Overslaan en naar de inhoud gaan

Forse boete van Europese Hof dreigt vanwege niet voldoen aan NIS2-verplichtingen

De Europese Commissie stuurt Nederland naar het Europese Hof, vanwege het niet voldoen aan de NIS2-verplichtingen. Nederland heeft de richtlijn nog steeds niet omgezet in nationale wetgeving en vormt met Frankrijk, Ierland en Spanje de Europese achterhoede op dit gebied. ‘Zelfs Hongarije, onder Orbán, heeft het beter voor elkaar dan wij,’ zegt Brenno de Winter, expert informatiebeveiliging. ‘Het is gewoon gênant.’

De NIS2-richtlijn beschrijft EU-cyberbeveiligingsstandaarden voor organisaties, bedrijven en instellingen in 18 kritieke sectoren, zoals zorg, energie, transport en de publieke sector, met als doel de digitale weerbaarheid en incidentresponscapaciteit te verbeteren. ‘Oftewel: gewoon de zaken op orde hebben’, zegt expert informatiebeveiliging Brenno de Winter de richtlijn.

De richtlijn is vertaald naar de Nederlandse Cyberbeveiligingswet (CBW), die op 7 juli werd aangenomen door de Eerste Kamer. Een dag later, op 8 juli, maakte de Europese Commissie (EC) bekend dat ze Nederland aanklaagt bij het EU-Hof wegens het niet (tijdig) omzetten van de NIS2-richtlijn in nationale wetgeving. EC vraagt het Hof om financiële sancties, zoals een boete en een dwangsom per dag totdat Nederland alsnog voldoet.

Deadlines niet gehaald

Nederland is maar liefst 21 maanden te laat met de CBW. Op 17 oktober 2024 had de Europese richtlijn al moeten zijn vertaald in landelijke wetgeving, de zogenaamde transpositie. Die deadline haalden we niet. Vervolgens stuurde de EC in november 2024 een officiële ingebrekestelling, in mei 2025 volgden dringende adviezen en in januari van dit jaar werd een cybersecuritypakket met gerichte NIS2-amendementen gepresenteerd, die de transpositie zou moeten verduidelijken en desgewenst vereenvoudigen.

'Als de luchtvaart zo losjes zou omgaan met veiligheidsprocedures als we in dit land doen met digitale veiligheid, dan was het huis te klein'

Brenno de Winter

Verplichting negeren

‘De NIS2-richtlijnen krijgen hier gewoon niet de prioriteit die ze verdienen’, zegt De Winter. ‘Er bestaat geen veiligheidscultuur in Nederland, je zou zelfs kunnen spreken van een negatieve compliance-cultuur.’ Naar aanleiding van zijn boek ‘Fundamenten van informatiebeveiliging’ ging De Winter zijn vliegbrevet halen, en daar leerde hij het nodige over veiligheidsprocedures. ‘Die zijn in de luchtvaart keihard. Als ik als piloot mijn checklist één keer oversla, krijg ik een berisping en de tweede keer mag ik gewoon niet de lucht in. Als de luchtvaart zo losjes zou omgaan met veiligheidsprocedures als we in dit land doen met digitale veiligheid, dan was het huis te klein. In luchtvaart staat veiligheid centraal, in IT-security lijkt het te gaan om: hoe komen we onder de verplichtingen uit.’

Op het menu

Overlegrondes op Europees niveau over de NIS-richtlijnen en de wetgeving die ermee samen hangt, zijn al jaren aan de gang. Ook daarbij speelt Nederland, weet De Winter, geen rol van belang. ‘We zijn niet betrokken. En als je bij dit soort overleggen niet aan tafel zit, dan sta je op het menu.’

Hij pleit voor een cultuuromslag, waarbij de nadruk moet liggen op professionaliteit en een volwassen houding ten van digitale veiligheid. ‘Dit is serieus. Nederland hobbelt helemaal achteraan, samen met Frankrijk, Spanje en Ierland. Zelfs Hongarije, onder Orbán, heeft het beter voor elkaar. Het is gewoon gênant.’

Van alle 27 EU-lidstaten had alleen België de NIS2 op tijd omgezet in nationale wetgeving; Kroatië had de richtlijn op de deadline in 2024 slechts gedeeltelijk geïmplementeerd. In juni 2025 had ongeveer twee derde van de 27 lidstaten de transpositie afgerond. Slechts vier achterblijvers, waaronder Nederland, zijn door de Europese Commissie naar het Europese Hof verwezen.

Oordeel van het Hof

Komen we als Nederland weg met een waarschuwing, omdat onze CBW is aangenomen voordat de verwijzing van de Commissie naar het Hof is verstuurd? ‘We schieten al bijna twee jaar te kort en daar zal het Europese Hof over moeten oordelen’, zegt De Winter. De CBW treedt op 15 augustus 2026 in werking, vanaf die datum gelden de nieuwe verplichtingen voor ruim achtduizend organisaties in Nederland.

Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in