Het Nederlandse kabinet staat voorzichtig positief tegenover de Europese plannen om de NIS2-richtlijn te vereenvoudigen, mits de kern van de richtlijn intact blijft. Het kabinet streeft naar minder administratieve lasten en een betere uitvoerbaarheid, maar verzet zich tegen wijzigingen die de cybersecuritynormen verzwakken of de nationale beleidsruimte beperken.

Uit een officieel beoordelingsdocument blijkt dat simplificatie van NIS2 centraal staat, maar dat eerst het oorspronkelijke NIS2 nog geïmplementeerd moet worden. In Nederland verloopt deze implementatie traag; waar België de richtlijn een jaar en een kwartaal na inwerkingtreding had omgezet, duurt dit proces in Nederland ruim twee keer zo lang. De Tweede Kamer debatteert op 23 maart over de Cyberbeveiligingswet, waarna de implementatie in het tweede kwartaal verwacht wordt. Het kabinet benadrukt dat vereenvoudiging geen excuus mag zijn voor verdere vertragingen en dat risicobeheer, incidentmelding en supply-chain-eisen niet mogen worden afgezwakt. Ook blijft Nederland tegen beperkingen van de nationale ruimte om strengere eisen te stellen of sectoren toe te voegen.

De voorstellen van de Europese Commissie worden wel ondersteund waar het gaat om het verminderen van rapportage- en documentatieverplichtingen, het uniformeren van definities en sectorafbakening, en het verbeteren van de uitvoerbaarheid voor bedrijven en toezichthouders. Daarnaast vallen micro- en kleine dns-dienstverleners en kleine stroomproducenten zonder impact op de netstabiliteit niet langer onder NIS2. De richtlijn wordt wel van toepassing op Eudi-wallets en European Business Wallets, en het toepassingsgebied wordt uitgebreid met hyperscalers die onderzeese datakabels in Nederland willen aanlanden. Verder komt er een nieuwe categorie ‘small mid cap’ bedrijven die toezichthouders achteraf controleren, en wordt de datacollectie over ransomware-aanvallen verbeterd.