Nederland te laat met NIS2-implementatie: wet waarschijnlijk pas in voorjaar 2026 van kracht

De NIS2-richtlijn, in 2022 aangenomen door de EU, is het vernieuwde juridische kader om de cyberveiligheid en weerbaarheid van vitale infrastructuur en essentiële diensten te versterken. Het vervangt de eerdere NIS-richtlijn uit 2016 en breidt de scope aanzienlijk uit. Naast sectoren als energie, transport, banken en gezondheidszorg vallen nu ook onder meer overheden, ruimtevaart, producenten van kritieke goederen, voedselproductie, postdiensten en veel digitale dienstverleners onder de regels.

NIS2 stelt strengere eisen aan risicobeheer, beveiliging van toeleveringsketens en incidentmelding (binnen 24 uur). Ook worden bestuurders direct verantwoordelijk gehouden voor naleving en moeten zij periodiek cybersecuritytraining volgen.

Vertraging in Nederland

Hoewel de Nederlandse wet oorspronkelijk op 1 januari 2025 zou ingaan, is nu vrijwel zeker dat deze pas in het tweede kwartaal van 2026 van kracht wordt. De wettekst is gereed en er is brede politieke steun, maar de implementatie liep vertraging op. Druk vanuit Brussel neemt toe, aangezien Nederland formeel in overtreding is.

Sectoren bereiden zich voor

Ondanks de vertraging zijn veel sectoren al in beweging: meer dan honderd branches werken aan audits, certificeringen en verbeterd risicomanagement. Infrastructuur, zoals meldpunten en begeleidende normen, is grotendeels ingericht, onder meer via het NIS2 Quality Mark.

Een rapport van het Europese agentschap ENISA waarschuwt dat zes kritieke sectoren – waaronder IT-diensten, publieke administratie en gezondheidszorg – nog aanzienlijke uitdagingen kennen om aan NIS2 te voldoen. Daarentegen scoren elektriciteit, telecom en banken beter door bestaande strenge regelgeving en investeringen.

Niet-naleving van NIS2 kan leiden tot boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.