Deze digitale wetten gaan in 2026 de overheid raken

In 2026 krijgt vrijwel iedere organisatie in Nederland te maken met nieuwe digitale wetten. Zo wordt online bezwaar maken bij de overheid een recht, bestuurders worden persoonlijk verantwoordelijk gesteld voor cyberveiligheid en voor hoog risico-AI-systemen gelden strengere eisen. Dit zijn de digitale regels die dit jaar de praktijk veranderen.

Januari 2026: Wet modernisering elektronisch bestuurlijk verkeer (Wmebv)

Sinds 1 januari 2026 is de Wet modernisering elektronisch bestuurlijk verkeer (Wmebv) van kracht. Daarmee is digitaal communiceren met de overheid geen service meer, maar een wettelijk recht. Burgers en bedrijven mogen formele stukken zoals bezwaarschriften en vergunningaanvragen rechtsgeldig elektronisch indienen, via door bestuursorganen aangewezen digitale kanalen. Voor overheden betekent dit dat hun digitale loketten juridisch onderdeel zijn geworden van het bestuursproces. Ontvangstbevestigingen, betrouwbare tijdstempels, duidelijke aanwijzing van kanalen en zorgvuldige dossiervorming zijn niet langer nice-to-have, maar voorwaarden voor rechtsgeldige besluitvorming. Fouten in formulieren of portalen kunnen directe gevolgen hebben voor termijnen en rechtsbescherming.

Mei 2026: Cyberbeveiligingswet (Cbw)

In het voorjaar van 2026 wordt de Cyberbeveiligingswet van kracht, de Nederlandse uitvoering van de Europese NIS2-richtlijn. Deze wet richt zich op organisaties in vitale en belangrijke sectoren zoals energie, zorg, vervoer en financiële dienstverlening. Zij worden verplicht om structureel risico’s te beheersen, hun digitale weerbaarheid te organiseren en cyberincidenten binnen korte termijnen te melden. Voor veel organisaties betekent dit dat cybersecurity voor het eerst expliciet een wettelijke zorgplicht wordt. Bestuurders worden persoonlijk verantwoordelijk voor digitale weerbaarheid.

September 2026: Cyber Resilience Act (CRA)

De Europese Cyber Resilience Act brengt vanaf 2026 nieuwe productverplichtingen voor software en digitale producten. Fabrikanten en importeurs van onder meer apps, clouddiensten en slimme apparaten moeten hun producten aantoonbaar veilig ontwerpen en onderhouden. Vanaf september 2026 geldt een meldplicht voor actief misbruikte kwetsbaarheden en ernstige beveiligingsincidenten. Daarmee verschuift productveiligheid van een kwaliteitsvraagstuk naar een wettelijke plicht met toezicht en sancties.

Volgende fase Digital Services Act (DSA)

De Digital Services Act is sinds 2024 van kracht, maar 2026 wordt het jaar waarin de handhaving echt voelbaar wordt. Online platforms moeten dan aantoonbaar voldoen aan hun verplichtingen rond transparantie, klachtenafhandeling, moderatiebesluiten en risicobeperking. Voor grote platforms betekent dit onder meer uitgebreide transparantierapportages en structurele risicoanalyses. De vrijblijvendheid is voorbij: tekortkomingen worden steeds vaker beboet.

Volgende fase Europese AI Act

Dit jaar gaat een relevant deel van de Europese AI Act daadwerkelijk gelden. Systemen met een onaanvaardbaar risico werden in 2025 al niet meer toegestaan. Vanaf 2 augustus 2026 worden onder meer de belangrijkste verplichtingen van kracht voor het gebruik en de ontwikkeling van zogeheten hoog-risico-AI-systemen. Dit zijn bijvoorbeeld algoritmes die worden ingezet bij uitkeringscontrole, selectieprocedures of toezicht. Organisaties die zulke systemen gebruiken of aanbieden moeten dan kunnen aantonen dat deze transparant zijn, goed worden gemonitord, geen discriminerende effecten hebben en onder menselijk toezicht staan.

Ook wordt een groot deel van de transparantie-eisen voor AI-toepassingen vanaf dat moment afdwingbaar. Daarnaast krijgt in 2026 het Europese stelsel van AI-governance en innovatiebegeleiding verder vorm. Lidstaten moeten werk maken van nationale toezichtstructuren en zogeheten regulatory sandboxes, waarin organisaties onder begeleiding van toezichthouders AI-toepassingen kunnen testen.