De implementatie van NIS2: uitdagingen en verschillen tussen Europese lidstaten
De NIS2-richtlijn heeft als doel het cyberbeveiligingsniveau binnen de Europese Unie te verhogen, bedreigingen voor netwerk- en informatiesystemen te beperken en de continuïteit van essentiële diensten te waarborgen. Hoewel de richtlijn een risico-gebaseerde aanpak voorschrijft, blijkt in de praktijk dat verschillende lidstaten moeite hebben met een volledige en consistente implementatie.
De risico-gebaseerde aanpak in nationale wetgeving
Hoewel artikel 21, leden 1 en 2 van NIS2 duidelijke kaders bieden, blijkt de nationale vertaling ervan vaak ontoereikend. Lidstaten focussen zich veelal op de kernbepalingen, maar negeren daarbij belangrijke overwegingen. Hierdoor passen organisaties een onvolledige risico-gebaseerde aanpak toe, wat de effectiviteit van de richtlijn ondermijnt en leidt tot uiteenlopende interpretaties binnen de EU.
All-hazards versus risk-based approach
De Europese Commissie verwijst in haar richtlijnen naar een ‘all-hazards approach’, zoals beschreven in overweging 79 en artikel 21, lid 2 van NIS2. Dit concept kent echter fundamentele beperkingen:
- Niet alle gevaren zijn relevant voor elke organisatie;
- Het is onmogelijk om alle potentiële risico’s en toekomstige dreigingen vooraf te identificeren;
- Volledige beveiliging is nooit haalbaar;
- Een all-hazards approach kan de evenredigheid van maatregelen ondermijnen.
Hoewel artikel 21 lid 1 en 2 van NIS2 een duidelijke kaders biedt, blijkt de nationale invulling vaak onvolledig. Lidstaten richten zich voornamelijk op deze bepalingen en nemen slechts enkele overwegingen mee, waardoor entiteiten een onvolledige risico-gebaseerde aanpak hanteren. Dit belemmert de verwezenlijking van de doelstellingen van de richtlijn en kan leiden tot inconsistente naleving binnen de EU.
Uitdagingen en juridische Vragen
Naast de implementatiebeperkingen zijn er juridische en praktische obstakels zoals:
- Rechtsonzekerheid over beveiligingseisen.
- De complexiteit van de toeleveringsketen.
- Tijdige implementatie binnen lidstaten.
- Gedecentraliseerd toezicht, wat kan leiden tot interpretatieverschillen.
Onderzoek naar deze factoren en hun impact op NIS2 kan bijdragen aan verbeterde nationale wetgeving en consistentie binnen de EU.
Implementatie in Lidstaten
Een aantal Europese landen heeft al stappen ondernomen om NIS2 om te zetten in nationale wetgeving:
Nederland
De implementatie van de Cyberbeveiligingswet (Cbw/NIS2) is vertraagd en wordt nu verwacht in het derde kwartaal van 2025. Tot die tijd hoeven organisaties zich nog niet aan de verplichtingen uit de richtlijn te houden, maar sommige bepalingen hebben al rechtstreekse werking. De overheid benadrukt dat bedrijven zich proactief moeten voorbereiden op de nieuwe regelgeving.
Duitsland
Duitsland heeft de NIS2UmsuCG opgesteld als nationale implementatiewet. De wet zal naar verwachting begin 2025 in werking treden, maar de exacte datum is nog niet definitief4. De implementatie omvat specifieke Duitse aanpassingen, zoals het behoud van de bestaande KRITIS-methodologie voor het identificeren van kritieke infrastructuren.
Zweden
(Nya regler om cybersäkerhet, SOU 2024:18)
Zweden werkt aan een nieuwe Cyber Security Act, gebaseerd op het onderzoek SOU 2024:64. De wet zal zowel de NIS2- als de CER-richtlijn implementeren en de bestaande wetgeving uit 2018 vervangen. De verwachte ingangsdatum is 1 juli 2026, met een overgangsperiode voor registratie en naleving.
Polen
Polen heeft op 7 mei 2025 een officiële waarschuwing van de Europese Commissie ontvangen vanwege het niet tijdig melden van de volledige omzetting van NIS2. De implementatie verloopt via een wijziging van de National Cybersecurity System Act, maar de exacte inwerkingtreding is nog niet vastgesteld.
Letland
Letland heeft de omzetting van NIS2 nog niet voltooid. De nationale strategie voor cyberbeveiliging is beschikbaar, maar de formele wetgeving is nog in ontwikkeling. De implementatie wordt gecoördineerd door het Ministerie van Defensie en andere relevante autoriteiten.
Conclusie
Hoewel de NIS2-richtlijn duidelijke richtlijnen biedt, verschilt de implementatie tussen lidstaten aanzienlijk. De effectiviteit van de risico-gebaseerde aanpak hangt sterk af van de nationale wetgeving en de manier waarop deze wordt gehandhaafd. Verdere analyse en samenwerking binnen de EU zijn noodzakelijk om cyberbeveiliging consistent en effectief te verbeteren.
