Modern glazen gebouw met vlaggen van de Europese Unie ervoor
Nieuws8 juli · 14:483 min leestijd

Brussel daagt Nederland voor het EU-Hof om te late NIS2-omzetting

De Europese Commissie daagt Nederland, Ierland, Spanje en Frankrijk voor het EU-Hof wegens te late omzetting van de NIS2-cyberrichtlijn en vraagt om boetes. Voor Nederlandse organisaties bevestigt de zaak dat de Cyberbeveiligingswet op 15 augustus onverbiddelijk ingaat.

De Europese Commissie daagt Nederland, samen met Ierland, Spanje en Frankrijk, voor het Hof van Justitie van de Europese Unie wegens de te late omzetting van de NIS2-richtlijn voor cyberbeveiliging. Brussel vraagt het Hof daarbij om financiële straffen op te leggen.

Die boetes treffen de Nederlandse staat, niet individuele bedrijven: het gaat om een vast bedrag plus een dwangsom die per dag oploopt totdat de omzetting volledig rond is. Toch raakt de zaak ondernemers wel degelijk. Ze bevestigt dat de gemiste deadline geen papieren formaliteit is en dat de tijd om je organisatie op de nieuwe cyberregels voor te bereiden nu echt op is. De Cyberbeveiligingswet, die op 15 augustus in werking treedt en de reikwijdte oprekt van circa 1.000 naar ruim 8.000 organisaties, zet de klok definitief.

De zetel van het Hof van Justitie van de EU in Luxemburg, met de vlaggen van de lidstaten ervoor. Bron: Cedric Puisney / Wikimedia Commons (CC BY 2.0)
De zetel van het Hof van Justitie van de EU in Luxemburg, met de vlaggen van de lidstaten ervoor. Bron: Cedric Puisney / Wikimedia Commons (CC BY 2.0)

Anderhalf jaar waarschuwen ging eraan vooraf

De gang naar de rechter komt niet uit de lucht vallen. Lidstaten hadden tot 17 oktober 2024 de tijd om NIS2 in nationale wetgeving om te zetten. Toen dat bij een grote groep landen niet lukte, stuurde de Commissie eind november 2024 aanmaningsbrieven aan 23 landen, gevolgd door een met redenen omkleed advies aan negentien landen in mei 2025, de laatste formele waarschuwing voor een rechtszaak. Nederland, Ierland, Spanje en Frankrijk kregen hun wetgeving niet op tijd rond en belanden nu voor de hoogste rechter van de EU.

Wat dit betekent voor Nederlandse organisaties

De wrange kant is dat Nederland de wet inmiddels wel heeft. De Eerste Kamer nam de Cyberbeveiligingswet op 7 juli aan, en vanaf 15 augustus zijn de zorgplicht, de registratie bij het NCSC en een getrapte meldplicht geldend recht. De Hofzaak verandert die datum niet, maar maakt duidelijk dat er geen extra respijt in zit.

Voor een MKB-bedrijf dat nog moet uitzoeken waar het staat, telt vooral dat de invoering niet langer opschuift. Of je onder NIS2 valt hangt af van je sector en omvang, en bij een significant incident geldt een meldplicht in stappen van 24 uur, 72 uur en een maand. Organisaties moeten zelf beoordelen of ze binnen de reikwijdte vallen; wie dat uitstelt, staat op 15 augustus met lege handen.

Van "of" naar "hoe snel"

De zaak in Luxemburg is bovenal een signaal over hoe serieus Brussel de cyberregels neemt. Waar een gemiste omzettingsdeadline vroeger vaak jaren zonder gevolg bleef, koppelt de Commissie er nu een dwangsom-eis aan, nog voordat de nationale wet in werking is. Voor bedrijven verschuift de vraag daarmee van of ze iets met NIS2 moeten naar hoe snel ze klaar zijn. De richting is duidelijk, de handhaving wordt harder, en de voorbereiding begint niet op 15 augustus maar nu.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Klaar voor NIS2, zonder chaos

De zorgplicht en de meldtermijnen van NIS2 vragen om processen en systemen die aantoonbaar op orde zijn. Ik denk met je mee, ontwerp de aanpak en bouw en automatiseer de techniek eromheen, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Cerebras bouwt 200 megawatt Europese AI-rekenkracht tegen eind 2027
Nieuws
3 min

10 jul 06:24

Cerebras bouwt 200 megawatt Europese AI-rekenkracht tegen eind 2027

Cerebras bouwt tegen eind 2027 200 megawatt aan AI-rekenkracht in Europa, met datacenters in Frankrijk, Noorwegen en Finland. Een lokaal alternatief voor de Nvidia-infrastructuur waar bijna alle Europese AI-fabrieken op draaien, maar hoe soeverein is het?

VOLT lanceert Nederlandse AI-cloud met Dell en NorthC
Nieuws
5 min

9 jul 16:10

VOLT lanceert Nederlandse AI-cloud met Dell en NorthC

VOLT lanceert met Dell en NorthC een Nederlandse AI-cloud die in eigen handen is en vanuit Nederland draait. De eerste AI-fabriek opent in oktober 2026 in Amsterdam, met Rotterdam als geplande gigafabriek.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

E-facturatie wordt verplicht: waarom de deadline het verkeerde houvast is
Inzicht
8 min

4 jul 13:53

E-facturatie wordt verplicht: waarom de deadline het verkeerde houvast is

De verplichte e-facturatie voelt als een verre deadline die je kunt afwachten. Maar het echte werk begint nu al, gedreven door je buitenlandse klanten en je eigen software. Waarom denken in datums je op het verkeerde been zet.

Kamer zet druk op EU-VS datadeal na hofuitspraak: jouw cloudgrondslag onder de loep
Nieuws
4 min

4 jul 04:11

Kamer zet druk op EU-VS datadeal na hofuitspraak: jouw cloudgrondslag onder de loep

PRO-Kamerlid Kathmann stelt staatssecretaris Aerdts kritische vragen over de EU-VS datadeal na de Amerikaanse hofuitspraak. De kern: is minder afhankelijkheid van Amerikaanse techbedrijven de enige zekere route?

AI vergroot de NIS2-kloof: Nederlandse bedrijven zien compliance juist complexer worden
Nieuws
5 min

2 jul 16:24

AI vergroot de NIS2-kloof: Nederlandse bedrijven zien compliance juist complexer worden

Vers Veeam-onderzoek onder 300 Nederlandse beslissers laat zien dat AI het naleven van NIS2 en DORA juist ingewikkelder maakt. 62 procent verwacht meer complexiteit, terwijl de Cyberbeveiligingswet dit kwartaal bestuurders persoonlijk aansprakelijk gaat maken.