De Europese Unie heeft strikte cyberbeveiligingsregels ingevoerd om kritieke sectoren te beschermen tegen digitale aanvallen. Maar slechts twee landen hebben de deadline gehaald: België en Kroatië. Andere lidstaten riskeren hoge boetes en onzekerheid.

Een week voor de Europese deadline heeft slechts een fractie van de 27 lidstaten de vernieuwde cyberbeveiligingsvoorschriften nageleefd. Alleen België en Kroatië hebben officieel aan de Europese Commissie gemeld dat zij de Netwerk- en Informatiebeveiligingsrichtlijn 2 (NIS2) hebben geïmplementeerd. Een woordvoerder van de Commissie bevestigde dat België aan alle eisen van de richtlijn voldoet, terwijl Kroatië dit slechts gedeeltelijk heeft gedaan.

De overige landen hebben tot 17 oktober de tijd om de richtlijn in hun nationale wetgeving om te zetten. NIS2, die in 2022 werd aangenomen, heeft tot doel de kritieke sectoren in Europa, zoals energie, transport en financiën, beter te beschermen tegen toenemende cyberdreigingen.

Wat houdt NIS2 in?

NIS2 vervangt de eerdere NIS1-richtlijn uit 2016, die ontoereikend bleek voor de toenemende digitalisering en de complexiteit van moderne cyberdreigingen. De herziene versie bevat strengere regels om de veerkracht van bedrijven en instellingen in de hele EU te vergroten.

Bedrijven die onder NIS2 vallen, zijn verplicht om binnen 24 uur een waarschuwing te verstrekken en binnen 72 uur een volledig rapport op te stellen na een ernstig cyberincident. Het niet naleven van deze verplichtingen kan leiden tot stevige boetes. Die kunnen oplopen tot 10 miljoen euro of 2 procent van de wereldwijde omzet van het bedrijf.

Uitdagingen voor andere lidstaten

De meeste lidstaten lijken echter moeite te hebben met de implementatie van de richtlijn. Een recent rapport van de Franse parlementaire commissie voor digitale zaken wijst op een gebrek aan bewustzijn onder bedrijven over de vereisten van NIS2. Volgens het rapport zijn veel bedrijven zich niet bewust van de maatregelen die ze moeten treffen om aan de richtlijn te voldoen.

Daarbij komt dat het implementatieproces in sommige landen wordt vertraagd door interne politieke kwesties. Zo moet in Frankrijk de wet nog worden goedgekeurd door de Raad van Ministers. Duitsland heeft dan weer aangegeven de wet pas in 2025 te willen invoeren. Deze vertragingen zorgen voor onzekerheid en brengen de betrokken landen in gevaar voor sancties van de Europese Commissie.