De Europese Commissie heeft Frankrijk, Ierland, Nederland en Spanje verwezen naar het Hof van Justitie van de Europese Unie nadat de vier landen er niet in slaagden de NIS2-richtlijn cyberbeveiliging binnen de gestelde termijn uit te voeren. De richtlijn zou uiterlijk op 17 oktober 2024 in nationale wetgeving worden omgezet, maar de vier lidstaten hebben het proces nog niet afgerond.
NIS2 is het bijgewerkte cybersecuritykader van de Europese Unie, gericht op het versterken van de bescherming van organisaties die actief zijn in kritieke sectoren. De regels zijn van toepassing op sectoren zoals gezondheidszorg, energie, financiën, transport, digitale infrastructuur, openbaar bestuur en telecommunicatie, waarbij organisaties verplicht worden om strengere cyberbeveiligingsmaatregelen te nemen en significante cyberincidenten te melden.
De Europese Commissie zei dat de richtlijn essentieel is voor het verbeteren van de veerkracht van zowel publieke als private organisaties tegen cyberdreigingen. Het stelt ook nauwere samenwerking tussen EU-lidstaten vast via informatie-uitwisseling en gecoördineerde incidentrespons, terwijl strengere risicobeheer- en rapportageverplichtingen voor getroffen entiteiten worden ingevoerd.
Door de vier landen naar het hoogste EU-gerechtshof te verwijzen, probeert de Commissie naleving van de cyberbeveiligingswetgeving van het blok af te dwingen. Als het Hof van Justitie tegen de lidstaten oordeelt en zij de uitvoering blijven vertragen, kunnen zij financiële boetes krijgen.
De meeste andere EU-landen hebben al nationale wetgeving aangenomen die de richtlijn uitvoert. Nederland heeft echter recent vooruitgang geboekt nadat beide kamers van het parlement de Cybersecuritywet van het land hebben goedgekeurd, die de NIS2-vereisten in de Nederlandse wet opneemt. De wetgeving wordt verwacht op 15 augustus in werking te treden, waardoor meer dan 8.000 Nederlandse organisaties onder het nieuwe cybersecuritykader vallen.
Na implementatie zal NIS2 van de betrokken organisaties vereisen hun cybersecurity governance te versterken, de beveiliging van de toeleveringsketen te verbeteren, incidentresponsprocedures op te zetten en significante cyberincidenten binnen voorgeschreven tijdsbestek te rapporteren. Bedrijfsleiders kunnen ook meer verantwoordelijkheid krijgen voor cybersecurity toezicht onder de governance-eisen van de richtlijn.