Uitvoeringshandelingen EU geven duidelijkheid over NIS2 meldplicht en zorgplicht voor digitale sector

Terwijl de NIS2 in Nederland uitgesteld is tot het derde kwartaal van 2025 lopen de ontwikkelingen rondom de wet door. Vorige week heeft de minister meer duidelijkheid proberen te geven rondom de vertraagde invoering, ook in antwoord op vragen die NLdigital met anderen samengesteld heeft in februari. Maar belangrijker was dat de EU de uitvoeringshandelingen voor artikelen 21 en 23 (Engels: Implementing act) lanceerde, daarin zijn de zorgplicht en meldplicht verder uitgewerkt voor de digitale sector. 

De uitvoeringshandelingen 

De eerste versie van dit document was aan het begin van de afgelopen zomer gepubliceerd voor consultatie. Hier heeft NLdigital toen samen met onze Europese koepel (Digital Europe) een uitgebreide inbreng op geschreven. Wij hadden vele zorgen over ingewikkelde meldplichteisen en overmatig gedetailleerde zorgplicht. Een deel van onze kritieken blijft staan, maar we zien in deze uitvoeringshandelingen ook grote verbeteringen. De ingangsdatum van 18 oktober 2024 is geschrapt, waarmee wij ervan uitgaan dat de ingang van de vereisten uit deze uitvoeringshandelingen gelijk zullen gaan met de implementatie van de NIS2. Dit laatste moet echter nog door de overheid bevestigd worden. 

Uitwerking van de meldplicht 

Artikel 3 van de uitvoeringshandelingen geeft de overkoepelende criteria voor de meldplicht, en artikel 4 laat meldingen met dezelfde grondoorzaak gezamenlijk tellen voor de criteria. De opvolgende artikelen 5 tot en met 14 geven aanvullende criteria per digitale sub-sector. Hier zijn vele aanscherpingen in doorgevoerd. We zien bijvoorbeeld dat de reputatiecriteria waar we bezwaar tegen maakte geschrapt zijn, en de enorme onduidelijkheden in de formulering van artikel 4 zijn opgelost. Ook is de financiële drempel vors verhoogd van 100.000 naar 500.000 euro. 

Uitwerking van de zorgplicht

Artikel 2 en de bijlage (Annex) van de uitvoeringshandelingen geven een uitgebreide uitwerking van artikel 21 lid 2 van de NIS2, van de zorgplicht die aan digitale sectoren wordt opgelegd. Een van de eerste verbeteringen hiervan vinden we direct in artikel 2 lid 2 waarin duidelijker gemaakt wordt dat de bijlage proportioneel en risico-gebaseerd toegepast dient te worden. De overige zorgplicht eisen bestuderen we momenteel nog en zullen we verder uitwerken in het Stappenplan voor onze leden. 

Deel via:

Jelmer Schreuder

Public policy manager
Neem contact op met
Jelmer Schreuder

Het laatste nieuws

Europa: geen kopieertaks op Spotify-downloads  

Nederland opnieuw teruggefloten door Hof van Justitie  Het Europese Hof van Justitie oordeelde vandaag dat er geen thuiskopieheffing verschuldigd is voor...
Cybersecurity

Tweede Kamer neemt Cyberbeveiligingswet aan met belangrijke verbeteringen 

De Tweede Kamer heeft op woensdag 15 april de Cyberbeveiligingswet (Cbw) aangenomen. De wet raakt 8.000 tot 10.000 organisaties in...
Cybersecurity

CRA-meldplicht: wat moet je weten vóór 11 september 2026?

De Cyber Resilience Act (CRA) treedt pas volledig in werking op 11 december 2027, maar één onderdeel gaat al eerder gelden: de meldplicht voor actief geëxploite
Cybersecurity

Nieuw whitepaper om Cybersecurity in de bestuurderskamer te krijgen

Hoe krijg je als cyber-verantwoordelijke cybersecurity op de agenda bij het bestuur? NLdigital en CCRC publiceren vandaag het whitepaper: Cybersecurity naar de bestuurderskamer, de…
Cybersecurity

Kamer komt met verbeteringen voor Cyberbeveiligingswet, stemmingen komende 2 weken 

Op 23 maart debatteerde de Tweede Kamer over de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Vanuit NLdigital...
Cybersecurity