Europa sleept Nederland voor de rechter omdat vitale sectoren slecht beveiligd zijn
Den Haag, woensdag, 6 mei 2026.
De Europese Commissie daagt Nederland voor het Hof van Justitie wegens gebrekkige beveiliging van kritieke infrastructuur. Energie, ziekenhuizen, banken en drinkwater blijven kwetsbaar voor cyberaanvallen terwijl het kabinet traag handelt. Ironisch genoeg stuurt Nederland tegelijk gevoelige overheidsdata naar Amerikaanse techbedrijven - van DigiD tot belastinggegevens. Een burger kocht voor achttien euro de domeinnaam mijnoverheid.us omdat de regering zelf deze security-blunder over het hoofd zag. De nieuwe Cyberbeveiligingswet komt pas in 2026.
Kabinet erkent falen, maar handelt traag
Het kabinet van premier Rob Jetten (VVD, CDA en D66) erkent de tekortkomingen maar rechtvaardigt de vertraging door te wijzen naar een ‘complex en zorgvuldig af te ronden traject’ [2]. De Europese Commissie heeft Nederland formeel aangesproken en doorverwezen naar het Hof van Justitie omdat het land onvoldoende uitvoering geeft aan Europese regels voor de bescherming van vitale infrastructuur [1][2]. De kritiek richt zich op sectoren als energie, drinkwatervoorziening, gezondheidszorg, bankwezen en transport - diensten die bij uitval grote maatschappelijke ontwrichting zouden veroorzaken [2]. Terwijl ministers publiekelijk waarschuwen voor dreigingen uit Rusland, China en Iran, weigeren zij volgens critici de noodzakelijke wetgeving en maatregelen tijdig in te voeren [2]. De inlichtingendienst MIVD waarschuwt ondertussen voor een groeiende mix van cyberaanvallen, spionage en sabotage [2].
Nederlandse overheid stuurt gevoelige data naar Amerika
Ironisch genoeg stuurt de Nederlandse overheid massaal gevoelige data naar Amerikaanse techbedrijven terwijl Europa klaagt over gebrekkige beveiliging [3]. DigiD-gegevens gaan vanaf 7 mei naar Kyndryl in New York, de Belastingdienst stuurt data naar Adobe in Californië, en de Mijn Toeslagen-app draait op Microsoft Azure in Washington [3]. Van de 46000 ambtenaren werken er met Microsoft 365, en 207 van de 339 gemeentes gebruiken Google [3]. Een burger kocht voor slechts €18,99 de domeinnaam mijnoverheid.us omdat niemand van de Rijksoverheid, Logius of de gemeentes deze potentiële security-blunder had opgemerkt [3]. Hij maakte er een register van met 330 gescande sites, 41 dossiers en 982 bevindingen [3].
Nieuwe wetgeving komt pas in 2026
De Tweede Kamer stemde op 15 april in met de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten, maar beide wetten treden pas in het tweede kwartaal van 2026 in werking [4]. De Cyberbeveiligingswet implementeert de Europese NIS2-richtlijn en stelt verplichtingen als zorgplicht, meldplicht en registratieplicht voor cyberrisico’s [4]. Organisaties in vitale sectoren moeten zich nu al voorbereiden omdat een verwijzing naar het Hof kan leiden tot boetes of bindende maatregelen als Nederland niet alsnog voldoet aan EU-verplichtingen [2]. Het kabinet roept organisaties op zich zelf te wapenen tegen bedreigingen, terwijl het zelf voor de rechter wordt gesleept wegens nalatigheid [1][2].