De implementatie van de Europese NIS2-richtlijn in Nederland loopt aanzienlijke vertraging op. Hoewel de richtlijn op 17 oktober 2024 officieel van kracht werd binnen de EU, verwacht demissionair minister van Justitie en Veiligheid Van Weel dat de Nederlandse Cyberbeveiligingswet – die NIS2 omzet naar nationale wetgeving – pas in het tweede kwartaal van 2026 zal gelden.
Wie wil weten hoe de wet er precies uitziet, kan het wetsvoorstel 36 764 op de website van de Tweede Kamer raadplegen.
De NIS2-richtlijn (Network and Information Security Directive 2) is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. Waar NIS zich richtte op een beperkt aantal vitale sectoren, breidt NIS2 het speelveld flink uit. Onder de nieuwe richtlijn vallen onder andere bedrijven in transport, energie, financiële dienstverlening, digitale infrastructuur, afvalverwerking, zorg, voeding en waterbeheer.
NIS2 legt strengere eisen op rond risicobeheer, cybersecuritymaatregelen en incidentmelding. Op onze eigen pagina over NIS2-compliance en dienstverlening vanuit Hands on ICT lees je precies wat dit inhoudt en hoe wij organisaties hierbij ondersteunen.
Volgens demissionair minister Van Weel is de omzetting van de Europese richtlijn naar Nederlandse wetgeving complexer dan vooraf gedacht. Het vraagt zorgvuldigheid vanwege de brede impact op bedrijfsleven en overheid. Daarnaast speelt de kabinetsformatie en de demissionaire status van het huidige kabinet een remmende rol in het wetgevingsproces. Ook in andere EU-landen verloopt de implementatie moeizaam, wat de coördinatie bemoeilijkt.
Hoewel de NIS2-richtlijn formeel al van kracht is, geldt de Nederlandse wetgeving op basis van deze richtlijn voorlopig nog niet. Dit betekent dat handhaving en toezicht nog niet zijn ingericht. Maar: de verplichtingen komen eraan. En de Europese Commissie heeft duidelijk gemaakt dat lidstaten tempo moeten maken.
Voor organisaties die (mogelijk) onder NIS2 vallen, is dit hét moment om niet af te wachten, maar voor te sorteren. Wie nu al werkt aan compliance, voorkomt last-minute stress en laat aan klanten, leveranciers en toezichthouders zien dat cybersecurity serieus wordt genomen.
Breng je risico’s in kaart
Start met een cybersecurity risicoanalyse en beoordeel welke maatregelen al op orde zijn en waar nog hiaten zitten. Denk aan een NIS2 Gap Analyse waarbij we risico’s, kwetsbaarheden en verbeterpunten in kaart brengen. Maar we gaan verder dan dat.
Werk aan een incidentresponsplan
NIS2 vereist dat organisaties snel en volledig kunnen rapporteren over cyberincidenten. Zorg dat processen en contactpersonen duidelijk zijn.
Vergroot awareness bij medewerkers
Menselijk gedrag blijft een zwakke schakel in cybersecurity. Bewustwordingsprogramma’s en phishingtrainingen zoals onze Security awareness training met Phished helpen om risico’s te verkleinen.
Stel een verantwoordelijke aan
Een security officer of complianceverantwoordelijke helpt om structuur aan te brengen in je voorbereiding.
Laat je begeleiden door specialisten
Als Managed Services Provider helpt Hands on ICT organisaties niet alleen met inzicht in hun huidige situatie, maar ook met de daadwerkelijke uitvoering. We bieden o.a.:
Begeleiding bij het opstellen van beleid en procedures
Advies over technische maatregelen en tooling
Ondersteuning bij security awareness trainingen
Monitoring, rapportage en incidentmanagement
De vertraging van NIS2 betekent niet dat organisaties achterover kunnen leunen. Het biedt juist de kans om strategisch en gefaseerd toe te werken naar compliance. Bedrijven die hun cybersecuritybeleid nu al op orde brengen, staan straks niet alleen sterker bij invoering van de wet – ze bouwen ook direct aan vertrouwen bij klanten, partners en medewerkers.
