Spring naar content

Overheid houdt vast aan Q2 2026: Invoering op koers voor 1 juli 2026

17 maart 2026
Overheid houdt vast aan Q2 2026: Invoering op koers voor 1 juli 2026

NIS2 is geen plotselinge nieuwe wet. Europa en nationale overheden werken al jaren aan deze cybersecuritywetgeving. Hieronder ziet u de belangrijkste stappen die hebben geleid tot de Nederlandse Cyberbeveiligingswet.

We zitten nu in de laatste rechte lijn naar de invoering van deze wet. Nog twee stappen resten. De Tweede Kamer behandelt de stukken in maart en zal daarna erover stemmen. Aangezien dit dossier niet controversieel is en iedereen begrijpt dat de wereld gevaarlijker is geworden, verwacht men dat dit snel zal gaan.

De Eerste Kamer behandelt de stukken doorgaans ook snel. Publicatie in het Staatsblad volgt meestal ongeveer een week later, waarna de wet kan ingaan op 1 juli 2026. Is dat zeker? Nee. Maar het is goed om te weten dat ongeveer 98% van alle wetten ingaat op** 1 januari of 1 juli**.

De overheid ligt op schema voor 1 juli 2026.

Waarom? De wetteksten zijn klaar, toezichthouders zijn voorbereid en andere Europese landen, waaronder onze grootste handelspartners Duitsland en België, hebben de wet al ingevoerd.

De stappen die zijn genomen om tot NIS2 te komen:

2020

De Europese Commissie concludeert dat de eerste NIS-richtlijn onvoldoende scope heeft en start de herziening.

16 december 2020

De Europese Commissie publiceert het officiële voorstel voor de NIS2-richtlijn.

2021

Onderhandelingen starten tussen de Europese Commissie, het Europees Parlement en de Raad van Ministers over de inhoud van NIS2.

Begin 2022

Politiek akkoord bereikt tussen het Europees Parlement en de Raad over de NIS2-richtlijn.

28 november 2022

Het Europees Parlement stemt voor de NIS2-richtlijn.

27 december 2022

Publicatie van Directive (EU) 2022/2555 in het officiële EU-publicatieblad.

16 januari 2023

NIS2 treedt formeel in werking op Europees niveau.

2023

EU-lidstaten starten met de nationale implementatie van NIS2.

2023

Nederland start de voorbereiding van de implementatie van NIS2 in nationale wetgeving.

2023

Nederlandse ministeries werken aan het ontwerp van de Cyberbeveiligingswet.

2023–2024

ENISA ontwikkelt aanvullende richtlijnen.

2024

Nederland werkt de rolverdeling uit voor toezicht, incidentrespons en sectorale verantwoordelijkheden.

Mei – juli 2024

Internetconsultatie van het wetsvoorstel Cyberbeveiligingswet.

17 oktober 2024

Deadline waarop EU-lidstaten NIS2 in nationale wetgeving hadden moeten implementeren. Nederland haalt deze deadline niet.

18 oktober 2024

NIS2 wordt het nieuwe Europese cybersecuritykader. België is het eerste land dat de wet inwerking zet.

2024 – 2025

Nederland verwerkt consultatiereacties en werkt het wetsvoorstel verder uit.

2025

Nederland dient het wetsvoorstel Cyberbeveiligingswet in bij de Tweede Kamer.

2025

De parlementaire behandeling van de Cyberbeveiligingswet start. Door de verkiezingen ontstaat er enige vertraging.

2026

Besluitvorming door de Tweede en Eerste Kamer en de daaropvolgende invoering van de NIS2 Cyberbeveiligingswet in Nederland.

Ons advies: “Begin eraan. Voor de meeste organisaties kost het 4 tot 6 maanden om hun cybersecurity en leveranciersbeheer op orde te brengen.”

Onduidelijkheid door nieuw EU-voorstel voor vereenvoudiging

Er is onduidelijkheid ontstaan door een nieuw voorstel vanuit de EU voor vereenvoudiging. Sommigen roepen dat daardoor de Cyberbeveiligingswet (Cbw) zal worden uitgesteld. Wij denken dat die stelling onlogisch is. Waarom? Omdat dit simpelweg te lang zou duren.

Nederland is nu al anderhalf jaar te laat met de implementatie. Grote hacks laten geen vertraging toe. In augustus 2025 werden de medische gegevens van bijna een miljoen vrouwen gestolen bij een laboratorium dat werkte voor de rijksoverheid. En recent nog bij Odido: 6,2 miljoen Nederlanders staan in de gevarenzone doordat passende wetgeving nog niet actief was.

Het huidige kabinet heeft in het regeerakkoord uitdrukkelijk toegezegd deze wet snel in te voeren. Wachten op Europa zou echter nog eens 2 tot 3 jaar toevoegen aan de huidige vertraging.

Het voorstel COM(2026)13 is immers pas op 20 januari 2026 gepubliceerd. De Europese besluitvorming verloopt via een gekwalificeerde meerderheid in de Telecomraad én via medebeslissing van het Europees Parlement. Dat betekent:

  • Werkgroepbesprekingen in de Raad + Raadspositie: 6–9 maanden
  • Europees Parlement bepaalt zijn positie: 6–9 maanden (deels parallel)
  • Triloogonderhandelingen Raad/EP/Commissie: 3–6 maanden
  • Formele aanname + publicatie in het Publicatieblad: 1–2 maanden

Totaal realistisch: 12–18 maanden vanaf nu. Een formele aanname vóór begin 2028 zou al optimistisch zijn.

Daarna moet de Nederlandse implementatie nog volgen, met een minimum van 18 maanden. De door de Commissie voorgestelde implementatietermijn van 12 maanden noemt het kabinet zelf “niet haalbaar” en het dringt aan op minimaal 18 maanden, vanwege de benodigde aanpassingen aan de Cyberbeveiligingswet en onderliggende regelgeving.

Realistisch kom je dan uit op 2,5 tot 3 jaar voordat de vereenvoudigde versie in Nederland van kracht is, dus ergens tussen 2028 en 2029.

Iedereen die de risico’s van cybersecurity kent, weet dat dit niet kan. De wereld is turbulent. AI-aanvallen worden steeds normaler. We hebben de Cyberbeveiligingswet dringend nodig.

Gerelateerde artikelen

Nieuw: NIS2 dossier – CEO/bestuur verplicht aan het stuur

Samen Digitaal Veilig lanceert Estimated Risk Index: automatische risicoscore voor 170.000 Nederlandse leveranciers

Datect en Samen Digitaal Veilig starten samenwerking

Bij welke partijen kun je een NIS2 Supply Chain audit laten uitvoeren?

Handreiking weerbaarheid: ‘Weet wat je te doen staat’
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht