Wat is NIS2 en waarom is het relevant?
De NIS2‑richtlijn is de herziene versie van de oorspronkelijke NIS‑directive uit 2016, en trad op 17 oktober 2024 formeel in werking binnen de EU. Het doel is om de cyberweerbaarheid van belangrijke sectoren te versterken door strengere beveiligings- en meldplichtverplichtingen in te voeren, plus aansprakelijkheid voor bestuurders en boetes tot 10 miljoen euro of 2 % van de wereldwijde omzet.
Waarom Nederland nog niet volledig klaar is
Nederland heeft de EU-deadline van 17 oktober 2024 gemist. De omzetting naar de nationale Cyberbeveiligingswet (Cbw) via een openbaar consultatietraject eind juli 2024 is vertraagd, deels door inhoudelijke, technische en bestuurlijke complexiteit.
Minister Van Weel kondigde in juni 2025 aan dat de wetten (Cbw en CER) nu pas in het tweede kwartaal van 2026 in werking kunnen treden, mede door een demissionair kabinet en formatieprocessen. Andere bronnen spreken van Q3 2025 tot Q4 2025, maar het kabinet mikte expliciet op eind Q2 2026 .
Europese druk en handhavingsrisico
De Europese Commissie heeft op 7 mei 2025 een gemotiveerde opinie (reasoned opinion) gestuurd naar 19 lidstaten (waaronder Nederland) die nog niet hadden voldaan. Deze stelt een ultimatum tot 2 juli 2025, gevolgd eventueel door juridische stappen en boetes via het Hof van Justitie .
Tussenstap: het Cyberbeveiligingsbesluit
Het concept “Cyberbeveiligingsbesluit” (amvb) ligt bij de Tweede Kamer. Na consultatie (feb–mrt 2025) bevat dit besluit specifieke zorgplichtnormen voor sectoren zoals overheden, gezondheid en infrastructuur. Hiermee krijgen organisaties alvast handvatten om concreet beleid op te zetten.
Wat geldt tot de wet in werking treedt?
Tot de inwerkingtreding blijft de huidige Wbni van kracht voor bestaande entiteiten. Voor nieuwe entiteiten die uit breder onder NIS2 vallen, geldt voorlopig géén verplichting tot naleving. Ze kunnen wel vrijwillig ondersteuning krijgen via CSIRT’s.
Belangrijke deadlines en verwachte stappen
- 17 april 2025: Deadline voor lidstaten om lijsten van essentiële en belangrijke entiteiten aan te leveren – veel staten, waaronder Nederland, bleken deze deadline te missen.
- Mid 2025: Technische guidance gepubliceerd door ENISA op 26 juni 2025, inclusief praktische checklists en mappings van beveiligingsvereisten.
- Mit 2025 – Q2 2026: Nederland plant conversie wetsvoorstel en amvb-behandeling, gevolgd door formele inwerkingtreding van de Cbw en CER-wet.
Wat betekent dit voor organisaties?
Het Nederlandse NIS2-implementatietraject is vertraagd, maar blijft prioritair. Burgers en bedrijven moeten proactief voorbereiden via:
- Gap-analyse op basis van ENISA-guidance en amvb-normen.
- Implementatie van risicomanagement, incidentrespons en zorgplicht binnen jaarplannen.
- Voorbereiding op ingangsdatum via structurele budgetallocatie, security governance, beleidsontwikkeling en technische maatregelen.
Conclusie
Nederland had tot oktober 2024 de tijd om NIS2 te transponeren, maar werkt nog aan afronding van de Cyberbeveiligingswet en bijbehorend besluit. De Europese druk neemt toe via een voorlopige deadline van 2 juli 2025. Vooralsnog geldt de oude Wbni, maar organisaties doen er verstandig aan om alvast te anticiperen op de definitieve invoering in 2025–2026.