De Europese Commissie heeft woensdag juridische stappen ondernomen tegen vier lidstaten die er niet in geslaagd zijn de NIS2-richtlijn, de belangrijkste EU-wetgeving op het gebied van cybersecurity voor kritieke infrastructuur, tijdig te implementeren. Ierland, Spanje, Frankrijk en Nederland lopen meer dan twintig maanden achter met de omzetting van deze richtlijn in nationale wetgeving. De NIS2-richtlijn stelt minimale beveiligingseisen voor onder andere ziekenhuizen, energienetwerken, transportbedrijven en overheidsinstanties.

De Commissie heeft het Hof van Justitie van de Europese Unie verzocht om een eenmalige boete en doorlopende dagelijkse sancties op te leggen aan de vier landen totdat zij formeel melden dat de richtlijn volledig is omgezet. Slechts zes van de 27 EU-lidstaten hadden de NIS2-richtlijn per januari 2025 in nationale wetgeving verwerkt, terwijl de oorspronkelijke deadline oktober 2024 was. In de praktijk worden de opgelegde boetes zelden betaald, omdat lidstaten doorgaans alsnog de vereiste wetgeving aannemen tijdens de juridische procedures, waarna de Commissie de zaak intrekt.

Deze juridische actie volgt op waarschuwingen van ENISA, het EU-agentschap voor cybersecurity, dat in het jaar tot juni 2025 duizenden cyberincidenten registreerde binnen de EU. De publieke sector bleek het vaakst doelwit te zijn met 38 procent van de incidenten, gevolgd door de transportsector met 7,5 procent. Europese functionarissen benadrukken steeds nadrukkelijker de risico’s, waarbij onder meer wordt gewezen op de kwetsbaarheid van elektriciteitsnetten, ziekenhuizen en financiële systemen voor kwaadwillenden.

De NIS2-richtlijn is een update van de oorspronkelijke Network and Information Security Directive uit 2016, die minder sectoren betrof en minder uniform werd toegepast. De nieuwe richtlijn breidt het toepassingsgebied uit naar achttien kritieke sectoren en introduceert strengere eisen op het gebied van risicomanagement en incidentmelding. Daarnaast vormt NIS2 de basis voor bredere wetgeving, zoals de Cyber Resilience Act, die vanaf 2027 beveiligingseisen stelt aan verbonden producten en gebruikmaakt van het nationale responsnetwerk dat NIS2 opzet.

In januari stelde de Commissie ook een herziening van de Cybersecurity Act voor, gericht op het versterken van ENISA en het verminderen van risico’s in kritieke technologische toeleveringsketens. Dit omvat onder meer het gefaseerd uitsluiten van hoogrisicoleveranciers zoals Huawei en ZTE uit kritieke infrastructuur. Daarnaast zijn er gerichte aanpassingen voorgesteld om de juridische duidelijkheid te vergroten en naleving van NIS2 te vergemakkelijken, wat volgens officials heeft bijgedragen aan de vertragingen bij de omzetting.

Ierland meldde dat de National Cyber Security Bill, die NIS2 zal implementeren en het Nationaal Cyber Security Centrum wettelijk verankert, bijna afgerond is. De verantwoordelijke minister verwacht de omzetting uiterlijk eind 2026 te kunnen melden. Spanje, Frankrijk en Nederland hebben op het moment van schrijven geen vergelijkbare verklaringen gepubliceerd.