Nederlandse implementatie NIS2 opnieuw vertraagd: reden tot zorg?

De Cyberbeveiligingswet, die voortvloeit uit de Europese NIS2-richtlijn, zal naar verwachting pas in de eerste helft van 2026 in werking treden. Dit blijkt uit een recente brief van demissionair minister van Justitie en Veiligheid David van Weel aan de Tweede Kamer. De vraag rijst of deze vertraging problematisch is voor de Nederlandse digitale weerbaarheid.

De Europese Commissie had de lidstaten opgedragen om NIS2 uiterlijk in oktober 2024 om te zetten in nationale wetgeving. Toch lijkt dat voor de meerderheid van de EU-landen onhaalbaar. België is een uitzondering: daar is de wet al aangenomen, zelfs ruim voor de deadline. Maar of daarmee direct een streng toezichtsregime is gestart, is niet evident. Tot nu toe zijn er in België nog geen incidenten bekend waarbij organisaties daadwerkelijk zijn beboet voor het niet naleven van de nieuwe regels. Dat kan verschillende dingen betekenen: mogelijk is het toezicht in de beginfase nog vergevingsgezind, is het niveau van cyberbeveiliging reeds voldoende hoog, of krijgen bedrijven eerst de kans om hun processen vrijwillig op orde te brengen.

Trage voortgang in Nederland: vertraging, maar geen stilstand

Nederland bevindt zich op dit moment nog in de voorbereidende fase. Er is nog geen wetsvoorstel goedgekeurd, al is de behandeling van de wet niet controversieel verklaard en ligt er dus geen formele blokkade. Minister Van Weel benadrukt dat hij hoopt dat zowel de Cyberbeveiligingswet als de Wet weerbaarheid kritieke entiteiten in het tweede kwartaal van 2026 kunnen worden ingevoerd.

De vertraging komt volgens Van Weel voort uit de complexiteit van de omzetting. Het betreft niet slechts een technische vertaling van een Europese richtlijn, maar een ingrijpende wetswijziging die grote impact zal hebben op tal van publieke en private organisaties. Er worden nieuwe sectoren onder de wet gebracht en veel meer organisaties zullen moeten voldoen aan strengere eisen op het gebied van digitale weerbaarheid.

Daarom is gekozen voor een uitgebreide, vrijwillige consultatieronde. Die heeft waardevolle inzichten opgeleverd, maar heeft de besluitvorming ook vertraagd. Toch is het uitstel op zichzelf niet direct zorgwekkend. De wet heeft vooral als doel om cybersecurity hoger op de bestuurlijke agenda te zetten. Zolang het onderwerp voldoende aandacht krijgt en er structurele verbeteringen plaatsvinden, wordt het doel van de wet op termijn toch bereikt.

CER-richtlijn: structurele toetsing van vitale diensten

Anders ligt het bij de Wet weerbaarheid kritieke entiteiten, die ook onder het pakket van NIS2 valt maar een ander doel dient. Deze wet richt zich op het vergroten van de weerbaarheid van aanbieders van essentiële diensten — zowel tegen natuurlijke als door mensen veroorzaakte risico’s. In feite gaat het om risico’s die de continuïteit van vitale processen in gevaar kunnen brengen.

De onderliggende CER-richtlijn verplicht lidstaten al tot actie, maar pas met nationale wetgeving krijgen organisaties duidelijke kaders opgelegd. Voor veel instellingen kan dat een noodzakelijke stok achter de deur zijn. Een eerdere invoering had wellicht eerder tot daadwerkelijke actie kunnen leiden, vooral bij partijen die nu achterblijven. Toch moet uitstel niet worden opgevat als vrijbrief voor passiviteit. Organisaties die serieus werk maken van hun weerbaarheid doen er goed aan om nu al voorbereidingen te treffen.

Conclusie: uitstel is geen ramp, maar ook geen reden tot gerustheid

Het uitstel van de implementatie van NIS2 in Nederland is begrijpelijk, gezien de complexiteit van de regelgeving en de reikwijdte ervan. Tegelijkertijd brengt het risico’s met zich mee als organisaties achterover leunen in afwachting van formele verplichtingen. De geest van de wet is helder: cybersecurity en weerbaarheid moeten een structureel onderdeel worden van governance en risicobeheer binnen vitale sectoren. Wie daar nú al mee begint, hoeft straks niet in paniek aan de slag.

Door: Drifter