijk dat de Kamer veel winst kan behalen ten opzichte van normale doorlooptijden. De drukke parlementaire agenda met Prinsjesdag in september, het verkiezingsreces van ongeveer een maand vóór de verkiezingen eind oktober, en de daaropvolgende periode van coalitieonderhandelingen zorgen voor aanzienlijke vertragingen in de normale werkzaamheden.
Het verkiezingsproces brengt namelijk extra vertragingen met zich mee. Er zal een verkiezingsreces zijn van ongeveer een maand vóór de verkiezingen, waarin Kamerleden hun politieke partijen ondersteunen bij de campagne. Daarnaast zorgen verkiezingen altijd voor aanzienlijke verstoringen in de normale parlementaire werkzaamheden. Zelfs als de Cyberbeveiligingswet niet controversieel wordt verklaard, maken deze praktische beperkingen een inwerkingtreding voor het tweede kwartaal van 2026 zeer onwaarschijnlijk. [Update 17 juni: dit is inmiddels bevestigd door de NCTV]
Controversieel verklaren als grootste risico
Het grootste risico voor verdere vertraging ligt bij het mogelijk controversieel verklaren van de wet. In de komende weken vóór het zomerreces zullen de Kamercommissies beslissen welke onderwerpen zij controversieel willen verklaren. Politiek gevoelige onderwerpen komen dan niet meer aan de orde totdat er een nieuw kabinet is geformeerd.
De Cyberbeveiligingswet heeft echter goede kansen om niet controversieel verklaard te worden. Nederland is al in gebreke bij de Europese Unie sinds de deadline van 17 oktober 2024, cybersecurity heeft meestal brede politieke steun, en het betreft primair technische implementatiewetgeving die minder politiek geladen is.
Mocht de wet wel controversieel worden verklaard, dan schuift de behandeling door naar een nieuwe Kamer die eind november/begin december 2025 wordt geïnstalleerd. Hoewel de nieuwe Kamer relatief snel aan de slag kan, zorgt de combinatie van inwerktijd, het opnieuw oppakken van dossiers en de politieke onzekerheid tijdens een langdurige kabinetsformatie ervoor dat een inwerkingtreding waarschijnlijk pas in de tweede helft van 2026 realistisch wordt.
Informatie voor leden
Via onze website, de politieke update, en de verschillende ledennetwerken houden we je op de hoogte van de laatste ontwikkelingen, duiden we de politieke situatie, en informeren we over mogelijke impact op specifieke dossiers.
Vragen of signalen over projecten en het controversieel verklaren van dossiers? Neem vooral contact op met ons team Public Affairs via een mail naar René of Casper.
Voor meer informatie
- Elke week op de hoogte blijven van de laatste politieke ontwikkelingen m.b.t. digitalisering in Den Haag? Meld je aan voor de wekelijkse politieke update van NLdigital in samenwerking met 1848.
- Contactpagina NLdigital.
- Volg de actualiteiten via onze nieuwsbrief.
- Meer nieuws lezen kan op onze nieuwspagina.
Het laatste nieuws
Europa: geen kopieertaks op Spotify-downloads
Tweede Kamer neemt Cyberbeveiligingswet aan met belangrijke verbeteringen
CRA-meldplicht: wat moet je weten vóór 11 september 2026?
Nieuw whitepaper om Cybersecurity in de bestuurderskamer te krijgen
