Nederlandse bedrijven lopen achter: helft van de organisaties onvoorbereid op Europese digitale wetten

Nederlandse bedrijven lopen achter: helft van de organisaties onvoorbereid op Europese digitale wetten

Nederlandse bedrijven lopen achter: helft van de organisaties onvoorbereid op Europese digitale wetten

De Barometer Digital Decade 2026 van ICTRecht laat zien dat in vrijwel elke sector de digitale basis achterloopt op wat de Europese wetgeving veronderstelt. De deadlines komen dichterbij, toezichthouders kondigen handhaving aan, maar de organisatorische gereedheid blijft achter, met concrete risico’s voor bedrijven én bestuurders tot gevolg.

De Barometer is gebaseerd op data van 516 Nederlandse organisaties uit acht sectoren.

Vijf kernbevindingen laten zien waar Nederland staat

1. AI is overal, niet alleen in de techsector. 80% van de productiesector gebruikt AI in producten, 52% van de zorg voor triage of diagnose, 48% van de financiële sector voor kredietbeoordeling, risicomodellering of personeelsbeoordeling. Veel van deze toepassingen kwalificeren onder de AI Act als hoog-risico, met deadlines die in december 2027 vallen, anderhalf jaar van nu.
2. Connected products zijn de norm, niet de uitzondering. 85% van de productiebedrijven maakt producten met software of internetconnectiviteit. Bij 78% genereert het product data met waarde voor de eindgebruiker. Tegelijk opereert 42% van diezelfde sector digitaal nog op basisniveau. De Cyber Resilience Act legt al vanaf september 2026 meldplichten op, over drie maanden, en treedt eind 2027 volledig in werking.
3. DORA stopt niet bij de financiële sector. De Digital Operational Resilience Act regelt sinds januari 2025 de weerbaarheid van banken, verzekeraars en pensioenfondsen. Maar via contractuele eisen werkt de wet door tot in de keten: 29% van de Nederlandse ICT-bedrijven en 100% van de datacenter-aanbieders levert aan financiële instellingen, en valt daarmee onder DORA’s regime voor kritieke ICT-dienstverleners.
4. De publieke sector, inclusief zorg en onderwijs, wordt door meer wetgeving tegelijk geraakt dan welke andere sector ook. Toegankelijkheidseisen, gezondheidsdata, digitale identiteit, AI en cybersecurity stapelen zich op. In vrijwel elke as scoort meer dan de helft van de publieke organisaties “ja” op relevantie. Tegelijk zit 41% van de publieke dienstverlening digitaal op basisniveau, en in het sociaal domein zelfs 65%.
5. De juridische adviseurs lopen zelf achter. 46% van de advocaten- en accountantskantoren werkt digitaal op basisniveau: kantoorautomatisering en handmatige processen. Het gemiddelde digitale volwassenheidsniveau in de sector is 2,5 op een schaal van 5; bij kleine en middelgrote kantoren slechts 2,2. Het is een sector die andere organisaties adviseert over digitale wetgeving, terwijl de eigen digitale basis achterblijft. Pas bij grote kantoren (250+ medewerkers) stijgt het gemiddelde naar 3,2.

“Bestuurders moeten nu keuzes maken”

“De Barometer laat zien dat de wetgevingsexposure van organisaties groter is dan de meeste denken,” zegt Arnoud Engelfriet, Chief Knowledge Officer van ICTRecht. “Niet omdat er meer wetten zijn dan verwacht, maar omdat de wetten breder raken dan het publieke debat doet vermoeden. De kloof tussen wat de wetgeving veronderstelt en wat de organisatorische realiteit is, vertaalt zich in concrete risico’s: producten die op de markt komen zonder dat duidelijk is of ze aan de eisen voldoen, zorginstellingen die AI inzetten voor diagnose zonder conformiteitsbeoordeling, ICT-leveranciers die aan banken leveren zonder zich bewust te zijn van de keteneisen die op hen rusten. Bestuurders moeten nu keuzes maken om niet verrast te worden door de toezichthouder.”

De gevolgen van achterblijven zijn niet abstract. Boetes onder de AI Act kunnen oplopen tot 7% van de wereldwijde jaaromzet. Onder NIS2 en DORA kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Voor producten die niet aan de Cyber Resilience Act voldoen, kan een verkoopverbod volgen. En naast handhaving speelt reputatieschade: een datalek of een teruggeroepen product haalt sneller de krant dan een nette compliance-rapportage.

Daarbij maakt de Nederlandse afhankelijkheid van Amerikaanse clouddiensten de inhaalslag extra complex. De Barometer sluit af met een essay van Arnoud Engelfriet, Chief Knowledge Officer van ICTRecht, over deze soevereiniteitsparadox: digitale soevereiniteit moet, is duur, en niemand wil als eerste bewegen.

Over de Barometer Digital Decade

De Barometer Digital Decade is een initiatief van ICTRecht, ontwikkeld in samenwerking met JuriBlox. Het onderzoek is uitgevoerd via de Digital Decade Roadmap, een online scan die tussen maart en juni 2026 is opengesteld. De scan blijft beschikbaar: organisaties die willen weten waar zij staan, kunnen binnen een kwartier een persoonlijk profiel opvragen met de wetgeving die op hen van toepassing is en concrete
eerste stappen. Nieuwe deelnemers vormen de basis voor de Barometer 2027.

Van de 588 ontvangen inzendingen vormen 516 inzendingen, na opschoning van ongeldige, dubbele en technisch incomplete invullingen, de basis voor de analyse. De respondenten komen uit acht hoofdsectoren: publieke diensten (inclusief zorg en onderwijs), ICT en media, financiële en zakelijke diensten, productie en industrie, handel en retail, cultuur en recreatie, infrastructuur en nutsvoorzieningen, en transport en logistiek.

Het rapport is vanaf nu hier gratis te downloaden: www.ictrecht.nl/hubfs/Kennisdocumenten/Onderzoek/Barometer%20Digital%20Decade%202026/Barometer%20Digital%20Decade%202026.pdf

De Digital Decade Roadmap is hier aan te vragen: https://www.ictrecht.nl/digital-decade-roadmap

Over ICTRecht

ICTRecht adviseert organisaties op het snijvlak van technologie, recht en compliance. Met meer dan 170 specialisten op vijf locaties in Nederland leveren we de juridische kracht en slimheid die organisaties nodig hebben om met vertrouwen te bewegen in een snel veranderend speelveld van Legal, Tech en Compliance.

Dit bericht is geplaatst op ons open Business channel en valt buiten de verantwoordelijkheid van de redactie.