De invoering van NIS2 wordt in ons land uitgesteld naar medio 2026. Dat heeft tot veel en vooral negatieve reacties geleid.
De wetsvoorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten zijn onlangs bij de Tweede Kamer ingediend, meldt de NCTV in een bericht op de website. Met de wetsvoorstellen worden twee Europese richtlijnen in nationale wetgeving omgezet: de zogeheten NIS2-richtlijn (over cyberbeveiliging) en de zogeheten CER-richtlijn (over de weerbaarheid van kritieke entiteiten). Deze richtlijnen hebben als doel om de gehele weerbaarheid van de EU-lidstaten te versterken tegen allerlei dreigingen.
Inwerkingtreding
De Raad van State heeft in februari 2025 advies uitgebracht over beide wetsvoorstellen en nu zijn de wetsvoorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten naar de Tweede Kamer gestuurd. Na de behandeling van de wetsvoorstellen volgt, als de wetsvoorstellen worden aangenomen door de Tweede Kamer, nog de behandeling daarvan door de Eerste Kamer.
De eerder gecommuniceerde planning dat de wetsvoorstellen in het derde kwartaal van 2025 in werking treden is daardoor aangepast. De regering streeft ernaar dat de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten in het tweede kwartaal van 2026 in werking treden. De haalbaarheid hiervan is mede afhankelijk van de voortgang van de parlementaire behandeling van de wetsvoorstellen.
Tot de inwerkingtreding van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn en de NIS2-richtlijn. Met betrekking tot de Cyberbeveiligingswet hebben organisaties al wel in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen uit de NIS2-richtlijn. Denk hierbij bijvoorbeeld aan het ontvangen van bijstand bij een incident door een Computer security incident response team (CSIRT).
Wacht niet af, bereid je voor
De Rijksoverheid roept organisaties op om zich voor te bereiden op de inwerkingtreding van de wet- en regelgeving. De risico’s die organisaties lopen, doen zich immers nu al voor. Bekijk meer informatie over hoe organisaties zich kunnen voorbereiden op de komst van de Cyberbeveiligingswet, de Wet weerbaarheid kritieke entiteiten en onderliggende regelgeving.
Op LinkedIn wordt vooral negatief gereageerd. "Nou, daar gaan we weer. Nederland kiest weer voor uitstel en het bedrijfsleven mag het oplossen. Het begint lachwekkend te worden", schrijft bijvoorbeeld Erik Ploegmakers, CEO van DTX. "Dus wat gebeurt er nu? Bedrijven die niet onder de oude wet (NIS1) vielen, blijven voorlopig te kwetsbaar. Internationale partners stellen strengere eisen aan Nederlandse bedrijven dan onze eigen overheid doet. Ondertussen hebben de juridische afdelingen van grote bedrijven alvast hun eigen interpretaties, en leggen de eisen nu al neer bij hun leveranciers --> het MKB zit klem en probeert er het beste van te maken. Het is straks al twee jaar droogzwemmen en wachten, terwijl iedereen maar wat roept. De overheid roept “Bereid je vast voor”, maar biedt helemaal niets. Geen kaders, geen duidelijkheid, geen toezicht."
"Waar landen om ons heen de NIS2 (cyber) wet inmiddels hebben ingevoerd, schuiven wij de boel nog maar eens door, richting half 2026 dit keer. De officiële reden: “Het is complex.” Maar het is gewoon dezelfde wetgeving die België en Duitsland allang geïmplementeerd hebben."
Het gevolg, zo schrijft Ploegmakers: "Verhoogd risico op incidenten, frustratie in het veld, onverantwoorde investeringen en een snel afnemend vertrouwen in Nederland als digitaal handelsland."