Nederland riskeert dagelijkse boetes door te late cybersecuritywet NIS2

De Europese Commissie daagt Nederland voor het Hof van Justitie van de Europese Unie omdat het de NIS2-richtlijn te laat omzet in nationale wetgeving. De Nederlandse Cyberbeveiligingswet gaat op 15 augustus in. De EC daagt ook Ierland, Spanje en Frankrijk omdat zij de NIS2-deadline niet haalden en vraagt het hof om boetes op te leggen.

Europese lidstaten hadden tot 17 oktober 2024 de tijd om de EU-richtlijn voor cybersecurity om te zetten in nationale wetgeving. Nederland is een van de landen die deze deadline niet haalden, wat begin 2024 al duidelijk was. Nederland heeft de richtlijn nog steeds niet omgezet in wetgeving. Dat gebeurt pas op 15 augustus, werd gisteren bekend. De Europese Commissie (EC) daagt Nederland nu voor het Europese Hof.

Aanmaning en waarschuwing

De EC stuurde 23 EU-lidstaten op 28 november 2024 aanmaningsbrieven, omdat zij NIS2 te traag omzetten in wetgeving. Daarna stuurde de EC op 7 mei 2025 aan negentien resterende landen elk een 'met redenen omkleed advies'. Dat is een formele waarschuwing, die geldt als een tussenstap in een juridische procedure.

De aangeschreven landen, waaronder Nederland, hadden twee maanden de tijd om daarop te reageren 'en de nodige maatregelen te nemen'. Nederland, Ierland, Spanje en Frankrijk kregen de wetgeving voor het verbeteren van cybersecurity niet op tijd op orde. De EC daagt hen nu voor de hoogste rechterlijke instantie van de EU.

Dagelijkse boetes dreigen

Daarbij vraagt de EC het hof om boetes op te leggen aan de vier landen. Deze financiële straffen bestaan uit een vast bedrag plus dagelijkse boetes, die oplopen totdat de NIS2-omzetting volledig is afgerond. Het is niet bekend hoe hoog deze bedragen zijn.

EU-vlaggen voor Berlaymont-gebouw. Bron: Europese Commissie
EU-vlaggen voor Berlaymont-gebouw. Bron: Europese Commissie

Door Jasper Bakker

Nieuwsredacteur

08-07-2026 • 14:44

35

Submitter: Chocoball

Reacties (35)

Sorteer op:

Weergave:

Tot zover ik het het ooit meekreeg (IANAL) kan juridisch nog steeds aanspraak gemaakt worden op de inhoud van een richtlijn zolang een land dat zelf niet heeft geïmplementeerd maar dat wel moest implementeren. Is bekend of dat in de afgelopen twee jaar is gedaan in Nederland of de andere genoemde landen?
kan juridisch nog steeds aanspraak gemaakt worden op de inhoud van een richtlijn zolang een land dat zelf niet heeft geïmplementeerd maar dat wel moest implementeren
Ja, maar met wat mitsen en maren. Volgens het Hof van Justitie van de EU kunnen "in alle gevallen waarin de bepalingen van een richtlijn inhoudelijk gezien onvoorwaardelijk en voldoende nauwkeurig zijn, particulieren zich voor de nationale rechter op die bepalingen (...) beroepen tegenover de staat" als deze heeft verzuimd de richtlijn tijdig om te zetten.
Eigenlijk zou de EU bij de volgende review de harde kern van NIS2, dus alles wat toch al EU-breed gelijk moet zijn, gewoon in een verordening moeten zetten. Noem het NIS3 of wat dan ook.

Laat alleen de nationale uitvoering en uitzonderingen nationaal regelen, maar wel met die verordening als juridische basis. Dan heb je overal dezelfde basisregels en ben je van dat omzettingsgedoe per lidstaat af.
Ik begrijp niet waarom de landen er zo lang mee gewacht hebben, het is echt niet complex, en het is echt nodig om ons te beschermen tegen Russische of chinese aanvallen.

Nis2 is echt nodig voor onze samenleving te beschermen.
Het is Europees recht, in dat geval is een internationale dimensie nodig.

En het is alleen inzetbaar tegen een lidstaat, niet burgers of bedrijven.

Dus nee, het moet in regelgeving geankerd worden om nuttig te zijn.
Sorry maar dit klopt gewoon niet wat je zegt. Zie, over een andere EU richtlijn: Te late implementatie Richtlijn gelijke beloning: wat zijn de juridische gevolgen?
Nederland heeft in de verschillende verdragen mbt EU het EU recht op bepaalde gebieden (en daar is dit er een van) boven het nationaal recht geplaatst. in die zin dat de nederlandse staat verplicht is uit de EU voortkomende bindende richtlijnen en regelegeving over te nemen en dat EU burgers in Nederland zich op deze regelgevingen mogen beroepen vanaf de dag dat de termijn voor omzetting naar nationale wetgeving verstreken is.

op zich ook logisch de regelgeving waar het in dit soort gevallen om gaat is namelijk vooral bedoeld om één gelijke markt/regeltechnische eenheid te bevorderen. Als bedrijven in het ene land er zich niet aan hoeven te houden maar in een ander land wel dan zou dat natuurlijk juist het tegengestelde bereiken.
Nederland is vrij weinig gedaan.

Of dit komt door het constante geruzie in de politiek, was een effect heeft op het ambtenaarsapparaat. Of gewoon onderschat is. Dat kan ik nergens naar bovenhalen.

Terwijl volgens mij dit soort wetten vrij makkelijk over te nemen zijn en te implementeren zijn. Maar ik ben geen jurist.
Terwijl volgens mij dit soort wetten vrij makkelijk over te nemen zijn en te implementeren zijn.
Daar dacht de wetgever kennelijk anders over. Zo staat in de beslisnota bij de indiening van de wetsvoorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten:
De NIS2-richtlijn en de CER-richtlijn dienden met ingang van 18 oktober 2024 te zijn omgezet in nationale wet- en regelgeving. Nederland heeft deze richtlijnen niet tijdig kunnen omzetten. Dit komt doordat de omzetting naar nationale wetgeving een omvangrijk en complex traject is, waarbij grote zorgvuldigheid is vereist. Die grote zorgvuldigheid is vereist, omdat de Cbw en Wwke aanzienlijke impact hebben op tal van Nederlandse organisaties, zowel in de publieke als in de private sector. Er zijn ten opzichte van bestaande wetgeving meer en nieuwe sectoren en significant meer organisaties die moeten voldoen aan de nieuwe wetgeving. De toepasselijkheid op vele sectoren leidt er ook toe dat afstemming met bijna alle departementen vereist is. In het licht van de vertraagde omzetting wordt ook gewezen op de keuze van Nederland om, vanwege de hiervoor genoemde impact op organisaties, de implementatiewetsvoorstellen open te stellen voor internetconsultatie, hoewel dit bij implementatiewetgeving niet verplicht is. De internetconsultatie heeft waardevolle reacties opgeleverd. Naar aanleiding daarvan zijn de implementatiewetsvoorstellen op verschillende onderdelen aangepast en zijn de bijbehorende toelichtingen op punten aangevuld of verduidelijkt.
Er worden ook alle betrokken partijen genoemd:
Vanwege de inhoudelijke samenhang van de NIS2-richtlijn en de CER-richtlijn zijn de implementatiewetsvoorstellen gezamenlijk voorbereid en worden de beleidskeuzes die beide richtlijnen verlangen, integraal gemaakt in een interdepartementaal traject onder leiding van JenV. Deze implementatiewetsvoorstellen zijn door JenV (DWJZ en NCTV) voorbereid in samenwerking met BZK, DEF, EZ, FIN, IenW, KGG, LVVN, VWS (Cbw en Wwke) en OCW (alleen Cbw). Andere betrokkenen zijn: het Nationaal Cyber Security Centrum, het Digital Trust Center, sectorale CSIRT’s, DG Politie en Veiligheid van JenV, de AIVD, de MIVD, toezichthouders en brancheorganisaties.
Dat geldt alleen voor zover in de richtlijn is opgenomen dat lidstaten ervoor moeten zorgen dat je bepaalde rechten krijgt. Zie hierover deze tekst op de NCTV-website:
Welke rechten heb ik als entiteit na 17 oktober 2024 tot het moment dat de Cyberbeveiligingswet in werking treedt?

Entiteiten die onder de Wbni vallen behouden hun rechten, zoals de bijstand van het CSIRT, totdat de Cyberbeveiligingswet in werking treedt. De NIS2-richtlijn kent een soortgelijk recht op onder meer bijstand door een CSIRT. Entiteiten die onder de NIS2-richtlijn vallen, kunnen na 17 oktober 2024 een beroep doen op deze bijstand door een CSIRT. De bijstand bestaat in ieder geval uit het ondersteunen van de entiteit op het moment dat er sprake is van een dreiging of incident in een netwerk- en informatiesysteem. Het kan zijn dat entiteiten zowel onder de Wbni als van rechtswege onder de NIS2-richtlijn vallen. Die entiteiten kunnen vanaf 17 oktober 2024 op grond van zowel de Wbni als de NIS2-richtlijn een beroep doen op bijstand door een CSIRT. Mochten er veel entiteiten tegelijkertijd om bijstand vragen, dan zal er prioritering plaatsvinden door het CSIRT op basis van een risicoafweging.
De NIS2-richtlijn gaat echter niet zozeer over rechten, maar vooral over verplichtingen. Die gelden niet rechtstreeks; daarvoor is dus echt de implementatie in de nationale wetgeving nodig.

[Reactie gewijzigd door hherrie op 8 juli 2026 14:59]

Plichten om de maatschappelijk kritieke bedrijven te verplichten om hun te beschermen tegen aanvallen. Het is erg dat ze het niet eens van hun eigen deden terwijl ze maatschappelijke verantwoordelijkhesen hebben


Nis2 had er al lang moeten zijn.

[Reactie gewijzigd door sebastienbo op 9 juli 2026 00:36]

IANAL < het blijft raar dat je zoiets zo schrijft. Zeg dan gewoon dat je geen jurist bent.

[Reactie gewijzigd door thomasv op 8 juli 2026 16:07]

het eerste wat ik aan dacht was van kijk eerst even goed naar waarom het niet is gelukt, totdat ik het volgende las:
De aangeschreven landen, waaronder Nederland, hadden twee maanden de tijd om daarop te reageren 'en de nodige maatregelen te nemen'.
Dat suggereert dat ze nog niet klaar hoefden te zijn met de implementatie, maar wel dusdanig in moeten spannen om het voor elkaar te krijgen. Wat hebben alle verantwoordelijke in die tussentijd wel gedaan?
Het had zeker al klaar moeten zijn in 2024. Maar je kon uitstel vragen als je goede redenen had.

In mijn ogen heeft Nederland nooit een goede reden gehad. We zijn te laat begonnen en hebben het onszelf ontzettend moeilijk gemaakt door over meerdere lagen dit te gaan implementeren en ontzettend veel partijen erbij te trekken. Dat is een keuze geweest in de Nederlandse opzet die alles vertraagd heeft.

Nederland had ook kunnen zeggen: we voegen ons bij CyFun (het framework dat begonnen is bij Belgie en daarna door meerdere andere landen ook is gebruikt). Ik heb in 2024 bij NISDUC geweest en daar werd precies die vraag gesteld: waarom doet Nederland niet gewoon mee met CyFun. Het antwoord: "geen idee, dat was mogelijk wel een goed idee geweest".
De richtlijn dateerd van 2022. Je krijgt dan 2 jaar de tijd om die om te zetten in wetgeving. We zijn ondertussen 4 jaar verder. Dan mag het wel stilaan tijd beginnen worden dat het in orde is zou ik denken.
Ja precies, graag zou ik de EU willen bekritiseren maar kan ik nu moeilijk ongelijk geven. Als je het niet doet is er geen prikkel en blijft het maar een vrijblijvend verzoek.
Je kan veel van de Nederlandse politiek zeggen, maar niet dat ze lekker vlot reageren.
Er wordt niet vermeld of het gaat om een inspanningsverplichting of een resultaatverplichting, dus dat is onduidelijk. Verder had je dit wel eenvoudigweg kunnen uitstellen door bezwaar te maken en het verbaast me ook dat er niks mee gedaan lijkt.
Typisch dit. Weer zo'n gevalletje "we gaan met IE-DER-EEN lullen tot we blauw zien en ondertussen gebeurt er niets"

Met dit soort zaken moet je gewoon rücksichtlos zijn. Als er 1 bedrijf is in Nederland, groot of klein, die niet doordrongen is van de noodzaak tot een goede beveiliging (virus, malware, ransomware, hackers, datadiefstal) of denkt dat ze geen interessant doelwit zijn, nouja...dan verdienen ze het gewoon om slachtoffer te worden (kom er maar in met slachtoffer shaming!). Dan heb je gewoon de afgelopen 5 jaar onder een steen geleefd, geen kranten gelezen en weinig contact met de buitenwereld gehad.

En helaas kan ik voorbeelden van bedrijven die gewoon nog vragen/eisen van hun leveranciers dat ze gewoon met FTP inloggen om updates van de software te deployen. En die leverancier gaat er gewoon in mee.... Zou je ook niet moeten willen. En dan de bedrijven die denken dat hackers niets bij hen te zoeken hebben. Ook zoiets. Als ik morgen jouw ICT op slot zet, wat gebeurt er dan met je bedrijf? Precies ja, zoveel hebben die hackers bij jou te zoeken. Sleutelgeld.
Punt is dat het niets mag kosten. ICT bedrijven zijn te duur voor kleine ondernemingen, ZZP ers enzo, dat begrijp ik ook wel. Maar niet alle oplossingen hoeven duur te zijn. Investeer een paar uur of een dag in het op orde brengen van wat zaken: fatsoenlijke wachtwoorden, 2FA waar mogelijk, degelijke antivirus en zorg voor een goede backup. Dat zijn geen dingen die duizenden €'s kosten, maar verkleinen de kans op drama's aanzienlijk.

Ondertussen liggen er kansen voor ondernemende ICTers die zich zouden kunnen richten op die kleine ondernemers die er niets van weten/snappen en geen budget hebben voor een dure ICTer van zo'n groot buro. Die kunnen helpen met de meest simpele zaken in te richten. En in plaats van te kijken naar wat die maatregelen kosten, moeten ze ook eens kijken wat het kost als de boel in 1x weg is door ransomware, of je klantgegevens op straat liggen. Dat is duurder denk ik...
Dit laat ook wel zien dat er fundamenteel iets mis is in Nederland. Er is geen enkele vorm van verantwoording, hooguit aftreden en in een andere vorm terugkomen. Dit soort boetes ook, de belastingkraan wordt weer iets aangedraaid of er wordt bezuinigd op iets anders om dit weer te kunnen bekostigen. Het is zo laks allemaal, het lijkt wel of het de politici ook allemaal niet meer uitmaakt.
Dit zal dus wel met een sisser aflopen. Ik vind het persoonlijk wel belangrijk dat lidstaten vaart maken met de implementatie van EU-wetgeving. Anders ondergraven we zelf onze Europese orde. Is er eigenlijk argumentatie voor het laat invoeren van deze wetgeving. Het kan toch niet zomaar zijn dat meerdere landen hierop door hij ijs zakken?
Is er eigenlijk argumentatie voor het laat invoeren van deze wetgeving?
Vermoedelijk vooral de klassieke Nederlandse bestuursmix: not-invented-here-syndroom, de wet van de remmende voorsprong, “wij regelen dit zelf wel slimmer” en daarna de Nederlandse slag: eindeloos polderen omdat “het zeer complex” is. 8)7
Laat het boetebedrag dan gaan naar de handhavings instanties die toezien op de handhaving, voor extra resources en capaciteit dan blijft het nog enigszins nuttig.

Ja te laat, we zijn er nu (nog 38 dagen), er zijn geen doden gevallen (niet onderbouwd) enige jammere is, is dat Odido er mee weg is gekomen want in een land of tijdsgeest waar de NIS2 wel al effectief was had ik graag de uitwerking hiervan gezien op een clubje als Odido.
Odido is vast niet het laatste datalek dus je zal die uitwerking nog wel gaan zien.
Het is onredelijk om te denken dat het aantal datalekken drastisch zal verlagen dankzij de Cbw. Veel bedrijven, waaronder Odido, moeten al bepaalde cybersecurity activiteiten uitvoeren onder wetgeving.
Nederland kreeg in 2024 al aanmaningen en mag binnenkort misschien een boete betalen.

Als wij 2 maanden te laat zijn, omdat we het niet kunnen betalen, dan mogen we 50% extra afkloppen. Wil je in bezwaar, dan moet je ook van tevoren betalen. Dit is allemaal niet volgens het Europees recht, maar fuck de Nederlandse burgers, zal de overheid denken.
dus moet de boete naar de verantwoordelijke minister zijn salaris en niet naar dat van de burgers
Als ze dit nu al niet op orde krijgen, hoe denken ze dit dan te kunnen regelen wanneer ze de Amerikaanse cloud verlaten en alles weer zelf gaan hosten? De overheid moet erkennen dat zij momenteel niet over de benodigde expertise beschikt om een dergelijke infrastructuur adequaat en effectief te implementeren.
Het lijkt soms meer dat de organisatiecultuur niet passend is. De NL-overheid is gigantisch, het is bijna niet voor te stellen dat er onvoldoende kennis en expertise en zelfs infrastructuur aanwezig zou kunnen zijn. Zeker voor iets als dit.
Was netto betaler aan EU worden eventuele boetes bij de begroting weer keurig recht getrokken. Onnozel spelletje van rond pompen van geld.

Om te kunnen reageren moet je ingelogd zijn