• Facebook
  • Twitter
  • LinkedIn
  • YouTube
Nieuwsbrief
Contact
2386

COM(2026) 13 verschuift de NIS2 Deadline en opzet niet…

Het Verandert de huidige Betekenis van Compliance

Tegen de tijd dat NIS2 in oktober 2024 afdwingbaar werd, dachten veel organisaties dat met de toenmalige opzet de eindmeet werd gehaald. Wat de Europese Commissie nu duidelijk maakt, is dat die denkwijzen bij hun nooit echt heeft bestaan.

Toen de NIS2-richtlijn in werking trad, was de politieke boodschap helder: de digitale en kritieke infrastructuur van Europa moest weerbaarder, beter bestuurbaar en consistenter worden beschermd. Lidstaten zetten de richtlijn om in nationale wetgeving, toezichthouders bereidden handhaving voor en bedrijven implementeerden in hoog tempo nieuwe maatregelen.

Maar nog geen twee jaar later tonen de voorgestelde wijzigingen aan NIS2 (COM(2026) 13) een belangrijke les uit de eerste handhavingsfase: het probleem is niet een gebrek aan cybersecuritymaatregelen, maar een gebrek aan consistente, herbruikbare bewijslast van compliance.

“Het probleem is niet onvoldoende beveiliging, maar inconsistente bewijsvoering.”

Van een compliance-moment naar een compliance-verhaal

In de eerste fase van NIS2-handhaving werd compliance vaak gezien als een eenmalig moment. Organisaties focusten op beleid, audits, certificaten en inspecties — noodzakelijk, maar vaak los van elkaar georganiseerd. In heel Europa leidde dit tot versnippering:

  • Verschillende interpretaties van dezelfde verplichtingen
  • Dubbele audits voor grensoverschrijdende organisaties
  • Onzekerheid over bevoegde autoriteiten en toezicht

De reactie van de Commissie is niet om de eisen te verzwaren, maar om te verduidelijken hoe compliance duurzaam moet worden aangetoond. De wijzigingen vereenvoudigen jurisdictieregels, stroomlijnen de verzameling van ransomwaregegevens en versterken de coördinerende rol van ENISA bij grensoverschrijdend toezicht.

Kort gezegd: NIS2 gaat niet langer alleen over compliant zijn, maar over compliance kunnen uitleggen, verdedigen en herhalen.

België en Nederland: twee handhavingsculturen, één richting

Deze verschuiving wordt duidelijk zichtbaar in de verschillen tussen nationale toezichtsstijlen.

In België is NIS2-handhaving sterk verankerd in structuur en certificering. Het Centrum voor Cybersecurity België (CCB) legt de nadruk op duidelijke governance, lokale operationele controle en auditbaar bewijs. Certificering — zoals NIS2 Essential en ISO/IEC 27001 — fungeert als een vertrouwensanker en zorgt voor voorspelbaar toezicht.

In Nederland is de benadering meer dialoog- en risico-gedreven. Toezichthouders willen begrijpen waarom bepaalde maatregelen zijn gekozen, hoe risico’s worden afgewogen en of beslissingen proportioneel zijn.

Deze stijlen verschillen, maar leiden tot dezelfde kernvraag:

“Kan uw cyberbeveiligingspositie consistent worden uitgelegd, zonder deze telkens opnieuw te moeten uitvinden voor een andere toezichthouder?”

De Europese Commissie probeert met haar wijzigingen deze verschillen te verkleinen, maar nationale toezichtsculturen verdwijnen niet van vandaag op morgen.

Waarschuwing voor de leveranciers keten van ICT die voor Essentiele en Important bedrijven een onderdeel van de digitale levenslijn is.

Hoewel COM(2026) 13 geen expliciet verbod invoert voor leveranciers buiten Europa, verandert het wel degelijk de spelregels. De Europese Commissie kiest niet voor protectionisme, maar voor zichtbaarheid en verifieerbaarheid. Niet de geografische herkomst van leveranciers staat centraal, maar de vraag in hoeverre zij de cyberweerbaarheid van Europese kernbedrijven kunnen versterken of ondermijnen. Door supply-chainrisico’s consistenter afdwingbaar te maken en ENISA een sterkere coördinerende rol te geven, verdwijnen “black-box-leveranciers” geleidelijk uit beeld. Niet-EU-dienstverleners blijven welkom, maar alleen zolang hun governance, beveiliging en afhankelijkheden aantoonbaar beheersbaar zijn binnen het Europese risicokader. Daarmee verschuift de lat: vertrouwen alleen volstaat niet meer, aantoonbare weerbaarheid wel.

De deadline die nooit verschoof

Een veelgestelde vraag is of deze ontwikkelingen de NIS2-tijdslijn wijzigen. Het antwoord is helder: nee.

  • NIS2 is afdwingbaar sinds oktober 2024
  • Nationale wetgeving, inclusief de Belgische omzetting, blijft geldig
  • Bestaande certificeringen en besluiten blijven van kracht

Wat wél verandert, is de verwachting rond maturiteit.

Deze aanbeveling verschuift de focus van loutere naleving naar inzicht in maturiteit. In plaats van te beoordelen of maatregelen bestaan, kijken toezichthouders steeds vaker hoe deze worden toegepast, onderhouden en onderbouwd in de tijd. Door herbruikbare bewijslast, duidelijke governance-structuren en traceerbare besluitvorming te stimuleren, ontstaat een realistischer beeld van de volwassenheid van een organisatie. Maturiteit wordt daarmee niet langer afgeleid uit het aantal controles, maar uit de samenhang tussen risico-inzicht, governance en operationele uitvoering — precies waar duurzame cyberweerbaarheid zichtbaar wordt.

“Compliance die in 2024 werd bereikt, moet in 2026 nog uitgebreider logisch en verdedigbaar zijn.”

Toezichthouders kijken steeds vaker of een compliance-aanpak bestand is tegen juridische evolutie, grensoverschrijdend toezicht en toenemende Europese coördinatie.

Waarom structuur belangrijker wordt dan controles

Een terugkerend thema in het voorstel van de Commissie is hergebruik: hergebruik van bewijs, van toezichtresultaten en van governance-artefacten. Dit past in de bredere EU-ambitie om regeldruk te verminderen zonder de veiligheid te verzwakken.

Het verklaart ook waarom universele, clausule-gebaseerde governance-methodologieën steeds meer aandacht krijgen.

In plaats van NIS2, ISO 27001, DORA of NIST CSF 2.0 , CRA, CSA, EU AI Act, EU Data Act enzovoort als aparte silo’s te implementeren, kiezen gestructureerde en succesvolle organisaties voor één universeel governancekader dat wordt gemapt op meerdere wettelijke regimes. Eén set antwoorden, meerdere compliance-weergaven.

Deze benadering wordt vaak samengevat als:

“De sterkste positie is niet ‘wij voldoen aan NIS2’, maar ‘wij hanteren een governance-model dat vanzelf voldoet aan Europese cyberwetgeving’.”

Die gedachte sluit nauw aan bij de richting van de NIS2-wijzigingen — ook al wordt ze nergens expliciet benoemd in de wetgeving.

Wat dit betekent voor auditors, inspecteurs en implementers

Voor certificerende instellingen (CAB’s), inspecteurs en toezichthouders verschuift de druk. Niet noodzakelijk omhoog, maar naar binnen.

  • Minder focus op documentvolume
  • Meer aandacht voor traceerbaarheid
  • Grotere nadruk op governancebeslissingen
  • Minder checklist-audits

Voor organisaties met een goed gestructureerde governance kan dit het toezicht zelfs vereenvoudigen. Audits verlopen sneller, uitleg wordt consistenter en toezicht voorspelbaarder.

Voor gefragmenteerde compliance-opzetten geldt het omgekeerde.

Ook implementers passen hun aanpak aan. Waar NIS2-projecten aanvankelijk draaiden om het halen van een deadline, ligt de nadruk nu op duurzaamheid: governance die nieuwe richtlijnen, toezichtpraktijken en Europese afstemming kan absorberen zonder telkens opnieuw te moeten worden opgebouwd.

Er komt geen nieuwe deadline — maar wel een nieuwe realiteit.

Een stille verschuiving met blijvende impact

De voorgestelde NIS2-wijzigingen halen geen krantenkoppen met strengere sancties of een bredere scope. Toch herdefiniëren ze stilletjes wat compliance in de praktijk betekent.

“De toekomst van NIS2-compliance ligt niet in meer controles, maar in betere structuur.”

Voor organisaties die oktober 2024 zagen als het einde van het traject, voelt dit mogelijk als een verrassing. Voor wie vroeg investeerde in coherente, herbruikbare governance-modellen, voelt het eerder als bevestiging.

De eindmeet verschoof niet.
Ze heeft nooit bestaan.

Dit artikel is gebaseerd op het voorstel van de Europese Commissie COM(2026) 13 en vroege handhavingservaringen binnen de EU.

Laat een reactie achter

Deel dit artikel

Aanbevolen artikels

Meer items

Blijf up to date met NIS2.news

Schrijf je in voor de nis2.news nieuwsbrief en mis nooit het laaste nieuws over NIS2