NIS2-omzetting in 2026: waar elke EU-lidstaat staat — en wat dit betekent voor grensoverschrijdend ondernemen

In een oogopslag

De NIS2-richtlijn (richtlijn (EU) 2022/2555) verplichtte elke EU-lidstaat om de wetgeving uiterlijk 17 oktober 2024 om te zetten in zijn nationale rechtsorde. Die deadline is gepasseerd — en alleen België, Kroatië, Italië en Litouwen haalden hem. Per mei 2026 hebben 22 van de 27 lidstaten omzettingswetgeving aangenomen, maar vijf — Frankrijk, Ierland, Luxemburg, Nederland en Spanje — bevinden zich nog in de wetgevingsprocedure. De Europese Commissie startte in november 2024 inbreukprocedures tegen 23 lidstaten en escaleerde op 7 mei 2025 naar met redenen omklede adviezen tegen 19 ervan. Voor grensoverschrijdend ondernemende organisaties betekent dit: uiteenlopende inwerkingtredingsdata, verschillende bevoegde autoriteiten, verschillende meldingsroutes en verschillende boetekaders — alles voor dezelfde onderliggende richtlijn. Dit artikel brengt de geverifieerde stand in alle 27 lidstaten in kaart aan de hand van primaire bronnen, identificeert de grensoverschrijdende valkuilen en biedt een praktisch raamwerk om binnen deze lappendeken te opereren.

Waarom de omzettingskloof een bedrijfsprobleem is en geen juridisch weetje

NIS2 is een richtlijn, geen verordening. Anders dan de AVG — die in de hele EU gelijktijdig van kracht werd vanuit één enkele tekst — moeten richtlijnen eerst worden omgezet in het nationale recht van iedere lidstaat voordat zij rechtsgevolgen sorteren. Iedere lidstaat bepaalt zelf welke autoriteit handhaaft, hoe incidenten in de praktijk worden gemeld en welke entiteiten als "essentieel" of "belangrijk" kwalificeren bovenop het minimum van de richtlijn (artikel 2, lid 2 staat een uitbreiding van de werkingssfeer uitdrukkelijk toe).

Dit ontwerp is in theorie verdedigbaar: lidstaten kennen hun eigen bestuurlijke structuren het best. In de praktijk creëert het operationele complexiteit voor iedere onderneming die in meer dan één land actief is. Een IT-dienstverlener met afnemers in Duitsland, Italië en Polen moet zich nu schikken naar drie omzettingswetten die alle uit dezelfde richtlijn voortvloeien maar in hun procedurele detail uiteenlopen. Een SaaS-platform met EU-brede gebruikers moet weten welke nationale autoriteit te informeren is bij een incident — onder artikel 26 hangt het antwoord af van de plaats van zijn hoofdvestiging, terwijl secundaire vestigingen parallelle verplichtingen kunnen activeren.

De deadline van oktober 2024 was bedoeld om harmonisatie af te dwingen. Dat is niet gebeurd. Per mei 2026 zitten vijf lidstaten nog met een ontwerpwet in procedure en heeft de Europese Commissie tegen 19 lidstaten met redenen omklede adviezen uitgebracht (de tweede fase van de inbreukprocedure, onmiddellijk voorafgaand aan verwijzing naar het Hof van Justitie van de EU). Bulgarije is volgens berichtgeving uit de sector verwezen naar het Hof van Justitie. Ondernemingen mogen uit deze vertraging echter geen coulance afleiden: zodra nationale wetgeving wordt aangenomen, hebben verschillende lidstaten korte of helemaal geen overgangsperiodes toegepast.

De praktische conclusie: kennis van de richtlijntekst volstaat niet. U moet UW nationale omzettingswet kennen — en die van elk land waar u opereert.

Geverifieerde omzettingsstatus per lidstaat (mei 2026)

Het volgende statusoverzicht geeft voor elk van de 27 lidstaten de omzettingswet, de datum van bekendmaking in het officiële staatsblad, de inwerkingtreding en de aangewezen bevoegde autoriteit weer. Iedere vermelding is geverifieerd aan de hand van het nationale staatsblad of de officiële website van de bevoegde autoriteit (zie Bronnen aan het einde). Dit is een bewegend beeld — verifieer de specifieke positie voordat u compliance-beslissingen neemt.

Omgezet en in werking (19 lidstaten)

• België — Loi/Wet van 26 april 2024 tot omzetting van NIS2, gepubliceerd in het Belgisch Staatsblad / Moniteur belge op 17 mei 2024; in werking getreden op 18 oktober 2024. Bevoegde autoriteit: Centrum voor Cybersecurity België (CCB). België was het eerste land dat met portaalmeldingen begon en verwijst naar het CyFun®-raamwerk als route naar conformiteit.
• Bulgarije — Закон за изменение и допълнение на Закона за киберсигурност, Държавен вестник nr. 17 van 13 februari 2026; in werking getreden op 13 februari 2026. Coördinator: Nationale Coördinator Cyberveiligheid. Bulgarije is volgens meerdere bronnen uit de sector vóór de aanname van de wet door de Commissie verwezen naar het Hof van Justitie in mei 2025.
• Kroatië — Zakon o kibernetičkoj sigurnosti, Narodne novine nr. 14/2024 van 14 februari 2024; in werking getreden op 15 februari 2024. Eerste lidstaat die omzette, acht maanden vóór de deadline. Bevoegde autoriteit: Nacionalni centar za kibernetičku sigurnost (NCSC-HR), binnen SOA.
• Cyprus — Network and Information Systems Security (Amendment) Law L. 60(I)/2025, gepubliceerd op 25 april 2025. Bevoegde autoriteit: Digital Security Authority (DSA). Onderworpen aan een met redenen omkleed advies van de Commissie van 7 mei 2025 (uitgebracht voordat de notificatie van de bekendmaking volledig was afgerond).
• Tsjechië — Zákon č. 264/2025 Sb. o kybernetické bezpečnosti, Sbírka zákonů 4 augustus 2025; in werking getreden op 1 november 2025. Een nieuwe zelfstandige wet (geen wijziging van de eerdere wet 181/2014). Bevoegde autoriteit: Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Meldtermijn van 24 uur; registratiedeadline eind december 2025.
• Denemarken — Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (LOV nr. 434 van 6 mei 2025), Lovtidende 7 mei 2025; in werking getreden op 1 juli 2025. Bevoegde autoriteit: Center for Cybersikkerhed (CFCS) onder Forsvarets Efterretningstjeneste, met sectorale autoriteiten voor specifieke domeinen. Registratiedeadline 1 oktober 2025 via Virk met MitID.
• Estland — Küberturvalisuse seaduse ja teiste seaduste muutmise seadus, Riigi Teataja december 2025; in werking getreden op 1 januari 2026. Bevoegde autoriteit: Riigi Infosüsteemi Amet (RIA). Werkingssfeer uitgebreid van ongeveer 3.500 naar tussen de 5.500 en 7.000 entiteiten. Overgangsperiode van drie jaar voor volledige conformiteit.
• Finland — Kyberturvallisuuslaki (Säädöskokoelma 124/2025), aangenomen op 13 maart 2025; in werking getreden op 8 april 2025. Gedecentraliseerd model: sectorspecifieke toezichthoudende autoriteiten, waarbij Liikenne- ja viestintävirasto Traficom het Nationaal Cyber Security Centrum als enig contactpunt herbergt. Registratiedeadline 8 mei 2025; deadline voor het operationele model voor risicobeheer 8 juli 2025.
• Duitsland — NIS-2-Umsetzungsgesetz (NIS2UmsuCG), BGBl. 2025 I Nr. 301, gepubliceerd op 5 december 2025; in werking getreden op 6 december 2025. Aanname Bundestag op 13 november 2025; Bundesrat op 21 november 2025. Bevoegde autoriteit: Bundesamt für Sicherheit in der Informationstechnik (BSI). Ongeveer 29.500 entiteiten in 18 sectoren. De vertraging van veertien maanden ten opzichte van de deadline werd veroorzaakt door de val van de Ampel-coalitie eind 2024.
• Griekenland — Νόμος 5160/2024, ΦΕΚ A' 188 van 27 november 2024; in werking getreden op 28 november 2024. Bevoegde autoriteit: Εθνική Αρχή Κυβερνοασφάλειας (Nationale Cybersecurity-Autoriteit — NCSA), opgericht bij Wet 5086/2024, onder toezicht van de Minister van Digitaal Bestuur. Uitvoerende ministeriële besluiten 1645/2025 en 1689/2025 zijn in de loop van 2025 uitgevaardigd.
• Hongarije — 2024. évi LXIX. törvény Magyarország kiberbiztonságáról (Wet LXIX van 2024 inzake de cyberveiligheid van Hongarije), Magyar Közlöny nr. 130 van 20 december 2024; in werking getreden op 1 januari 2025. Trekt Wet XXIII van 2023 in. Bevoegde autoriteit: Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH). Uitvoerend Regeringsbesluit 418/2024.
• Italië — Decreto Legislativo 4 settembre 2024, n. 138, Gazzetta Ufficiale Serie Generale nr. 230 van 1 oktober 2024; in werking getreden op 16 oktober 2024. Bevoegde autoriteit: Agenzia per la Cybersicurezza Nazionale (ACN), met sectorspecifieke autoriteiten. Italië heeft meer sectoren toegevoegd dan het minimum van de richtlijn en hanteert een doorlopende jaarlijkse registratie via het ACN-platform vanaf 1 december 2024.
• Letland — Nacionālās kiberdrošības likums (NKDL), Latvijas Vēstnesis juni 2024; in werking getreden op 1 september 2024. Bevoegde autoriteit: Nacionālais kiberdrošības centrs (Nationaal Cybersecurity Centrum) bij het Ministerie van Defensie; CERT.LV verzorgt de incidentrespons. Zelfidentificatieregister verplicht vanaf 1 april 2025; benoeming cybersecurity-manager plus eerste zelfevaluatie uiterlijk 1 oktober 2025.
• Litouwen — Kibernetinio saugumo įstatymas (gewijzigd), Teisės aktų registras juli 2024; in werking getreden op 18 oktober 2024. Bevoegde autoriteit: Nacionalinis kibernetinio saugumo centras (NKSC) onder het Ministerie van Nationale Defensie. Het uitvoeringsbesluit van de regering, aangenomen op 6 november 2024, definieert de technische en organisatorische vereisten.
• Polen — Ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, Dziennik Ustaw 2 maart 2026; in werking getreden op 2 april 2026. Aanname Sejm op 23 januari 2026; Senat op 28 januari 2026; presidentiële ondertekening op 19 februari 2026. CSIRT's (CSIRT GOV, CSIRT MON, CSIRT NASK) opereren onder de Minister van Digitale Zaken. Aanpassingsperiode van twaalf maanden tot 2 april 2027.
• Roemenië — Ordonanța de Urgență 155/2024, Monitorul Oficial 1334 van 30 december 2024; in werking getreden in januari 2025. Goedgekeurd en gewijzigd door Wet 124/2025, in werking getreden op 10 juli 2025. Bevoegde autoriteit: Directoratul Național de Securitate Cibernetică (DNSC). Roemenië heeft via een spoedordonnantie omgezet om aan de deadlinedruk te voldoen; registratiedeadline van 30 dagen geactiveerd in september 2025.
• Slowakije — Zákon č. 366/2024 Z. z., Zbierka zákonov 19 december 2024; in werking getreden op 1 januari 2025. Wijzigt de bestaande Wet 69/2018 inzake Cyberveiligheid in plaats van deze te vervangen. Bevoegde autoriteit: Národný bezpečnostný úrad (NBÚ); SK-CERT verzorgt de incidentrespons. Ongeveer 10.000 entiteiten binnen de werkingssfeer; JISKB-registratie verplicht vóór 1 maart 2025; volledige conformiteit vereist vóór 31 december 2026.
• Slovenië — Zakon o informacijski varnosti (ZInfV-1), Uradni list RS št. 40/25 van 4 juni 2025; in werking getreden op 19 juni 2025. Eén enkele wet die ook de Cyber Solidarity Act en de Cybersecurity Act (Verordening 2025/38) omzet. Bevoegde autoriteit: Urad Vlade Republike Slovenije za informacijsko varnost (URSIV); SI-CERT verzorgt de incidentrespons. Onderworpen aan een inbreukprocedure van de Commissie geopend in mei 2025. Eerste deadline voor zelfregistratie 19 december 2025.
• Zweden — Cybersäkerhetslag (SFS 2025:1506), uitgevaardigd in december 2025; in werking getreden op 15 januari 2026. Trekt de eerdere Informatieveiligheidswet (2018:1174) in. Gedecentraliseerd, sectorgeleid model: sectorspecifieke toezichthoudende autoriteiten (zoals PTS voor telecom), met MSB (Myndigheten för samhällsskydd och beredskap) als coördinator. Een aanvullende cybersecurityverordening wijst de toezichthoudende organen aan.

Omgezet maar inwerkingtreding nog uitstaand

• Oostenrijk — Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), BGBl. I Nr. 94/2025 van 23 december 2025; inwerkingtreding 1 oktober 2026 (vacatio legis van negen maanden). Bevoegde autoriteit: Bundesministerium für Inneres (BMI). Belangrijk om te weten: een eerder ontwerp "NISG 2024" werd op 3 juli 2024 door de Nationalrat VERWORPEN; een nieuwe coalitieregering moest het tweede ontwerp indienen, vandaar de lange vertraging.
• Portugal — Decreto-Lei n.º 125/2025, Diário da República 4 december 2025; inwerkingtreding 3 april 2026 (uitstel van 120 dagen). Keurt het nieuwe Regime Jurídico da Cibersegurança goed. Bevoegde autoriteit: Centro Nacional de Cibersegurança (CNCS). Aanpassingsperiode van twaalf maanden: entiteiten kunnen in het eerste jaar een tijdelijke kwijtschelding van sancties verzoeken bij aantoonbare goede trouw in hun nalevingsinspanning.

Omgezet (instrument bekendgemaakt, ministeriële inwerkingtreding nog uitstaand)

• Malta — Measures for a High Common Level of Cybersecurity across the European Union (Malta) Order, 2025 — Subsidiary Legislation 460.41 (Legal Notice 71 of 2025), bekendgemaakt op 8 april 2025. Bevoegde autoriteit: Critical Infrastructure Protection (CIP) Department onder het Ministry for Home Affairs. De materiële bepalingen worden afdwingbaar op data die de Minister via inwerkingtredingsbesluiten vaststelt.

In wetgevingsprocedure (vijf lidstaten)

• Frankrijk — Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (de "Resilience Bill"), die NIS2, de CER-richtlijn inzake de weerbaarheid van kritieke entiteiten en DORA in één omzettingswet combineert. Eerste lezing in de Sénat in maart 2025; stemming bijzondere commissie van de Assemblée nationale op 10 september 2025. Definitieve aanname wordt nu verwacht tijdens de buitengewone zitting in juli 2026; uitvoeringsbesluiten van ANSSI verwacht in Q2 2026. Aangewezen bevoegde autoriteit: Agence nationale de la sécurité des systèmes d'information (ANSSI). ANSSI heeft op 17 maart 2026 het Référentiel Cyber France (ReCyF) gepubliceerd als technisch voorbereidingsdocument.
• Ierland — National Cyber Security Bill 2024 (General Scheme bekendgemaakt op 30 augustus 2024). De Ierse algemene verkiezingen van 2024 onderbraken het wetgevingstijdpad; pre-legislative scrutiny loopt nog. Onderworpen aan een met redenen omkleed advies van de Commissie van 7 mei 2025. Aangewezen bevoegde autoriteit in het ontwerp: National Cyber Security Centre (NCSC), met sectorale toezichthouders waaronder ComReg.
• Luxemburg — Projet de loi 8364, neergelegd bij de Chambre des Députés op 13 maart 2024; aanvullend advies van de Conseil d'État december 2025. Wacht per mei 2026 op aanname door de Kamer. Onderworpen aan een met redenen omkleed advies van de Commissie van 7 mei 2025. Aangewezen bevoegde autoriteit in het wetsvoorstel: Institut Luxembourgeois de Régulation (ILR).
• Nederland — Cyberbeveiligingswet (Cbw), Wetsvoorstel 36764. De Tweede Kamer heeft op 15 april 2026 ingestemd; de stemming in de Eerste Kamer staat nog uit. Beoogde inwerkingtreding 1 juli 2026. Let op: de wet heet Cyberbeveiligingswet — niet "Wbni2" — en vervangt de bestaande Wbni in plaats van de naam voort te zetten. Het begeleidende wetsvoorstel Wet weerbaarheid kritieke entiteiten (Wwke) zet parallel de CER-richtlijn om. Bevoegde autoriteit: Nationaal Cyber Security Centrum (NCSC) onder het Ministerie van Justitie en Veiligheid, met sectorale toezichthouders.
• Spanje — Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. De Ministerraad heeft het ontwerp op 14 januari 2025 goedgekeurd; per mei 2026 in afwachting van parlementair debat in de Cortes Generales. Onderworpen aan een met redenen omkleed advies van de Commissie van 7 mei 2025; inbreukprocedure geopend in november 2024. Het ontwerp richt een nieuw Centro Nacional de Ciberseguridad (CNC) op onder het Algemeen Secretariaat van het Voorzitterschap, terwijl de bestaande CCN-CERT, INCIBE-CERT en ESPDEF-CERT hun sectorale rollen blijven vervullen.

Boetekaders in de lidstaten

Vrijwel iedere omzettingswet hanteert de minimumkaders van de richtlijn letterlijk: essentiële entiteiten — 10.000.000 EUR of 2 % van de totale wereldwijde jaaromzet, waarvan het hoogste; belangrijke entiteiten — 7.000.000 EUR of 1,4 % van de totale wereldwijde jaaromzet, waarvan het hoogste (artikel 34, leden 4 en 5 NIS2). Nationale variaties zijn beperkt en procedureel van aard, niet boetegerelateerd: Hongarije voegt een administratieve plafondstructuur toe van 50–350 miljoen HUF, en Roemenië drukt de plafonds zowel in euro als in percentage uit. Waar lidstaten sectorspecifieke historische maxima uit pre-NIS2-wetgeving hebben laten voortbestaan (bijvoorbeeld in energie of telecom), gelden die meestal naast de NIS2-plafonds en niet in de plaats daarvan. Beschouw de minimumkaders van de richtlijn als uw uitgangspunt voor risicomodellering en verifieer landenspecifieke overlay-bepalingen met nationale advocaten.

Inbreukactiviteit van de Europese Commissie

Op 28 november 2024 heeft de Commissie ingebrekestellingen verzonden aan 23 lidstaten wegens het niet volledig kennisgeven van de NIS2-omzetting (alle behalve België, Kroatië, Italië en Litouwen). Op 7 mei 2025 escaleerde de Commissie naar met redenen omklede adviezen tegen 19 lidstaten: Bulgarije, Tsjechië, Denemarken, Duitsland, Estland, Ierland, Spanje, Frankrijk, Cyprus, Letland, Luxemburg, Hongarije, Nederland, Oostenrijk, Polen, Portugal, Slovenië, Finland en Zweden. Bulgarije is volgens berichtgeving uit de sector verwezen naar het Hof van Justitie. Naarmate lidstaten in 2025 en 2026 omzettingswetgeving zijn blijven aannemen, zijn meerdere van die met redenen omklede adviezen feitelijk door de feiten ingehaald; andere (met name voor de vijf nog hangende lidstaten) blijven van kracht.

Het grensoverschrijdende compliance-mijnenveld

Indien uw organisatie in meerdere EU-lidstaten actief is, zijn dit de specifieke valkuilen die de huidige lappendeken creëert.

Valkuil 1: bij welke bevoegde autoriteit moet u melden?

Onder artikel 23 NIS2 leiden significante incidenten tot een vroege waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur en een eindrapport binnen één maand. Artikel 26 stelt de jurisdictieregels vast: een entiteit valt in beginsel onder het rechtsgebied van de lidstaat waar zij is gevestigd; voor entiteiten die in meerdere lidstaten actief zijn, is de "hoofdvestiging" de lidstaat waar de besluitvorming over het beheer van cybersecurityrisico's overwegend plaatsvindt. Wanneer die plaats niet kan worden bepaald of buiten de Unie ligt, geldt subsidiair het rechtsgebied van de lidstaat waar de cybersecurityactiviteiten worden uitgevoerd, en als laatste vangnet de lidstaat met het grootste aantal werknemers. Niet-EU-entiteiten die binnen de werkingssfeer vallende diensten leveren, moeten een vertegenwoordiger aanwijzen op grond van artikel 26, lid 3.

Praktische implicatie: bent u een SaaS-onderneming met hoofdkantoor in Duitsland en activiteiten in Frankrijk, Italië en Spanje, dan leidt een EU-brede cloudstoring tot melding bij het BSI als primaire bevoegde autoriteit. Of secundaire kennisgevingen aan ANSSI, ACN, INCIBE of een sectorale toezichthouder vereist zijn, hangt af van de entiteitsstructuur, van de contactpuntregelingen die in elk nationaal recht zijn aangewezen en van eventuele sectorale overlay. De veiligste benadering is een matrix van meldingsverplichtingen per land op te stellen voordat een incident zich voordoet.

Valkuil 2: uiteenlopende werkingssferen

NIS2 stelt minimumcriteria voor de werkingssfeer (middelgrote en grote entiteiten in de genoemde sectoren). Artikel 2, lid 2 staat lidstaten uitdrukkelijk toe om de werkingssfeer uit te breiden, en meerdere hebben dat gedaan. Italië heeft in D.Lgs. 138/2024 meer sectoren toegevoegd dan het minimum van de richtlijn. De Duitse NIS2UmsuCG dekt ongeveer 29.500 entiteiten in 18 sectoren. Hongarije hanteert bovendien een laag van "veiligheidsklassen" (basis, significant, hoog) bovenop het onderscheid tussen essentiële en belangrijke entiteiten. De Estse uitbreiding van de werkingssfeer verdubbelt de populatie gereguleerde entiteiten ten opzichte van NIS1 ruwweg.

Een organisatie kan in haar thuisland buiten de werkingssfeer vallen, maar onder de reikwijdte vallen voor activiteiten in een naburige lidstaat. Aannemen dat "wij zijn te klein voor NIS2" op basis van uitsluitend de richtlijntekst is een valkuil. Controleer altijd het nationale recht afzonderlijk.

Valkuil 3: boetekaders zijn grotendeels uniform — maar het procedurele detail verschilt

Zoals hierboven opgemerkt, hebben vrijwel alle lidstaten de minimumkaders van de richtlijn letterlijk overgenomen. De materiële variatie zit in de procedure, niet in de absolute hoogte: verschillen in de wijze waarop boetes tegen de omzet worden berekend, welke factoren autoriteiten meewegen bij het bepalen van het bedrag, of dwangsommen per dag de niet-naleving van bindende bevelen kunnen doen oplopen, en hoe administratieve sanctieprocedures samenlopen met strafrechtelijke aansprakelijkheid. Gebruik de plafonds van de richtlijn als ondergrens bij het modelleren van compliance-investeringen en verifieer landenspecifieke verzwaringsmechanismen bij nationale advocaten.

Valkuil 4: bestuurdersaansprakelijkheid verschilt

Artikel 20, lid 1 NIS2 schrijft voor dat het leidinggevend orgaan van essentiële en belangrijke entiteiten de maatregelen voor het beheer van cybersecurityrisico's goedkeurt, toeziet op de uitvoering ervan en aansprakelijk kan worden gesteld voor inbreuken. Lidstaten geven hieraan op verschillende manieren uitvoering. De Italiaanse D.Lgs. 138/2024 bepaalt uitdrukkelijk dat ACN aan bestuursleden van recidiverende essentiële entiteiten een tijdelijke "onbevoegdheid om bestuursfuncties uit te oefenen" als bijkomende administratieve sanctie kan opleggen. De Duitse NIS2UmsuCG voorziet in persoonlijke aansprakelijkheid van Geschäftsführer en Vorstand, met inbegrip van mogelijke persoonlijke boetes en tijdelijke verboden tot het uitoefenen van bestuursfuncties. De Nederlandse Cyberbeveiligingswet (zoals aangenomen door de Tweede Kamer in april 2026) escaleert van corrigerende bevelen naar boetes en diskwalificatie van verantwoordelijke bestuurders bij ernstige niet-naleving.

De persoonlijke blootstelling van uw CEO of CISO hangt dus deels af van waar uw statutaire zetel is en deels van de ernstdrempel die de nationale autoriteit hanteert. Breng dit in een vroeg stadium in kaart; ontdek het niet tijdens een handhavingsactie.

Valkuil 5: meldkanalen en talen

Iedere nationale autoriteit beheert haar eigen meldportaal: het Melde- und Informationsportal van het BSI in Duitsland, het MonEspaceNIS2-platform van ANSSI in Frankrijk (zodra het wetsvoorstel kracht krijgt), het ACN-platform in Italië, het INCIBE-CERT-systeem in Spanje, en NCSC.nl en english.ncsc.nl in Nederland. De meeste werken primair in de nationale taal van de lidstaat; het Nederlandse NCSC voorziet uitdrukkelijk in een volledig tweetalig Nederlands/Engels portaal. Voor andere lidstaten dient u uit te gaan van indiening in de nationale taal, tenzij de richtsnoeren van de autoriteit anders bepalen. Een EU-breed incident vereist daarom doorgaans meertalige melding binnen hetzelfde venster van 24 uur. Vooraf vertaalde meldsjablonen en lokale talenscripts besparen kritieke uren tijdens een lopend incident.

Een praktisch raamwerk om binnen de lappendeken te opereren

Wat moet een grensoverschrijdende onderneming in deze complexiteit concreet doen? Hieronder vindt u een zevenstappenraamwerk dat werkt ongeacht uw thuisland of sector.

Stap 1: breng uw EU-entiteit en operationele voetafdruk in kaart

Begin met een inventarisatie: waar bent u geregistreerd, waar hebt u werknemers, waar zitten uw klanten, waar uw onderaannemers? Voor elk land waar u materieel aanwezig bent, moet u bepalen of NIS2 van toepassing is en welk nationaal regime u bindt. Dit is geen exclusief juridische exercitie — zij vereist input van uw CFO, CISO en operationele leiding. Veel organisaties komen tot de ontdekking dat een Luxemburgse holdingstructuur Luxemburgse NIS2-verplichtingen activeert, zelfs als de operationele activiteit elders plaatsvindt.

Stap 2: bepaal uw hoofdvestiging op grond van artikel 26

Onder artikel 26 NIS2 is de "hoofdvestiging" voor de meeste entiteiten de EU-lidstaat waar de besluitvorming over het beheer van cybersecurityrisico's overwegend plaatsvindt. Dit is vaak uw HQ, maar kan daarvan afwijken — bijvoorbeeld wanneer uw SOC of het leidinggevend personeel voor informatiebeveiliging in een ander land zit. Leg deze vaststelling schriftelijk vast en laat haar door de juridische functie ondertekenen. Het bepaalt uw primaire relatie met de bevoegde autoriteit en vereenvoudigt de incidentmelding aanzienlijk.

Stap 3: bouw een compliance-matrix per land

Bouw voor elke lidstaat waar u opereert een gestructureerde compliance-matrix met:

• Juridische status (omgezet en in werking / omgezet, inwerkingtreding hangend / in wetgevingsprocedure)
• Naam van de bevoegde autoriteit en contactkanalen
• Meldingstermijnen (24 uur vroege waarschuwing, 72 uur incidentmelding, één maand eindrapport)
• Lokale uitbreidingen van de werkingssfeer voorbij het minimum van de richtlijn
• Toepasselijke boetekaders en eventuele procedurele overlays
• Mechanismen van bestuurdersaansprakelijkheid (vennootschapsboetes, persoonlijke boetes, verboden bestuursfunctie)
• Sectorspecifieke richtsnoeren gepubliceerd door de nationale autoriteit

Deze matrix is uw operationele commandocentrum. Wanneer een incident zich voordoet, raadpleegt uw incidentresponsteam de matrix en weet exact wie te informeren is, wanneer en hoe.

Stap 4: stel cybersecurityrisicobeheer in op richtlijnniveau

Artikel 21 NIS2 vereist "passende en evenredige technische, operationele en organisatorische maatregelen" op tien specifieke gebieden: beleid voor risicoanalyse, incidentbehandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, beveiliging bij de aanschaf, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, meting van effectiviteit, training, cryptografie, toegangscontrole en multifactorauthenticatie. Uw basisprogramma opbouwen om aan de tekst van de richtlijn te voldoen — en niet aan de implementatie van één enkel land — is de veiligste aanpak. Nationale wetten leggen daar aanvullende specifieke vereisten bovenop, maar de ondergrens van de richtlijn is uniform.

Stap 5: stress-test uw incidentmeldingscapaciteit

De verplichting tot vroege waarschuwing binnen 24 uur is de scherpste operationele toets van uw NIS2-paraatheid. De meeste organisaties onderschatten hoe snel deze klok begint te lopen: hij start zodra u op de hoogte bent van een significant incident, niet wanneer uw incidentresponsteam volledig is opgeschaald. U hebt voorbereidingsdocumenten, vooraf goedgekeurde besluitpaden en een meldsjabloon per lidstaat waar u opereert nodig.

Voer een simulatieoefening (tabletop) uit. Simuleer een significant incident in uw meest complexe multinationale scenario en meet uw tijd tot eerste melding. Overschrijdt u 20 uur, dan hebt u een probleem.

Stap 6: integreer beveiliging van de toeleveringsketen

Een van de meest veeleisende vernieuwingen in NIS2 ten opzichte van NIS1 is de formele uitbreiding naar leveranciers. Artikel 21, lid 2, onder d) vereist "beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten betreffende de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners." Dit betekent: uw kritieke leveranciers in kaart brengen, beveiligingsclausules in contracten integreren, periodieke beoordelingen uitvoeren of alternatieven zoals certificeringen door derden aanvaarden, en escalatieprocedures onderhouden voor het geval een leverancier een incident ondergaat. Lidstaten en het EU-cybersecuritybeleid sturen organisaties steeds meer richting EU-cybersecuritycertificeringsregelingen in plaats van open leveranciersvragenlijsten; ontwerp uw leveranciersprogramma zo dat het die richting kan absorberen.

Stap 7: volg inbreukprocedures en opkomende jurisprudentie

De inbreukprocedures van de Europese Commissie tegen vertraagde lidstaten zijn geen trivialiteit — zij signaleren waar de omzetting op het punt staat te landen en waar de handhaving waarschijnlijk zal intensiveren zodra dat is gebeurd. Landen die onder druk van de Commissie staan, zetten doorgaans om met verkorte respijtperiodes om goede trouw aan te tonen. Door deze procedures te volgen via de persberichten van de Commissie (en via de dagelijkse EUR-Lex-feed van het Publicatieblad voor nieuw bekendgemaakte omzettingswetten) kunt u anticiperen waar de nalevingsverwachtingen aangescherpt dreigen te worden. Houd het Hof van Justitie van de Europese Unie (HvJ-EU) in het oog op prejudiciële uitspraken over NIS2-bepalingen; de eerste van die uitspraken zullen de uitleg van de handhaving door nationale rechters opnieuw vormgeven.

Veelgestelde vragen

Mijn land heeft NIS2 nog niet omgezet. Heb ik tijd om naleving uit te stellen?

Nee. Om drie redenen. Ten eerste staan de vijf overgebleven lidstaten onder druk van de inbreukprocedures van de Commissie (met redenen omklede adviezen uitgebracht op 7 mei 2025) en wordt verwacht dat verschillende met korte overgangsperiodes zullen omzetten. Ten tweede: bent u actief in een land dat reeds heeft omgezet, dan binden die verplichtingen u nu voor die jurisdictie. Ten derde vertegenwoordigt NIS2 een basisniveau van cyberhygiëne dat de markt — klanten, auditors, verzekeraars — reeds als verwachte praktijk behandelt. Uitstellen om aan de officiële deadline van uw thuisland te voldoen, blijkt een schijnbesparing.

Wij zijn een klein bedrijf met minder dan 50 werknemers. Vallen wij buiten de werkingssfeer?

Waarschijnlijk wel, maar verifieer dit. De richtlijn gebruikt de EU-mkb-definitie: middelgrote entiteiten hebben 50+ werknemers of 10 miljoen EUR+ omzet. Nationale wetten kunnen de werkingssfeer echter uitbreiden op grond van artikel 2, lid 2 voor specifieke sectoren, en sommige nemen kleinere entiteiten uitdrukkelijk op voor kritieke diensten (energie-microgrids, specifieke cloud- en managed-serviceaanbieders, bepaalde digitale infrastructuur). Controleer de omzetting in uw thuisland en in elk land waar u materiële activiteiten hebt.

Wat is het belangrijkste dat wij dit kwartaal zouden moeten doen?

Wijs uw hoofdvestiging op grond van artikel 26 aan en documenteer de onderbouwing. Daarmee ontsluit u de rest van uw compliance-programma: u weet welke nationale autoriteit uw primaire contact is, welke nationale wet uw sturende tekst is en waar uw aansprakelijkheid op bestuursniveau ligt. Organisaties die deze stap overslaan, eindigen met parallelle, dubbele compliance-programma's in meerdere jurisdicties en missen alsnog hun primaire meldingsverplichtingen. Het kost twee weken om het zorgvuldig te doen en bespaart kwartalen pijn.

Hebben wij een aparte FG nodig voor NIS2 (zoals voor de AVG)?

Nee, NIS2 vereist geen functionaris voor gegevensbescherming. Wel vereist de richtlijn verantwoordelijkheid van het leidinggevend orgaan op grond van artikel 20 en training van al het personeel op het gebied van cybersecurity. De meeste volwassen organisaties hebben een CISO of een Hoofd Informatiebeveiliging die de equivalente operationele rol vervult. Wat ertoe doet, is dat de verantwoordelijkheid formeel wordt toegewezen, gedocumenteerd en van middelen voorzien — niet de specifieke titel.

Wat zijn de eerste NIS2-boetes die wij hebben waargenomen?

Per mei 2026 zijn geen grote NIS2-boetes tegen met naam genoemde entiteiten openbaar gemaakt. De handhavingsactiviteit tot dusver heeft zich op het stadium van toezichtskennisgevingen afgespeeld. Het Duitse BSI begon in Q4 2025 met het uitvaardigen van formele kennisgevingen (Anordnungen) — circa 47 — aan entiteiten die hun registratie of de aanwijzing van een contactpunt niet hadden voltooid, met prioriteit voor de sectoren energie en digitale infrastructuur. Het Italiaanse ACN identificeerde een aanzienlijke populatie van circa 2.000 niet-geregistreerde entiteiten die de jaarlijkse registratie vóór de deadline van 28 februari 2026 niet hadden afgerond, en zet die door middel van handhavingsprocedures voort. De Commissie heeft tegen 19 lidstaten met redenen omklede adviezen uitgebracht wegens niet-volledige omzetting; dat is een afzonderlijke (statelijke) vorm van handhaving. De eerste materiële geldboetes worden in de loop van 2026 verwacht, en het patroon dat zich in deze toezichtskennisgevingen aftekent is consistent: autoriteiten beboeten nog geen imperfecte cybersecurity, maar zij beboeten wel ontbrekende documentatie en gemiste registratiedeadlines.

Hoe blijf ik bij wanneer het landschap zo snel beweegt?

Drie bronnen die u bij voorrang moet volgen: de persberichten van de Europese Commissie (voor inbreukprocedures en uitvoeringshandelingen), publicaties van ENISA (sectorale technische richtsnoeren) en de jaarverslagen van uw nationale autoriteit (BSI, ANSSI, ACN, NCSC en hun equivalenten). Vermijd snel verouderende samenvattingen van adviesbureaus — zaken bewegen te snel. Abonneer u rechtstreeks op de officiële RSS-feeds. Voor regelgevingsupdates is de dagelijkse EUR-Lex-feed van het Publicatieblad de gezaghebbende bron voor nieuw bekendgemaakte nationale omzettingswetten — u ziet ze op de dag van bekendmaking, niet wanneer een consultant er weken later over schrijft.

Hoe verhoudt NIS2 zich tot de AVG wanneer een incident persoonsgegevens betreft?

U moet onder beide regimes melden, bij verschillende autoriteiten en met verschillende termijnen. Artikel 33 AVG vereist melding aan uw gegevensbeschermingsautoriteit (in Nederland: de Autoriteit Persoonsgegevens) binnen 72 uur. Artikel 23 NIS2 vereist een vroege waarschuwing aan de bevoegde cybersecurityautoriteit binnen 24 uur. Dit zijn afzonderlijke verplichtingen met afzonderlijke autoriteiten en afzonderlijke boetes. Bouw uw incident-runbook zo dat beide stromen vanaf het moment van bekendwording parallel worden geactiveerd.

De kern

NIS2 had het EU-cybersecurityrecht moeten harmoniseren. In 2026 heeft het de basis geharmoniseerd (de maatregelen van artikel 21, de meldingstermijnen van artikel 23, de plafonds van artikel 34) maar het procedurele detail gefragmenteerd. Voor grensoverschrijdende ondernemingen betekent dit dat uw compliance-programma op de richtlijntekst gebouwd moet zijn maar lokaal aangepast — verankerd in de NIS2-tekst en geconfigureerd per lidstaat waar u opereert. De organisaties die dit het best navigeren zijn die welke vroeg hebben geïnvesteerd in een matrix per land, hun hoofdvestiging formeel hebben aangewezen en incidentresponscapaciteiten hebben opgebouwd die de meldtermijn van 24 uur over meerdere jurisdicties tegelijk halen.

De lappendeken zal uiteindelijk convergeren naarmate de vijf resterende lidstaten hun omzettingswetgeving aannemen en de Commissie uitvoeringshandelingen uitvaardigt. Tot die tijd zal het behandelen van NIS2 als één enkele uniforme verplichting u kosten — in boetes, in operationele verstoring en in blootstelling op bestuursniveau. Het behandelen ervan als een netwerk van in elkaar grijpende nationale regimes verankerd op een gemeenschappelijke richtlijn is moeilijker, maar het is de enige manier om daadwerkelijk te voldoen.

De Viktoria Compliance-assessment dekt dit netwerk land voor land. Onze adaptieve vragenlijst brengt uw entiteitsstructuur in kaart ten opzichte van de geverifieerde omzettingsstatus van iedere lidstaat waar u opereert en markeert de specifieke verplichtingen die u vandaag binden, en niet de richtlijntekst in abstracto. Hebt u uw voetafdruk hier nog niet doorheen gehaald, dan is dit het moment — handhaving komt niet, ze is er.

Bronnen

Alle gegevens over de omzetting per lidstaat zijn in mei 2026 geverifieerd aan de hand van nationale officiële staatsbladen, publicaties van aangewezen bevoegde autoriteiten en de NIS2-omzettingsmonitor van de Europese Commissie. Bepalingen uit de NIS2-richtlijn zijn aangehaald uit Richtlijn (EU) 2022/2555 op EUR-Lex.

• NIS2-richtlijn (EU) 2022/2555 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng
• NIS-omzettingsmonitor van de Europese Commissie — https://digital-strategy.ec.europa.eu/en/policies/nis-transposition
• Oostenrijk — BGBl. I Nr. 94/2025 (NISG 2026): https://ris.bka.gv.at/eli/bgbl/I/2025/94/20251223
• België — CCB NIS2: https://ccb.belgium.be/regulation/nis2
• Bulgarije — analyse wijzigingen Wet op de Cyberveiligheid: https://cms.law/en/bgr/legal-updates/bulgaria-adopts-nis2-aligned-cybersecurity-law
• Kroatië — Narodne novine 14/2024: https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html
• Cyprus — Digital Security Authority: https://www.dsa.cy
• Tsjechië — NÚKIB: https://www.nukib.gov.cz
• Denemarken — Lov nr. 434/2025: https://www.retsinformation.dk/eli/lta/2025/434
• Estland — RIA NIS2-portaal: https://nis2.ee/
• Finland — Traficom-aankondiging Cybersecuritywet: https://traficom.fi/en/news/cybersecurity-act-passed-parliament-obligations-under-nis-2-directive-enter-force-8-april-2025
• Frankrijk — ANSSI Directive NIS 2: https://cyber.gouv.fr/reglementation/cybersecurite-systemes-dinformation/directives-nis-nis2-et-dispositif-saiv/directive-nis-2/
• Duitsland — BGBl. 2025 I Nr. 301: https://www.recht.bund.de/bgbl/1/2025/301/VO.html
• Griekenland — Nationale Cybersecurity-Autoriteit: https://www.ncsa.gov.gr
• Hongarije — SZTFH: https://sztfh.hu
• Ierland — General Scheme National Cyber Security Bill 2024: https://www.gov.ie/en/department-of-justice-home-affairs-and-migration/publications/general-scheme-of-the-national-cyber-security-bill-2024/
• Italië — ACN Normativa: https://www.acn.gov.it/portale/en/nis/la-normativa
• Letland — Nationaal Cybersecurity Centrum: https://www.cyber.gov.lv/lv/nis2
• Litouwen — Wet op de Cyberveiligheid: https://kam.lt/kibernetinio-saugumo-istatymas/
• Luxemburg — Chambre des Députés Bill 8364: https://www.chd.lu/en/directive-NIS2-cybersecurite
• Malta — analyse Legal Notice 71 of 2025: https://gvzh.mt/insights/nis2-malta-cybersecurity-legal-notice-71-2025/
• Nederland — Eerste Kamer Cyberbeveiligingswet 36764: https://www.eerstekamer.nl/wetsvoorstel/36764_cyberbeveiligingswet
• Polen — Sejm wijziging cybersecuritywet: https://www.gov.pl/web/cyfryzacja/sejm-uchwalil-nowelizacje-ustawy-o-krajowym-systemie-cyberbezpieczenstwa
• Portugal — Decreto-Lei 125/2025: https://diariodarepublica.pt/dr/detalhe/decreto-lei/125-2025-962603401
• Roemenië — DNSC: https://www.dnsc.ro
• Slowakije — NBÚ: https://www.nbu.gov.sk
• Slovenië — Uradni list ZInfV-1: https://www.uradni-list.si/glasilo-uradni-list-rs/vsebina/2025-01-1571
• Spanje — CCN NIS2: https://www.ccn.cni.es/es/normativa/directiva-nis2
• Zweden — SFS 2025:1506 Cybersäkerhetslag: https://www.riksdagen.se/sv/dokument-och-lagar/dokument/svensk-forfattningssamling/cybersakerhetslag-20251506_sfs-2025-1506/
• NCSC Nederland incidentmelding: https://www.ncsc.nl/cyberincidenten-melden-bij-het-ncsc
• BSI Duitsland incidentmelding: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Anleitung-Meldung/Anleitung-Meldung_node.html
• ANSSI Frankrijk notifications réglementaires: https://cyber.gouv.fr/notifications-reglementaires
• INCIBE Spanje NIS2 FAQ: https://www.incibe.es/incibe-cert/sectores-estrategicos/FAQNIS2