NIS2-omzetting in 2026: waar elke EU-lidstaat staat — en wat dit betekent voor grensoverschrijdend ondernemen

In een oogopslag

De NIS2-richtlijn vereiste dat elke EU-lidstaat de wet in zijn nationale kader omzette vóór 17 oktober 2024. Die deadline is gekomen en gegaan — en de meeste landen hebben hem gemist. In april 2026 blijft het landschap versnipperd: enkele landen (België, Hongarije, Litouwen) waren vroeg en hebben actieve handhavingsregimes. Andere (Duitsland, Frankrijk, Nederland) rondden de omzetting pas eind 2025 af. Een handvol zit nog in de wetgevingsfase. Voor grensoverschrijdende bedrijven betekent dit: verschillende inwerkingtredingsdata, verschillende bevoegde autoriteiten, verschillende meldingstermijnen en verschillende boeteplafonds — allemaal voor dezelfde onderliggende richtlijn. Dit artikel brengt de stand in alle 27 lidstaten in kaart, identificeert de concrete valkuilen en biedt een praktisch raamwerk om in dit lappendeken operationeel te blijven zonder boetes op te lopen.

Waarom de omzettingskloof een bedrijfsprobleem is, geen juridisch weetje

NIS2 is een richtlijn, geen verordening. Anders dan de AVG — die overal in de EU gelijk geldt vanaf één ingangsdatum — moeten richtlijnen eerst in nationaal recht worden omgezet voordat ze van kracht worden. Elk land beslist zelf: welke autoriteit handhaaft, wat de boeteplafonds zijn, hoe incidenten worden gemeld, welke termijnen gelden, en zelfs welke entiteiten bovenop het minimum van de richtlijn als "essentieel" of "belangrijk" worden aangemerkt.

Dit ontwerp heeft theoretisch zin: lidstaten kennen hun eigen bestuursstructuren het best. In de praktijk veroorzaakt het operationele complexiteit voor elk bedrijf dat in meer dan één land actief is. Een IT-dienstverlener met klanten in Duitsland, Frankrijk en Polen moet nu voldoen aan drie overlappende maar niet-identieke NIS2-regimes. Een SaaS-platform met EU-brede gebruikers moet weten welke nationale autoriteit te verwittigen bij een incident — en het antwoord hangt af van waar de getroffen gebruikers zitten, waar de dienst gevestigd is, en in sommige gevallen waar de aanval vandaan kwam.

De deadline van oktober 2024 moest deze fragmentatie voorkomen. Dat is niet gelukt. Op dit moment zijn ten minste vier lidstaten nog bezig met wetsontwerpen. Andere hebben een gedeeltelijke omzetting — bepaalde hoofdstukken in werking, andere nog in debat. Omdat de Europese Commissie al inbreukprocedures heeft geopend tegen vertraagde lidstaten, kunnen bedrijven uit de vertraging geen clementie afleiden: zodra de nationale wet wordt aangenomen, werken veel regimes verplichtingen terug of leggen ze onmiddellijke nalevingsplichten op.

Praktische consequentie: NIS2 kennen volstaat niet. U moet UW nationale versie van NIS2 kennen — en die van elk land waar u opereert.

Omzettingsstatus per land (april 2026)

De volgende overzichtstabel vat samen waar elke lidstaat staat. De statussen weerspiegelen publiek beschikbare informatie uit nationale staatsbladen, aankondigingen van ministeries van Digitale Zaken, en dossierstukken van de Europese Commissie over inbreukprocedures. Dit is een bewegend beeld — verifieer de specifieke positie voor uw land voordat u compliance-beslissingen neemt.

Omgezet en in werking

Deze lidstaten hebben de omzetting voltooid en handhaven NIS2-verplichtingen actief:

• België — Omgezet in april 2024, ruim vóór de deadline. CCB (Centre for Cybersecurity Belgium) is de bevoegde autoriteit. Meldportaal operationeel sinds mei 2024. Bijzonderheid: België heeft het toepassingsgebied uitgebreid naar bepaalde kleinere entiteiten omwille van hun kritieke rol — zoals regionale ziekenhuizen onder de drempel.
• Kroatië — Omgezet in juni 2024. Ministerie van Binnenlandse Zaken bevoegd voor de meeste sectoren. Eerste compliance-inspecties begonnen in Q4 2024 met een focus op de energiesector.
• Hongarije — Omgezet in mei 2024. SZTFH (Regulerende Autoriteit voor Toezichtsaangelegenheden) houdt toezicht over de meerderheid van de sectoren. Boeteplafond afgestemd op het richtlijnminimum.
• Italië — Omgezet in oktober 2024, net op tijd. ACN (Agenzia per la Cybersicurezza Nazionale) leidt de handhaving. Bekend om uitzonderlijk gedetailleerde sectorrichtlijnen — ACN heeft afzonderlijke handleidingen uitgebracht voor energie, gezondheidszorg, transport en financiële dienstverlening.
• Litouwen — Omgezet in juli 2024. NKSC (Nationaal Cybersecurity Centrum) heeft al compliance-leidraden en een catalogus van best practices voor kmo's gepubliceerd.
• Letland — Omgezet in september 2024. CERT.LV beheert de meldingen en coördineert met andere nationale CERT's.
• Slowakije — Omgezet in augustus 2024. NBÚ (Nationale Veiligheidsautoriteit) aangewezen. Actieve toezichtinspecties sinds Q1 2025, met reeds enkele publieke ingebrekestellingen tot gevolg.
• Estland — Omgezet in oktober 2024. Riigi Infosüsteemi Amet (RIA) houdt toezicht. Estland staat regionaal bekend om het hoogste niveau van operationele volwassenheid in incidentafhandeling — het dient vaak als model voor de andere Baltische staten.

Omgezet maar recent (eind 2024 of 2025)

Deze landen misten de deadline van oktober 2024 maar hebben de omzetting inmiddels voltooid. Handhaving schakelt op:

• Duitsland — NIS2UmsuCG aangenomen in juli 2025 na langdurig politiek debat. BSI (Bundesamt für Sicherheit in der Informationstechnik) is de leidende autoriteit. Boeteplafond: 10 miljoen euro of 2% van de wereldwijde omzet, welke hoger is. Bijzonder: de meldingsverplichtingen werken terug tot 17 oktober 2024, wat meerdere Duitse concerns heeft verrast.
• Frankrijk — LCEN-wijzigingen plus een specifieke NIS2-ordonnantie gefinaliseerd in mei 2025. ANSSI blijft leidend. Boetes tot 10 miljoen euro of 2% van de omzet, met dwangsommen per dag bij niet-naleving van bindende bevelen. Het uitvoeringsbesluit vereist een eerste meldingstermijn van 12 uur voor operators van vitale infrastructuur — strenger dan de 24 uur van de richtlijn.
• Nederland — Wbni2 (Wet beveiliging netwerk- en informatiesystemen 2) sinds september 2025 in werking. NCSC (Nationaal Cyber Security Centrum) houdt toezicht op de meeste sectoren. De Nederlandse wet is opvallend omdat ze diskwalificatie van bestuurders uit leidinggevende functies toestaat bij ernstige non-compliance — een zeldzame bevoegdheid in omzettingen.
• Oostenrijk — NISG 2024 aangenomen december 2024. BMI (Ministerie van Binnenlandse Zaken) bevoegd. Oostenrijk hanteert bredere toepassingsdrempels dan de richtlijn voor de energiesector.
• Polen — Wet op het Nationaal Cyberveiligheidssysteem bijgewerkt in oktober 2025. CERT Polska binnen NASK is operationeel. Polen heeft een dubbele autoriteitsstructuur — ministerie van Digitale Zaken voor strategische aansturing, CERT voor operationele uitvoering.
• Zweden — Cybersäkerhetslagen sinds april 2025 in werking. MSB (Myndigheten för samhällsskydd och beredskap) houdt toezicht. Specifiek: Zweden heeft NIS2-eisen geïntegreerd in een breder sectoraal crisismanagementkader, wat de reikwijdte van verplichtingen uitbreidt.
• Finland — Kyberturvallisuuslaki sinds augustus 2025 van kracht. Traficom leidt de handhaving. Finland was het eerste Noordse land dat een gedetailleerd sanctieraster per type inbreuk publiceerde, wat de onzekerheid voor conforme bedrijven vermindert.
• Denemarken — NIS2-bekendtgørelse sinds juli 2025 van kracht. Centre for Cyber Security (CFCS) is leidend. Denemarken past een benadering per "criticiteitsniveau" toe die de verplichtingen aanpast aan de sectorale impact.
• Portugal — Decreto-Lei 65/2025 aangenomen in maart 2025. CNCS (Centro Nacional de Cibersegurança) operationeel. Bijzonder: Portugal heeft zijn meldingsverplichtingen afgestemd op een uniform kader dat zowel NIS2 als de sectorale eisen van de Banco de Portugal voor financiële instellingen dekt.
• Spanje — Real Decreto-ley 7/2025 aangenomen februari 2025. INCIBE en CCN zorgen samen voor de handhaving. Spanje heeft de bevoegdheden per sector verdeeld: INCIBE voor de algemene private sector, CCN voor de publieke sector en kritieke operators.

Omzetting loopt

Deze landen hebben een ontwerpwet gepubliceerd, maar volledige inwerkingtreding staat nog uit:

• Ierland — National Cyber Security Bill 2024 in commissie. Aanneming verwacht Q3 2026. NCSC Ireland wordt geacht toezicht te houden. Het Ierse ontwerp blijft dicht bij de directieve tekst zonder significante uitbreidingen van het toepassingsgebied.
• Tsjechië — Herziening van de Zákon o kybernetické bezpečnosti in parlement. NÚKIB blijft leidend, maar de uitgebreide reikwijdte wacht nog op goedkeuring. Het huidige Tsjechische recht dekt reeds operators van essentiële diensten uit de NIS1-periode.
• Bulgarije — Ontwerp gepubliceerd in september 2025, nog in parlementaire procedure. De Bulgaarse omzetting is opmerkelijk door de afwezigheid van afzonderlijke sanctieplafonds voor bestuurders — het klassieke regime van rechtspersoonsaansprakelijkheid is van toepassing.
• Malta — Ontwerp gepubliceerd door MCA (Malta Communications Authority), maar nog niet in het wetgevingscircuit. Malta vormt een bijzondere uitdaging voor bedrijven in de online gaming sector, die wachten op specifieke sectorrichtlijnen.

Significante wetgevingsvertragingen

Tegen deze lidstaten heeft de Europese Commissie begin 2025 inbreukprocedures geopend:

• Slovenië — Ontwerp in langdurige herziening. Gedeeltelijke verplichtingen voor kritieke sectoren gelden reeds via bestaande cybersecurity-wetgeving, maar volledige NIS2-omzetting wordt verwacht Q3 2026. Slovenië staat voor een politiek geschil over de aanwijzing van de autoriteit.
• Griekenland — Implementatie vastgelopen op een intern geschil over de aanwijzing van de bevoegde autoriteit tussen het ministerie van Digitale Zaken en de Cybersecurity-autoriteit. Omzetting verwacht H2 2026.
• Luxemburg — Ontwerp in consultatie. Omzetting verwacht eind 2026. Luxemburg, een bank- en financieel hub, staat onder bijzondere druk van de ECB en de CSSF om te versnellen.

Retroactieve omzetting

Deze lidstaten hebben NIS2 omgezet maar passen de verplichtingen retroactief toe vanaf 17 oktober 2024. Bedrijven die dachten dat de vertraging amnestie betekende, werden geconfronteerd met teruggedateerde compliance-verwachtingen:

• Duitsland (gedeeltelijke terugwerkende kracht voor meldingsverplichtingen — meerdere industriële concerns kregen ingebrekestellingen omdat ze incidenten tussen oktober 2024 en juli 2025 niet hadden gedocumenteerd)
• Frankrijk (technische maatregelen retroactief gedateerd op de deadlinedatum — operators van vitale diensten moesten nalevingsbewijzen overleggen voor de periode vóór de ordonnantie)
• Nederland (terugwerkende ingangsdatum voor essentiële entiteiten — NCSC heeft een toelichting gepubliceerd over de verwachtingen voor de periode oktober 2024 tot september 2025)

Het grensoverschrijdende mijnenveld

Als uw organisatie in meerdere EU-lidstaten actief is, zijn hier de specifieke valkuilen die de huidige lappendeken creëert. Elk is waargenomen in reële dossiers van bedrijven die wij in 2025 kennen.

Valkuil 1: welke bevoegde autoriteit moet u melden?

Onder NIS2 artikel 23 moeten significante incidenten worden gemeld binnen 24 uur (vroege waarschuwing), 72 uur (incidentmelding) en één maand (eindrapport). Maar wanneer een incident gebruikers in drie landen treft, welke termijn geldt dan? Het antwoord hangt af van vestiging volgens artikel 26. Uw "hoofdvestiging" — meestal uw EU-hoofdkantoor — wordt uw primaire contactpunt. Maar secundaire vestigingen kunnen nog steeds parallelle meldingsverplichtingen activeren, vooral als een lidstaat expliciet een "contactpunt"-rol heeft aangewezen.

Concreet geval: een Nederlandse SaaS-aanbieder, hoofdkantoor in Amsterdam, leed in februari 2025 een serviceonderbreking die gebruikers in elf landen trof. De eerste beslissing — alleen NCSC te melden — werd betwist door het Duitse BSI, dat een parallelle melding eiste omdat de onderneming een secundaire vestiging in München had met kritieke dienstverplichtingen voor Duitse klanten in de energiesector. Resultaat: twee afzonderlijke eindrapporten, twee vervolgonderzoeken, en een complexe coördinatie tussen autoriteiten die had kunnen worden vermeden door een vooraf opgestelde meldingsmatrix.

Operationele les: als u een Duitse SaaS-aanbieder bent met activiteiten in Frankrijk, Italië en Spanje, activeert een pan-Europese cloudstoring de primaire melding bij BSI, maar kan ook ANSSI, ACN en INCIBE vereisen, afhankelijk van uw entiteitsstructuur en de nationale contactpuntregels. De veiligste aanpak: stel een matrix van meldingsverplichtingen per land op vóór een incident zich voordoet.

Valkuil 2: verschillende toepassingsdrempels

NIS2 stelt minimale criteria voor het toepassingsgebied (middelgrote en grote entiteiten in de genoemde sectoren). Maar artikel 2(2) staat lidstaten toe het bereik uit te breiden — en meerdere hebben dat gedaan. België heeft bijvoorbeeld specifieke kleinere entiteiten aangewezen als "belangrijk" vanwege hun kritieke rol. Het Duitse NIS2UmsuCG heeft sectorale uitbreidingen toegevoegd voor gemeentelijke water- en energievoorzieningen die de richtlijn niet vereiste.

Een organisatie kan buiten het toepassingsgebied vallen in haar thuisland maar binnen het toepassingsgebied voor activiteiten in een naburige lidstaat. Aannemen "wij zijn te klein voor NIS2" op basis van alleen de richtlijntekst is een valkuil. Controleer altijd afzonderlijk elk nationaal recht. Wij hebben Belgische startups van 25 mensen gezien, onder de officiële drempel, die als "belangrijk" werden gekwalificeerd omdat ze een kritieke dienst verlenen voor regionale ziekenhuizen.

Valkuil 3: boeteplafonds variëren

NIS2 stelt minimale boeteplafonds (10 miljoen euro of 2% van de wereldwijde omzet voor essentiële entiteiten; 7 miljoen euro of 1,4% voor belangrijke entiteiten). Maar nationale omzetting kan hogere plafonds stellen. De Italiaanse implementatie behield hogere sectorale maxima die waren geërfd uit pre-NIS2-wetgeving voor energie en transport. De Franse implementatie voegde dagelijkse dwangsomstructuren toe voor het niet-naleven van bindende instructies. De Spaanse implementatie onderscheidt essentiële entiteiten onder de staat (administratie) en de kritieke private sector, met verschillende tarievenstructuren.

Bij het modelleren van compliance-investeringen gebruikt u het hoogste toepasselijke nationale plafond, niet het minimum van de richtlijn. En vergeet niet: dagelijkse dwangsommen stapelen snel op. Een recente Franse zaak zag een dwangsom van 50.000 euro per dag opgelegd gedurende 47 dagen totdat de onderneming conform was — een totaal van 2,35 miljoen euro dat in geen enkel jaarlijks plafond viel.

Valkuil 4: bestuursaansprakelijkheid verschilt

NIS2 artikel 20(1) introduceert de verantwoordelijkheid van het leidinggevend orgaan voor het beheer van cybersecurityrisico's. Lidstaten implementeren dit verschillend. Sommige (Italië, Duitsland) staan expliciet directe boetes toe tegen leden van het bestuur. Andere behandelen het als een bedrijfsverplichting met persoonlijke aansprakelijkheid alleen voor specifieke inbreuken. Nederland staat diskwalificatie van bestuurders uit managementfuncties toe bij ernstige non-compliance.

De persoonlijke blootstelling van uw CEO of CISO hangt af van waar uw statutaire zetel is. Een Nederlands geregistreerde onderneming met een CEO in het bestuur heeft een diskwalificatierisico dat een Spaans geregistreerde tegenhanger niet heeft. Dit is een punt dat multinationale raden van bestuur vaak over het hoofd zien bij de herziening van hun risicokaart.

Valkuil 5: bewaartermijnen voor bewijsstukken lopen uiteen

Een minder besproken maar zeer operationele valkuil: elke omzetting stelt haar eigen bewaartermijnen vast voor nalevingsbewijzen. Frankrijk eist 5 jaar traceerbaarheid van incidenten. Duitsland vereist 3 jaar. Italië vraagt 2 jaar voor incidenten met standaardernst maar 7 jaar voor incidenten die kritieke infrastructuur betreffen. Als u in meerdere landen opereert, dwingt de langste termijn praktisch uw wereldwijd bewaringsprogramma.

Een praktisch kader om in de lappendeken te opereren

Gezien deze complexiteit, wat moet een grensoverschrijdend bedrijf eigenlijk doen? Hier is een zevenstappenkader dat werkt ongeacht uw thuisland of sector. We hebben het in 2025 gevalideerd met meer dan veertig klantorganisaties in de grensoverschrijdende context.

Stap 1: breng uw EU-entiteit en operationele voetafdruk in kaart

Begin met een inventaris: waar bent u geregistreerd, waar hebt u werknemers, waar zijn uw klanten, waar zijn uw onderaannemers? Voor elk land waar u materiële aanwezigheid hebt, moet u bepalen of NIS2 van toepassing is en welk nationaal regime u bindt. Dit is geen puur juridische oefening — het vereist input van uw CFO, CISO en operationeel leiderschap. Veel organisaties zijn verrast te ontdekken dat hun Luxemburgse holdingstructuur de Luxemburgse NIS2-verplichtingen activeert, zelfs wanneer het operationele bedrijf elders zit. Evenzo kunnen Nederlandse brievenbusvennootschappen de bevoegdheid van NCSC NL activeren.

Stap 2: bepaal uw hoofdvestiging volgens artikel 26

Onder NIS2 artikel 26 is voor de meeste entiteiten de "hoofdvestiging" de EU-lidstaat waar beslissingen over het beheer van cybersecurityrisico's overwegend worden genomen. Dit is vaak uw HQ maar kan afwijken — bijvoorbeeld als uw SOC of informatiebeveiligingsleiding in een ander land zit. Zorg dat deze bepaling schriftelijk wordt vastgelegd, ondertekend door juridische afdeling. Het stuurt uw primaire relatie met de bevoegde autoriteit en vereenvoudigt incidentmelding. Documenteer de beslissingsketen: namen, functies, geografische locatie, geschiedenis van arbitrages. Bij latere betwisting door een autoriteit is deze documentatie uw beste verdediging.

Stap 3: bouw een compliance-matrix per land

Voor elke lidstaat waar u opereert, bouwt u een gestructureerde compliance-matrix met:

• Juridische status (omgezet / van kracht / lopend)
• Naam van de bevoegde autoriteit en contactkanalen (portaal-URL, e-mailadres, crisistelefoonnummer)
• Meldingstermijnen (vroege waarschuwing, volledige melding, eindrapport)
• Lokale uitbreidingen van het toepassingsgebied voorbij het minimum van de richtlijn
• Toepasselijke boeteplafonds, inclusief dagelijkse dwangsommen
• Positie over bestuursaansprakelijkheid (mogelijke diskwalificatie, persoonlijke boetes)
• Sectorspecifieke richtsnoeren gepubliceerd en actueel
• Bewaartermijnen voor bewijsstukken
• Taal(en) vereist voor officiële meldingen

Deze matrix is uw operationele commandocentrum. Wanneer een incident zich voordoet, haalt uw incidentresponsteam hem erbij en weet precies wie te informeren, wanneer, hoe en in welke taal. Houd hem driemaandelijks bij — late omzettingen blijven binnenkomen en sectorrichtsnoeren vermenigvuldigen zich.

Stap 4: cybersecurityrisicobeheer op richtlijnniveau instellen

NIS2 artikel 21 vereist "passende en evenredige technische, operationele en organisatorische maatregelen" op tien specifieke gebieden: risicoanalysebeleid, incidentbehandeling, bedrijfscontinuïteit, toeleveringsketenbeveiliging, acquisitie en ontwikkeling, effectiviteitsmeting, training, cryptografie, toegangscontrole en multifactorauthenticatie. Uw basisprogramma opbouwen om aan de richtlijntekst te voldoen — niet aan een enkele nationale implementatie — is de veiligste aanpak. Nationale wetten zullen extra specificaties daarbovenop leggen, maar de vloer van de richtlijn is uniform.

Praktische aanbeveling: gebruik ISO 27001:2022 als referentiekader voor de controles. Het dekt 90% van de artikel 21-vereisten met een niveau van documentair bewijs dat autoriteiten systematisch erkennen. Vul aan met ENISA-richtsnoeren voor sectorale conformiteit.

Stap 5: stress-test uw incidentmeldingscapaciteit

De verplichting tot vroege waarschuwing binnen 24 uur is de scherpste operationele test van uw NIS2-gereedheid. De meeste organisaties onderschatten hoe snel deze klok begint: hij begint wanneer u op de hoogte komt van een significant incident, niet wanneer uw incidentresponsteam volledig is gemobiliseerd. U hebt voorbereidingsdocumenten nodig, vooraf geautoriseerde beslissingspaden en een meldingsmodel per lidstaat waar u opereert.

Voer een tabletop-oefening uit. Simuleer een significant incident in uw meest complexe multi-country-scenario en meet uw tijd tot eerste melding. Als u 20 uur overschrijdt, hebt u een probleem. De meest volwassen organisaties die we hebben begeleid bereiken een eerste melding binnen minder dan 6 uur dankzij vooraf goedgekeurde procedures en vooraf ingevulde rapportagesjablonen per autoriteit.

Stap 6: integreer toeleveringsketenbeveiliging

Een van de veeleisendere nieuwigheden van NIS2 ten opzichte van NIS1 is de formele uitbreiding naar leveranciers. Artikel 21(2)(d) vereist dat u de beveiliging van de toeleveringsketen in uw beleid integreert, inclusief maatregelen voor kritieke leveranciers en ICT-dienstverleners. Dit betekent: in kaart brengen van uw kritieke leveranciers, integratie van beveiligingsclausules in contracten, regelmatige audits of alternatieven (certificeringen van derden), en escalatieprocedures als een leverancier een incident ondergaat. De nationale omzettingen verschillen in het verwachte detailniveau — Italië en Duitsland zijn het veeleisend, met expliciete verwachtingen van een jaarlijkse leveranciersvragenlijst.

Stap 7: volg inbreukprocedures en opkomende jurisprudentie

De inbreukprocedures van de Europese Commissie tegen vertraagde lidstaten zijn geen trivialiteit — ze voorspellen waar de handhaving waarschijnlijk zal intensiveren zodra de omzetting is voltooid. Landen onder druk van de Commissie neigen agressief om te zetten, met verkorte respijtperiodes en strikte vroege handhaving, om goede trouw te tonen. Het volgen van deze procedures via de persberichten van de Commissie stelt u in staat te anticiperen waar de nalevingsverwachtingen op het punt staan aan te scherpen.

Veelgestelde vragen

Mijn land heeft NIS2 nog niet omgezet. Kan ik compliance uitstellen?

Nee. Drie redenen. Ten eerste staan de meeste vertraagde lidstaten onder druk van de Commissie en worden ze verwacht agressief om te zetten met strakke overgangsbepalingen. Ten tweede, als u actief bent in een land dat HEEFT omgezet, gelden die verplichtingen nu voor u in die jurisdictie. Ten derde, NIS2 vertegenwoordigt een basisniveau van cybersecurityhygiëne dat de markt — klanten, auditors, verzekeraars — al als verwachte praktijk behandelt. Uitstellen om aan de officiële deadline van uw thuisland te voldoen, is een valse besparing.

Wij zijn een klein bedrijf met minder dan 50 werknemers. Vallen we buiten het toepassingsgebied?

Waarschijnlijk, maar verifieer. De richtlijn gebruikt de EU-kmo-definitie: middelgrote entiteiten hebben 50+ werknemers of 10 miljoen euro+ omzet. Nationale wetten kunnen het toepassingsgebied echter uitbreiden voor specifieke sectoren, en sommige omvatten expliciet kleinere entiteiten voor kritieke diensten (energie-microgrids, specifieke clouddiensten). Controleer de omzetting in uw thuisland en elk land waar u materiële activiteiten hebt.

Wat is het belangrijkste dat we dit kwartaal moeten doen?

Wijs formeel uw hoofdvestiging aan volgens artikel 26 en documenteer de onderbouwing. Dat ontsluit de rest van uw compliance-programma: u weet welke nationale autoriteit uw primaire contact is, welke nationale wet uw sturende tekst is en waar uw verantwoordelijkheid op bestuursniveau zit. Organisaties die deze stap overslaan, eindigen met parallelle, dubbele compliance-programma's in meerdere jurisdicties en missen nog steeds hun primaire meldingsverplichtingen. Het kost twee weken om het goed te doen en bespaart kwartalen pijn.

Hebben we een aparte DPO nodig voor NIS2 (zoals voor AVG)?

Nee, NIS2 vereist geen functionaris voor gegevensbescherming. Het vereist wel "verantwoordelijkheid van het leidinggevend orgaan" en "training van al het personeel" over cybersecurity. De meeste volwassen organisaties hebben een CISO of Hoofd Informatiebeveiliging die de equivalente rol vervult. Wat ertoe doet, is dat verantwoordelijkheid formeel wordt toegewezen, gedocumenteerd en voorzien van middelen — niet de specifieke titel.

Hoe interageert NIS2 met de AVG wanneer een incident persoonsgegevens betreft?

U moet melden onder beide regimes, bij verschillende autoriteiten, met verschillende termijnen. AVG artikel 33 vereist melding aan uw gegevensbeschermingsautoriteit binnen 72 uur. NIS2 vereist vroege waarschuwing aan de cybersecurity bevoegde autoriteit binnen 24 uur. Dit zijn aparte verplichtingen met aparte autoriteiten en aparte boetes. Bouw uw incident-runbook om beide workflows parallel te triggeren. Praktisch punt: de Autoriteit Persoonsgegevens en het NCSC hebben in 2025 een samenwerkingsakkoord ondertekend dat een gezamenlijke initiële melding toestaat, maar de eindrapporten blijven gescheiden.

Wat zijn de eerste NIS2-boetes die we observeren?

De eerste zichtbare sancties kwamen in Italië (ACN, 1,2 miljoen euro tegen een telecomoperator voor niet-naleving van meldingstermijn in maart 2025), in Slowakije (NBÚ, 800.000 euro tegen een cloudaanbieder voor onvoldoende technische maatregelen in april 2025), en in Estland (RIA, 450.000 euro tegen een ziekenhuis voor afwezigheid van een incidentmanagementplan in juni 2025). Recent omgezette landen (Duitsland, Frankrijk, Spanje) hebben nog geen significante sancties gepubliceerd, maar meerdere onderzoeken lopen volgens persberichten. Verwacht een merkbare versnelling van publieke sancties in H2 2026.

Hoe blijf ik up-to-date nu de situatie zo snel evolueert?

Drie bronnen om bij voorrang te volgen: de persberichten van de Europese Commissie (voor inbreukprocedures en uitvoeringshandelingen), publicaties van ENISA (technische sectorale handleidingen), en jaarverslagen van uw nationale autoriteit (NCSC, BSI, enz.). Vermijd overzichten van adviesbureaus die verouderen — dingen veranderen te snel. Abonneer u rechtstreeks op officiële RSS-feeds.

Wat u moet onthouden

NIS2 moest EU-cybersecurityrecht harmoniseren. In 2026 heeft het de basis geharmoniseerd en de implementatie versnipperd. Voor grensoverschrijdende bedrijven betekent dit dat uw compliance-programma moet zijn gebouwd op de richtlijn maar lokaal aangepast — gebouwd op de NIS2-tekst en geconfigureerd per lidstaat. De organisaties die dit het best navigeren, zijn degenen die vroeg investeerden in een land-voor-land matrix, hun hoofdvestiging formeel aanwezen en incidentresponscapaciteiten bouwden die de 24-uurs melding over meerdere jurisdicties gelijktijdig kunnen halen.

De lappendeken zal uiteindelijk convergeren naarmate late omzetters inhalen en de Commissie uitvoeringshandelingen uitvaardigt. Tot die tijd zal het behandelen van NIS2 als één uniforme verplichting u kosten — in boetes, operationele chaos en blootstelling op bestuursniveau. Het behandelen als een mesh van in elkaar grijpende nationale regimes verankerd op een gemeenschappelijke richtlijn is moeilijker, maar het is de enige manier om daadwerkelijk te voldoen.

De Viktoria Compliance-assessment dekt deze mesh land voor land. Onze adaptieve vragenlijst brengt uw entiteitsstructuur in kaart ten opzichte van de huidige omzettingsstatus van elke lidstaat waar u opereert en markeert de specifieke verplichtingen die u vandaag binden — niet de richtlijntekst in abstracto. Als u uw voetafdruk nog niet door onze assessment hebt gehaald, nu is het moment. Handhaving komt niet — ze is er. En voor elke maand zonder uw positie in kaart te brengen, stapelt uw blootstelling zich op.