De blauwe vlag met gele sterren van de Europese Unie
Nieuws23 juni · 10:315 min leestijd

Kabinet waarschuwt: NIS2 vereenvoudigen kan juist meer lasten opleveren

Het kabinet steunt het plan van Brussel om de NIS2-richtlijn te vereenvoudigen, maar waarschuwt dat het tegenovergestelde dreigt: meer certificeringslast en dubbele audits voor IT-dienstverleners en organisaties die onder de wet vallen.

Brussel wil de cybersecurityregels van de NIS2-richtlijn vereenvoudigen om de lasten voor bedrijven te verlichten. Het Nederlandse kabinet steunt dat doel, maar waarschuwt in antwoorden aan de Tweede Kamer voor een pijnlijk neveneffect: de vereenvoudiging kan juist tot meer complexiteit en meer certificeringslast leiden. Precies het omgekeerde van wat de Europese Commissie beoogt.

Voor elke IT-dienstverlener en elke organisatie die zich voorbereidt op NIS2-verplichtingen is dat een relevant signaal. De aanname dat een Europese simplificatieronde je werk lichter maakt, klopt hier niet automatisch.

Wat de Commissie wil veranderen

De herziening raakt zowel de Cybersecurity Act als de NIS2-richtlijn. De Commissie wil onder meer de definities van wie onder de regels valt verduidelijken, een nieuwe categorie 'small mid-cap' invoeren om de lasten voor middelgrote bedrijven te verlichten, de reikwijdte uitbreiden (denk aan aanbieders van de Europese identiteitswallet en zeekabelexploitanten), en certificering aanbieden als manier om aan te tonen dat je voldoet. Daarbij hoort maximale harmonisatie van de beveiligingsmaatregelen via uitvoeringshandelingen, zodat in heel de EU dezelfde eisen gelden.

Op papier klinkt dat als minder rompslomp. In de praktijk schuilt het addertje in de details.

Waarom het juist zwaarder kan worden

Het kabinet zet zijn vraagtekens vooral bij de rol van certificering. De kern, in de woorden van het kabinet: certificering mag geen papieren tijger worden en het toezicht niet vervangen. Een certificaat is een momentopname en mist actuele kwetsbaarheden die een echte audit wel boven tafel haalt. Als certificering bovendien de auditbevoegdheden van toezichthouders inperkt, levert dat niet minder werk op maar een extra verplichting bovenop het bestaande toezicht.

Voor wie in meerdere lidstaten actief is, stapelt dat op. Organisaties kunnen te maken krijgen met parallelle verplichtingen: een audit in het ene land en een certificeringstraject in het andere. De maximale harmonisatie die het moest oplossen, neemt tegelijk de nationale ruimte weg om bij specifieke dreigingen strengere eisen te stellen, iets waar het kabinet bezwaar tegen maakt vanwege de subsidiariteit. En de criteria om landen of leveranciers als 'hoog risico' aan te merken zijn nog onduidelijk, met geopolitieke gevolgen van dien.

Het kabinet noemt de voorgestelde invoeringstermijn van twaalf maanden niet haalbaar en vraagt om minimaal achttien maanden, plus opheldering over de kosten van periodieke hercertificering. Dat zijn precies de soort onzekerheden die een compliance-traject duur en traag maken.

Wat dit betekent voor jouw organisatie

De les is om niet blind te varen op het woord 'vereenvoudiging'. Een EU-simplificatieronde kan in de uitvoering net zo goed extra lasten verschuiven naar de markt, een patroon dat je ook zag toen het Europees Parlement met de AI Omnibus instemde en juist beschermingen verzwakte voordat ze golden. Wacht dus niet op een definitieve, lichtere versie van de regels.

Concreet: breng nu in kaart of je onder NIS2 valt of straks onder de uitgebreide reikwijdte, en behandel certificering als een mogelijke aanvulling op je beveiliging, niet als een vervanging ervan. De inhoudelijke weerbaarheid telt, ongeacht welke kant de regels op buigen. Wie de basis op orde heeft, een actueel overzicht van systemen, back-ups, toegangsbeheer en detectie, kan elke certificeringsvariant aan. Een goede start is om eerst zelf de vijf lagen van een cybersecurity-basischeck na te lopen voordat je in dure trajecten stapt. Compliance volgt dan op veiligheid, niet andersom.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Weerbaar voordat de regels landen

Of NIS2 nu zwaarder of lichter wordt, je cybersecurity moet inhoudelijk kloppen. Ik help je organisatie van begin tot eind: ik breng je risico's en verplichtingen in kaart, ontwerp de aanpak en richt back-ups, toegangsbeheer en monitoring in, waar het kan op je eigen infrastructuur.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Britse minister Cooper vergelijkt AI-risico met Hiroshima en dringt aan op wereldwijde regels
Nieuws
3 min

6 jul 02:10

Britse minister Cooper vergelijkt AI-risico met Hiroshima en dringt aan op wereldwijde regels

De Britse minister van Buitenlandse Zaken Cooper waarschuwt dat AI zonder wereldwijde afspraken een 'Hiroshima'-achtig risico vormt. Het blijft een oproep, geen wet: wat bindt Nederlandse bedrijven nu al?

VOLT lanceert Nederlandse AI-cloud met Dell en NorthC
Nieuws
5 min

9 jul 16:10

VOLT lanceert Nederlandse AI-cloud met Dell en NorthC

VOLT lanceert met Dell en NorthC een Nederlandse AI-cloud die in eigen handen is en vanuit Nederland draait. De eerste AI-fabriek opent in oktober 2026 in Amsterdam, met Rotterdam als geplande gigafabriek.

Brussel daagt Nederland voor het EU-Hof om te late NIS2-omzetting
Nieuws
3 min

8 jul 14:48

Brussel daagt Nederland voor het EU-Hof om te late NIS2-omzetting

De Europese Commissie daagt Nederland, Ierland, Spanje en Frankrijk voor het EU-Hof wegens te late omzetting van de NIS2-cyberrichtlijn en vraagt om boetes. Voor Nederlandse organisaties bevestigt de zaak dat de Cyberbeveiligingswet op 15 augustus onverbiddelijk ingaat.

Defensie neemt optie op 'gouden aandeel' in dronesoftware van Intelic: een primeur
Nieuws
5 min

4 jul 00:09

Defensie neemt optie op 'gouden aandeel' in dronesoftware van Intelic: een primeur

Defensie tekende met het Amsterdamse Intelic voor het eerst een contract met een optie op een 'gouden aandeel'. Het kabinet wil zo voorkomen dat unieke dronesoftware in buitenlandse handen valt. Wat betekent deze primeur voor Nederlandse techbedrijven?

AI vergroot de NIS2-kloof: Nederlandse bedrijven zien compliance juist complexer worden
Nieuws
5 min

2 jul 16:24

AI vergroot de NIS2-kloof: Nederlandse bedrijven zien compliance juist complexer worden

Vers Veeam-onderzoek onder 300 Nederlandse beslissers laat zien dat AI het naleven van NIS2 en DORA juist ingewikkelder maakt. 62 procent verwacht meer complexiteit, terwijl de Cyberbeveiligingswet dit kwartaal bestuurders persoonlijk aansprakelijk gaat maken.

AI en de AVG: het risico zit niet in het model, maar in je data
Inzicht
7 min

19 jun 19:05

AI en de AVG: het risico zit niet in het model, maar in je data

Bedrijven die AI weghouden van klantdata uit angst voor de AVG lossen het verkeerde probleem op. Het risico zit niet in de AI, maar in slordige dataomgang die AI alleen uitvergroot.