Commissie daagt Ierland, Spanje, Frankrijk en Nederland voor het Hof van Justitie wegens niet-omzetting van de regels inzake cyberveiligheid

De Europese Commissie heeft vandaag beslist Ierland, Spanje, Frankrijk en Nederland voor het Hof van Justitie van de Europese Unie te dagen omdat zij geen maatregelen tot omzetting van de NIS2-richtlijn betreffende de beveiliging van netwerk- en informatiesystemen (Richtlijn (EU) 2022/2555) in nationale wetgeving hebben meegedeeld.

De richtlijn versterkt de cyberbeveiliging van de EU door strenge normen vast te stellen voor entiteiten die actief zijn in 18 kritieke sectoren, waaronder gezondheid, energie, vervoer en overheid. De volledige uitvoering van de richtlijn is essentieel voor de verbetering van de weerbaarheid en responscapaciteit bij incidenten van publieke en private entiteiten die in die kritieke sectoren actief zijn en van de EU als geheel.

De lidstaten hadden tot 17 oktober 2024 de tijd om de richtlijn om te zetten. De meeste lidstaten hebben hieraan voldaan, maar Spanje, Frankrijk, Ierland en Nederland hebben nog geen volledige omzetting gemeld. De Commissie heeft op 28 november 2024 aanmaningsbrieven en op 7 mei 2025 met redenen omklede adviezen gestuurd. De verwijzingen omvatten een verzoek aan het Hof om financiële sancties, bestaande uit een forfaitaire som en dagelijkse boetes op te leggen tot de volledige omzetting is meegedeeld.

Achtergrond

Cyberbeveiliging houdt in dat netwerk- en informatiesystemen, gebruikers en getroffen personen worden beschermd tegen cyberincidenten en -dreigingen. Naarmate cyberdreigingen toenemen, moeten de lidstaten op grond van de NIS 2-richtlijn hun cyberbeveiligingscapaciteiten versterken en risicobeheersmaatregelen en verplichtingen inzake de melding van incidenten invoeren voor entiteiten in 18 kritieke sectoren.

Op 20 januari 2026 heeft de Commissie, als onderdeel van een cyberbeveiligingspakket, gerichte wijzigingen van de NIS 2-richtlijn voorgesteld om meer juridische duidelijkheid te verschaffen. De wijzigingen maken het voor bedrijven die in de EU actief zijn, gemakkelijker om te voldoen aan de regels inzake cyberbeveiliging en de vereisten inzake risicobeheer.

Meer informatie

Inbreukprocedure van de EU  

NIS 2-richtlijn

Databank van inbreukbesluiten en kaart en grafieken van inbreuken  

Inbreukenpakket van juli 2026

Inbreukprocedure Ierland (INFR(2024)0279)

Inbreukprocedure Spanje (INFR(2024)0270)

Inbreukprocedure Frankrijk (INFR(2024)0274)

Inbreukprocedure Nederland (INFR(2024)0288)