Actuele  ontwikkelingen op het terrein van cybersecurity en aanpalende domeinen

Jaargang 2026
Update 2026 (onder redactie van Rob Bouman). Zie ook jaargang 202520242023, 2022, 2021, 2020 en 2019 e.v.

 Actuele (politieke) gebeurtenissen sinds 29 januari 2026
  • Op 27 februari 2026 heeft de staatssecretaris van EZK de agenda van de Telecomraad van 23 en 24 maart (21501-33 nr 1188) aan de Tweede Kamer aangeboden. Er zullen beleidsdebatten worden gevoerd over AI en over de bescherming van kinderrechten online.

  • Op 24 februari 2026 heeft de Eerste Kamer aan de staatssecretaris van EZK verzocht (36890 nr E) om een parlementair behandelvoorbehoud te plaatsen bij de Omnibus Digitaal en de Omnibus AI. De voorstellen zijn gepresenteerd als technische aanpassingen (vereenvoudiging en vermindering regeldruk), maar brengen afbreukrisico’s op o.a. privacyrechten en wijzigen bevoegdheden van de Europese Commissie. Adviezen van de EDPS en EDPB ontbreken. Niet alleen Europees, maar ook nationaal ontbreekt het aan onderbouwde inzichten in de gevolgen.

  • Op 20 februari 2026 heeft de minister van EZ de Tweede Kamer geïnformeerd (35153 nr 31) over de uitkomsten van de evaluatie van de Wet ongewenste zeggenschap telecommunicatie (WOZT) en van de tussentijdse evaluatie van de Wet veiligheidstoets investeringen, fusies en overnames (Wet vifo). De conclusie is dat de Wet vifo waarschijnlijk het nagestreefde doel bereikt en de neveneffecten lijken te overzien. Het bestaan van de WOZT ontmoedigt potentiële partijen (met een risicoprofiel) om te investeren waardoor daadwerkelijk ingrijpen overbodig is. De doeltreffendheid van de wet is hierdoor lastig aan te tonen.

  • Op 17 februari 2026 hebben de ministers van Defensie en J&V de Tweede Kamer geïnformeerd (36764 nr 11) over de uitkomsten van het overleg met het NCSC of nog meer opvolging kan worden gegeven aan het openbaren van adviezen van het NCSC inzake cyberaanvallen en of die adviezen worden opgevolgd. Het NCSC deelt de benodigde informatie actief. Dit kan openbaar, maar gebeurt vaak via doelgroepenberichten. De (vastlegging van de) opvolging van een cyberaanval wordt geregeld in het concept Cyberbeveiligingsbesluit (Cbb). De entiteit is verplicht schriftelijk vast te leggen wat die heeft gedaan met de info over relevante kwetsbaarheden of cyberdreiging van het CSIRT, de toezichthouder of andere betrokken overheidsinstanties.

  • Op 16 februari 2026 heeft de staatssecretaris van BZK de Meting Informatieveiligheid-standaarden en de Monitor Open Standaarden van het Forum Standaardisatie (26643 nr 1491) aan de Tweede Kamer aangeboden. De streefbeeldafspraken worden niet gehaald. Dit geldt ook voor de per 1 juli 2023 bij de WDO verplichte standaarden.

  • Op 11 februari 2026 heeft de Tweede Kamer plenair met de staatssecretaris van BZK gedebatteerd over de voorgenomen verkoop van Solvinity, dat DigiD en MijnOverheid host, aan Kyndryl en over cloudmigraties naar Amerikaanse techgiganten. Daarbij zijn 25 moties (26643 nrs 1465 t/m 1489) ingediend. Op 3 maart zijn 15 moties aangenomen, 3 moties (1465, 1473 en 1475) zijn aangehouden en 7 moties (1468, 1470, 1479 en 1485 t/m 1488) zijn verworpen. Sommige aangenomen moties hebben direct betrekking op de situatie rond Solvinity of Kyndryl, andere op de relatie tussen digitale soevereiniteit en kritieke digitale en/of vitale infrastructuur. Daarna is ook gestemd over de op 3 december aangehouden en inmiddels gewijzigde motie 21501-33 nr 1172 die de regering verzoekt alle ICT-diensten die nu draaien op Solvinity bij voorkeur in Nederlandse en anders in Europese handen te houden. Ook die motie is aangenomen.

  • Op 11 februari 2026 heeft de staatsecretaris van BZK plenair met de Tweede Kamer gedebatteerd over de digitaliserende overheid, als vervolg op het debat van 29 januari. Daarbij is 1 motie (26643 nr 1464) ingediend. Op 3 maart is deze motie, over het ontwikkelen van raamwerkafspraken voor veel voorkomende digitale diensten, aangenomen.

  • Op 10 februari 2026 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 1463) over de stand van zaken omtrent de mogelijke overname van Solvinity door Kyndryl en de vervolgstappen. De ACM beoordeelt of de overname gevolgen heeft voor de marktwerking. Het Bureau Toetsing Investeringen (BTI) van EZ toetst op risico’s voor de nationale veiligheid. De Task Force Economische Veiligheid van de NCTV weegt de adviezen en risicoanalyses integraal. De Task Force Continuïteit ICT Dienstverlening doet onderzoeken om tot een risico-inschatting en handelingsperspectief te komen. De Landsadvocaat onderzoekt de extraterritoriale werking van bepaalde Amerikaanse wetgeving. BZK overlegt met alle betrokken partijen over aanvullende maatregelen om de risico’s te mitigeren.

  • Op 6 februari 2026 hebben de staatssecretarissen van J&V en BZK de Tweede Kamer geïnformeerd (26643 nr 1462) over het misbruik van een kwetsbaarheid bij de AP en de Raad voor de rechtspraak. De Kamer zal over de uitkomsten van de nu lopende onderzoeken worden geïnformeerd.

  • Op 5 februari 2026 heeft de staatssecretaris van VWS de Tweede Kamer geïnformeerd (32761 nr 334) over de stand van zaken inzake de datahack bij het laboratorium dat betrokken is bij het bevolkingsonderzoek baarmoederhalskanker. PwC heeft de informatiebeveiliging van het lab onderzocht. Nadat de tekortkomingen zijn weggewerkt zal PwC opnieuw een onderzoek uitvoeren waarna hopelijk de samenwerking met het lab weer kan worden hervat.

  • Op 4 februari 2026 heeft de Algemene Rekenkamer het rapport Focus op quantum bij de rijksoverheid (26643 nr 1458) naar de Tweede Kamer gestuurd. Het kabinet stimuleert organisaties om quantumdreiging aan te pakken, maar nog weinig organisaties zijn daar daadwerkelijk mee gestart. Het kabinet werkt aan een rijksbrede Quantum Strategie.

  • Op 29 januari 2026 heeft de staatssecretaris van BZK met de Tweede Kamer gedebatteerd over de digitaliserende overheid (26643 nr 1493). Daarbij werden kritische vragen gesteld over de wijze waarop de overheid IT inkoopt. De staatssecretaris maakte melding van een geactualiseerde rijksbrede IT-sourcingstrategie, als onderdeel van de NDS, die organisaties in staat stelt om een sterkere regie op digitale autonomie, soevereiniteit en digitale veiligheid te organiseren.

  • Op 28 januari 2026 hebben de bewindslieden van Defensie met de Tweede Kamer gedebatteerd (36592 nr 59) over de Cyberstrategie Defensie. Met een hoger Defensiebudget zal ook de cybercapaciteit worden versterkt en uitgebreid. Een nieuw kabinet moet dit verder uitwerken.

  • Op 28 januari 2026 heeft de minister van J&V plenair met de Tweede Kamer gedebatteerd over online fraude als vervolg op het debat van 17 december. Daarbij is 1 motie (29911 nr 496) ingediend, die op 4 februari is aangenomen. Deze motie verzoekt de regering toe te werken naar één centraal meld- en registratiepunt voor online fraude.

  • Op 27 januari 2026 heeft de minister van SZW in een brief (26643 nr 1456) aan de Tweede Kamer de stand van zaken gemeld over de (mogelijk) voorgenomen migratie naar Microsoft Azure bij de SVB. De SVB heeft geen plannen om volledig over te stappen. Een tekst op een site van de SVB was foutief en is inmiddels gecorrigeerd. Wel draait een beperkt en zorgvuldig geselecteerd deel van de systemen in Azure, onder strikte voorwaarden en met een hoog veiligheidsniveau. De kritische processen zoals de betaling van de AOW en de Kinderbijslag zitten niet in een publieke cloudomgeving.

  • Op 26 januari 2026 heeft de staatssecretaris van Defensie de vragen beantwoord (35728 nr 24) die de Tweede Kamer had gesteld over de 7e voortgangsrapportage van het programma Grensverleggende IT (GrIT). De vragen richtten zich vooral op de risico’s van het programma. In een vertrouwelijke bijlage is een risicomatrix opgenomen waarin voor de 9 hoofdrisico’s de kans en impact zijn aangegeven. In volgende rapportages zal deze matrix in de bijlage worden opgenomen.

  • Op 23 januari 2026 heeft de minister van J&V in een brief (26643 nr 1455) aan de Tweede Kamer de stand van zaken toegelicht inzake het externe onderzoek naar de ICT-afbreuk bij het OM. Naar verwachting wordt het rapport eind maart begin april opgeleverd. 
 Actuele (politieke) gebeurtenissen sinds 15 december 2025
  • Op 23 januari 2026 heeft de minister van VWS de vragen beantwoord (36621 nr 6) die de Tweede Kamer had gesteld over de Verzamelwet gegevensverwerking VWS II.b. Uit de vragen bleek dat een aantal verduidelijkingen nodig waren. Daarom is ook een Nota van Wijziging (36621 nr 7) meegezonden.

  • Op 23 januari 2026 heeft de minister van J&V de Tweede Kamer geïnformeerd (32317 nr 993) over het voorstel van de Europese Commissie om de interim derogatie van de EU-privacyregels met 2 jaar te verlengen om online kindermisbruik te bestrijden. De huidige derogatie loopt in april 2026 af en dan is de CSAM-verordening nog niet van kracht.

  • Op 23 januari 2026 heeft de minister van J&V de Tweede Kamer geïnformeerd (26643 nr 1455) over de stand van zaken van de externe commissie die onderzoek doet naar de ICT-inbreuk bij het OM. Deze commissie is 1 december 2025 gestart en zal naar verwachting in april 2026 een rapport opleveren.

  • Op 22 januari 2026 heeft de minister van J&V het rapport Meetbaarheid digitale weerbaarheid van Nederlandse organisaties (26643 nr 1454) aan de Tweede Kamer aangeboden. Het onderzoek geeft indicatoren aan die gebruikt of ontwikkeld kunnen worden waarbij gedifferentieerd kan worden naar verschillende doelen. De resultaten worden betrokken bij de doorontwikkeling van het actieplan van de NLCS.
  • Op 22 januari 2026 heeft de minister van J&V de vragen beantwoord (36765 nr 6) die de Tweede Kamer had gesteld over de Wwke (waarmee de CER-richtlijn wordt uitgevoerd). De vragen waren voornamelijk gericht op het krijgen van nadere toelichting of verduidelijking. Dat heeft mede geleid tot het indienen van de 1e en 2e Nota van Wijziging (36765 nrs 7 en 8), die primair technisch van aard zijn. Het gaat om aanscherping van definities, het wegnemen van onduidelijkheden en correcties.

  • Op 22 januari 2026 hebben de minister van J&V en de staatssecretarissen van J&V en BZK de vragen beantwoord (32317 nr 991) die de Tweede Kamer had gesteld over de agenda van de JBZ-raad van 22 en 23 januari. De vragen hadden o.a. betrekking op de CSAM-verordening en de Digitale Omnibus.

  • Op 21 en 22 januari 2026 heeft de minister van EZ plenair gedebatteerd met de Tweede Kamer over de Begroting EZ 2026. Daarbij zijn 18 moties ingediend waaronder 36800-XIII nr 25. Op 27 januari is die motie aangenomen en die gaat over het, naast nationale veiligheid, ook strategische autonomie meewegen bij de aanpassing van de Wet vifo.

  • Op 20 januari 2026 heeft de minister van VWS de Tweede Kamer geïnformeerd (27529 nr 356) over de stand van zaken van de implementatie van de EHDS. De minister wil een nieuw zbo oprichten waarin de taken van de ADG en de HDAB zullen worden ondergebracht. De Wegiz zal worden aangepast door daarin de zelfbeoordeling op te nemen als conformiteitssystematiek.

  • Op 20 januari 2026 heeft de minister van VWS de Tweede Kamer geïnformeerd (27529 nr 355) over de voortgang van de Agenda Databeschikbaarheid in de Zorg. De realisatie van plateau 1 van de Nationale Visie en Strategie van het gezondheidsinformatiestelsel (NVS) loopt vertraging op omdat de beschikbare capaciteit van zowel de zorgleveranciers als van de ICT-leveranciers te beperkt is. Vorig jaar zijn 3 ontwikkelpartners geselecteerd die een meer gebruiksvriendelijke Persoonlijke Gezondheidsomgeving (PGO) moeten bouwen zodat meer gezondheidsgegevens voor burgers worden ontsloten.

  • Op 16 januari 2026 heeft de minister van Buitenlandse Zaken de Verordening Europese Business Wallet (22112 nr 4232) naar de Tweede Kamer gezonden. Dit onderdeel van het Digitaal Pakket beoogt een digitaal stelsel te creëren waarmee organisaties, bedrijven en overheden elkaar kunnen identificeren, authentiseren en onderling veilig gegevens en documenten kunnen uitwisselen. Het moet leiden tot lastenverlichting voor bedrijven, maar het kabinet vraagt wel aandacht voor onevenredig hoge uitvoeringslasten voor publieke organisaties en medeoverheden. Ook heeft Nederland nog vragen over de inrichting van het toezicht, de beveiligingseisen en de certificering.

  • Op 13 januari 2026 heeft de minister van J&V het rapport Evaluatie Wet computercriminaliteit III. Een empirisch onderzoek naar de toepassing in de praktijk (34372 nr 32) naar de Tweede Kamer gezonden. Die wet trad 1 maart 2019 in werking en introduceerde 5 strafbaarstellingen (waaronder grooming) en 2 opsporingsbevoegdheden (waaronder hacking). Een beleidsreactie volgt nog. 

  • Op 12 januari 2026 hebben de minister van EZ en de staatssecretaris van BZK de vragen beantwoord (21501-33 nr 1185) die de Tweede Kamer had gesteld tijdens het debat over de Telecomraad. De vragen hadden o.a. betrekking op de afhankelijkheid van big tech en over de Omnibusvoorstellen.

  • Op 12 januari 2026 hebben de minister van EZ en de staatssecretaris van BZK het resterende deel van de vragen beantwoord (21501-33 nr 1184) die de Tweede Kamer had gesteld over de Omnibus AI en de Omnibus Digitaal.

  • Op 12 januari 2026 hebben de minister van EZ en de staatssecretaris van BZK het verslag van de Telecomraad van 5 december (21501-33 nr 1183) aan de Tweede Kamer aangeboden. Daar zijn o.a. beleidsdebatten gevoerd over de handhaving van de DSA en over cybersecurity.

  • Op 19 december 2025 hebben de ministers van BZK en Defensie de Tweede Kamer geïnformeerd (36263 nr 46) over de invoeringstoets van de Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma. Over het algemeen lijkt de wet, die per 1 juli 2024 deels van kracht werd, te voldoen aan de verwachtingen. Soms duurt de beoordeling van een verzoek om toestemming door TIB te lang en het vernietigen van niet-relevante bulkgegevens gebeurt soms te vroeg.

  • Op 19 december 2025 heeft de staatssecretaris van BZK gereageerd (36719 nr 3 en 36768 nr 3) op de initiatiefnota’s over online kinderrechten en over een digitaal kinderwetje. Hij gaat in op de voorgestelde maatregelen om de rechten van kinderen (online) beter te beschermen. 

  • Op 19 december 2025 heeft de staatssecretaris van BZK gereageerd (26643 nr 1452) op het rapport De prijs van gratis Internet. De huidige praktijk biedt nog onvoldoende bescherming egen risico’s van online tracking. Hij schetst de voor- en nadelen van systeemverandering richting contextueel adverteren en richting betaalde online diensten, maar het is aan een nieuw kabinet om keuzes te maken.

  • Op 19 december 2025 hebben de minister van EZ en de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 1451) over de voortgang van de AI-fabriek en over de verkenning naar de mogelijkheden van deelname aan het AI-gigafabriekeninitiatief.

  • Op 19 december 2025 heeft de minister van Buitenlandse Zaken de Data Unie Strategie (22112 nr 4227) naar de Tweede Kamer gezonden. Dit onderdeel van het Digitaal Pakket beoogt kwalitatief hoogwaardige data beschikbaar te maken voor het trainen van AI, het stroomlijnen van digitale wetgeving en betreft het strategisch internationaal databeleid in relatie tot landen buiten de EU. Het kabinet vindt wel dat er aandacht moet zijn voor het verduurzamen van de digitale infrastructuur en het heeft vragen over de rolverdeling tussen een Europese helpdesk en het nationale toezicht. Ook vindt het kabinet investeren in de bescherming van bedrijfsgevoelige data en intellectueel eigendom een belangrijk aandachtspunt.

  • Op 18 december 2025 heeft de regering het voorstel voor de Uitvoeringswet verordening cyberweerbaarheid (36875 nrs 1-4) naar de Tweede Kamer gestuurd. De CRA is al op 10 december 2024 in werking getreden. Deze wet regelt de aanwijzing van uitvoeringsorganen, het inrichten van toezicht en handhaving en de rechtsbescherming. De RDI zal optreden als aanmeldende autoriteit en markttoezichthouder. Het NCSC zal optreden als meldpunt bij actief uitgebuite kwetsbaarheden en ernstige incidenten.

  • Op 18 december 2025 heeft de minister van Defensie het jaarplan 2026 van de MIVD (29924 nr 289) naar de Tweede Kamer gezonden. Naast de statelijke doelstellingen richt de MIVD zich op diverse thema’s waaronder het verstoren en openbaren van cyberoperaties.

  • Op 18 december 2025 heeft de staatssecretaris van BZK de Verzamelbrief digitalisering december 2025 (26643 nr 1450) naar de Tweede Kamer gezonden. De brief bevat een grote variatie onderwerpen waaronder vervolgstappen rond de implementatie van de eIDAS-verordening en een gestandaardiseerde methodiek voor opdrachtgevers van pentesten. Medio 2026 zal een raamovereenkomst voor pentesten worden afgesloten waarbij de eisen en voorwaarden gebaseerd zijn op MIAUW maar deels gewijzigd en aangevuld.

  • Op 17 december 2025 hebben de bewindslieden van J&V het verslag van de JBZ-raad van 8 en 9 december (32317 nr 987) aan de Tweede Kamer aangeboden. Er is o.a. gesproken over de simplificatie van de AVG. Nederland gaf aan dat vereenvoudiging gepaard moet gaan met een impact assessment en advies van de EDPB.

  • Op 15 december 2025 heeft de minister van J&V de vragen beantwoord (36850-VI nr 4) die de Tweede Kamer had gesteld over de Najaarsnota J&V, voor zover het onderwerpen betreft die zien op digitalisering.

  • Op 15 december 2025 hebben de ministers van Defensie en Buitenlandse Zaken de Tweede Kamer geïnformeerd (33694 nr 71) over de stand van zaken bij de internationale inzet voor het verantwoord gebruik van AI in het militaire domein.

  • Op 15 december 2025 heeft de staatssecretaris van BZK het rapport Cyberweerbaarheid binnen gemeentegrenzen (26643 nr 1447) aan de Tweede Kamer aangeboden. Het rapport geeft een overzicht van het lokale cybersecuritylandschap op het gebied van beleid, uitvoering en toezicht voor 4 incidentcategorieën. Daarnaast geeft het zicht op behoeften om het landschap verder te ontwikkelen. De brief bevat acties om daaraan invulling te geven.

  • Op 12 december 2025 heeft de minister van BZK de vragen beantwoord (36850-VII nr 3) die de Tweede Kamer had gesteld over de Najaarsnota BZK voor zover die ziet op digitale zaken. Het zijn 5 vragen die specifiek over BZK gaan en 37 overkoepelende vragen. Vraag 28 gaat over het onderzoek op basis van de IDRS. De verkenning zal worden uitgevoerd door ECP en start in januari 2026. De kosten zijn begroot op ca. € 80.000.

  • Op 12 december 2025 hebben de ministers van Buitenlandse Zaken en EZ en de staatssecretaris van BZK de kabinetsreactie (26643 nr 1445) aan de Tweede Kamer aangeboden op het AIV-advies over AI in het buitenlandbeleid. Per aanbeveling staat beschreven wat het huidige kabinet doet aan internationaal en Europees AI-beleid.

  • Op 12 december 2025 heeft de minister van Buitenlandse Zaken de Omnibus AI en de Omnibus Digitaal (22112 nr 4223) naar de Tweede Kamer gezonden. De Omnibus AI wijzigt de AI-verordening. De Omnibus Digitaal wijzigt regelgeving rondom data (o.a. Dataverordening, AVG, ePrivacyrichtlijn) en richt een Europees centraal meldpunt in voor incidentmeldingen. Het kabinet zal de Commissie opheldering vragen over de wijziging van de definitie van persoonsgegevens en van bijzondere persoonsgegevens omdat die risico’s voor de privacy creëren als die worden gebruikt voor het trainen van AI. Het meldpunt verplaatst de afhandeling van incidenten naar EU-niveau terwijl sommige meldingen gaan over nationale veiligheid wat een exclusieve competentie van lidstaten is. 

  • Op 11 december 2025 heeft de minister van EZ de vragen beantwoord (36850-XIII nr 4) die de Tweede Kamer had gesteld over de Najaarsnota EZ, voor zover het onderwerpen betreft die zien op digitalisering. 

  •  Op 9 december 2025 heeft de minister van EZ de invulling van diverse moties en een toezegging uit het overleg van 2 juni over de initiatiefnota Wolken aan de horizon (36574 nr 18) naar de Tweede Kamer gezonden. Daarbij informeert hij de Kamer over een nieuw onderzoek naar de heterogeniteit en diversiteit van de Nederlandse cloudsector.

  • Op 9 december 2025 heeft de minister van J&V de Tweede Kamer geïnformeerd (29911 nr 490) over de doorontwikkeling van het Plan van aanpak Online Fraude. Met de Fraudehelpdesk, een private stichting, lopen gesprekken voor samenwerking met andere partijen.

  • Op 9 december 2025 heeft de minister van Financiën de Tweede Kamer geïnformeerd (22112 nr 4219) over de stand van zaken rondom verschillende Europese wetgevingsdossiers die raken aan financiële markten en het betalingsverkeer. Er is een politiek akkoord bereikt over Omnibus I. Het beperkt rapportageverplichtingen en vermindert de lasten voor ondernemingen. Lidstaten krijgen de optie om beursgenoteerde ondernemingen, die straks niet langer onder de reikwijdte van de CSRD vallen, versneld te ontzien. Auditkantoren die assurance willen uitvoeren op duurzaamheidsrapportages hoeven niet aan dezelfde eisen te voldoen als kantoren die financiële audits uitvoeren. Eind november is een politiek akkoord bereikt over de herziene richtlijn en verordening betaaldiensten (PSD3 en PSR).