De Europese Commissie daagt Nederland, samen met Ierland, Spanje en Frankrijk, voor het Hof van Justitie van de Europese Unie wegens de te late omzetting van de NIS2-richtlijn voor cyberbeveiliging. Brussel vraagt het Hof daarbij om financiële straffen op te leggen.
Die boetes treffen de Nederlandse staat, niet individuele bedrijven: het gaat om een vast bedrag plus een dwangsom die per dag oploopt totdat de omzetting volledig rond is. Toch raakt de zaak ondernemers wel degelijk. Ze bevestigt dat de gemiste deadline geen papieren formaliteit is en dat de tijd om je organisatie op de nieuwe cyberregels voor te bereiden nu echt op is. De Cyberbeveiligingswet, die op 15 augustus in werking treedt en de reikwijdte oprekt van circa 1.000 naar ruim 8.000 organisaties, zet de klok definitief.

Anderhalf jaar waarschuwen ging eraan vooraf
De gang naar de rechter komt niet uit de lucht vallen. Lidstaten hadden tot 17 oktober 2024 de tijd om NIS2 in nationale wetgeving om te zetten. Toen dat bij een grote groep landen niet lukte, stuurde de Commissie eind november 2024 aanmaningsbrieven aan 23 landen, gevolgd door een met redenen omkleed advies aan negentien landen in mei 2025, de laatste formele waarschuwing voor een rechtszaak. Nederland, Ierland, Spanje en Frankrijk kregen hun wetgeving niet op tijd rond en belanden nu voor de hoogste rechter van de EU.
Wat dit betekent voor Nederlandse organisaties
De wrange kant is dat Nederland de wet inmiddels wel heeft. De Eerste Kamer nam de Cyberbeveiligingswet op 7 juli aan, en vanaf 15 augustus zijn de zorgplicht, de registratie bij het NCSC en een getrapte meldplicht geldend recht. De Hofzaak verandert die datum niet, maar maakt duidelijk dat er geen extra respijt in zit.
Voor een MKB-bedrijf dat nog moet uitzoeken waar het staat, telt vooral dat de invoering niet langer opschuift. Of je onder NIS2 valt hangt af van je sector en omvang, en bij een significant incident geldt een meldplicht in stappen van 24 uur, 72 uur en een maand. Organisaties moeten zelf beoordelen of ze binnen de reikwijdte vallen; wie dat uitstelt, staat op 15 augustus met lege handen.
Van "of" naar "hoe snel"
De zaak in Luxemburg is bovenal een signaal over hoe serieus Brussel de cyberregels neemt. Waar een gemiste omzettingsdeadline vroeger vaak jaren zonder gevolg bleef, koppelt de Commissie er nu een dwangsom-eis aan, nog voordat de nationale wet in werking is. Voor bedrijven verschuift de vraag daarmee van of ze iets met NIS2 moeten naar hoe snel ze klaar zijn. De richting is duidelijk, de handhaving wordt harder, en de voorbereiding begint niet op 15 augustus maar nu.
Veelgestelde vragen
Klaar voor NIS2, zonder chaos
De zorgplicht en de meldtermijnen van NIS2 vragen om processen en systemen die aantoonbaar op orde zijn. Ik denk met je mee, ontwerp de aanpak en bouw en automatiseer de techniek eromheen, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
