Frankrijk en Spanje verwezen naar het HvJ-EU over NIS2: wat leveranciers nu moeten doen

Op 9 juni 2026 heeft de Europese Commissie Frankrijk en Spanje verwezen naar het Hof van Justitie van de Europese Unie omdat ze NIS2 niet in nationale wetgeving hebben omgezet. Ruim 18 maanden na de deadline staat de richtlijn bij de twee grootste economieën van de EU nog steeds niet in de wetboeken — en nu is het enige orgaan dat een lidstaat kan beboeten voor het negeren van EU-recht erbij betrokken.

Adviseert u organisaties die in Frankrijk of Spanje opereren, dan is dit geen verhaal over Brusselse procedures. Het verandert hoe u NIS2-readinesswerk in die markten nu moet afbakenen. Dit is wat de verwijzing werkelijk betekent en wat u uw klanten deze week moet vertellen.

De verwijzing is het eindstation, geen waarschuwingsschot

De Commissie stapt niet als eerste naar het HvJ-EU. De weg naar een verwijzing is lang en weloverwogen, en Frankrijk en Spanje hebben die nu volledig afgelegd.

De omzettingsdeadline was 17 oktober 2024. Slechts vier lidstaten haalden die. De Commissie startte op 28 november 2024 inbreukprocedures tegen 23 landen met formele ingebrekestellingen. Ze escaleerde op 7 mei 2025 met met redenen omklede adviezen aan 19 regeringen — de formele "u heeft twee maanden om te voldoen"-fase. Frankrijk en Spanje stonden op die lijst, voldeden niet, en zijn nu naar het Hof verwezen.

Verwijzing is de laatste fase. Het HvJ-EU is het enige orgaan dat een lidstaat kan veroordelen tot betaling wegens schending van EU-recht, via forfaitaire boetes en dagelijkse dwangsommen die oplopen tot de wet is hersteld. Die financiële druk drukt nu op Parijs en Madrid, wat betekent dat nationale omzetting veel waarschijnlijker in 2026 landt dan opnieuw uitstelt.

NIS2 Implementatiestatus per Land (2025–2026)
✅
Volledig van kracht
🇧🇪België
🇭🇷Kroatië
🇭🇺Hongarije
🇱🇹Litouwen
🇱🇻Letland
🇮🇹Italië
6 landen
📋
Aangenomen — eind 2025
🇩🇪Duitsland
🇨🇿Tsjechië
🇫🇮Finland
3 landen
⏳
In uitvoering — verwacht 2026
🇳🇱Nederland
🇫🇷Frankrijk
🇪🇸Spanje
🇵🇱Polen
🇦🇹Oostenrijk
🇸🇪Zweden
🇮🇪Ierland
7 landen

Frankrijk en Spanje namen verschillende wegen naar dezelfde plek

De twee vertragingen hebben niet dezelfde oorzaak, en dat is relevant voor hoe u de tijdlijn voorspelt.

Spanje keurde in januari 2025 een ontwerp-cyberbeveiligingswet goed in de Ministerraad, maar de definitieve tekst is nog niet gepubliceerd. De wet wordt ergens in 2026 van kracht verwacht. Het kader bestaat op papier — wat ontbreekt is de afkondiging.

Frankrijk verwerkte NIS2 in een bredere wet over de weerbaarheid van kritieke infrastructuur, een ruimer wetgevingspakket dat nog niet volledig is afgekondigd. De richtlijn hangt vast aan een groter, trager voertuig, en daarom is de timing van Frankrijk moeilijker in te schatten.

Voor een consultant is de praktische lezing: beide landen zullen vrijwel zeker binnen 12 maanden wetgeving van kracht hebben, en de HvJ-verwijzing maakt verder uitstel politiek kostbaar. Behandel het ontbreken van een nationale wet als een timingkwestie, niet als reden om te wachten.

"Nog geen nationale wet" is het gevaarlijkste wat een klant kan geloven

Het grootste risico in Frankrijk en Spanje is nu de klant die de koppen leest en concludeert dat hij uitstel heeft. Dat heeft hij niet.

NIS2-verplichtingen vloeien niet alleen voort uit het land waar een bedrijf gevestigd is. Verkoopt uw klant aan, of beheert hij infrastructuur voor, entiteiten in lidstaten die wél hebben omgezet — Duitsland, Italië, België, Nederland en het grootste deel van het blok — dan gelden die verplichtingen al via de toeleveringsketen. Een Franse managed service provider die Duitse essentiële entiteiten bedient, wordt vandaag om Artikel 21-bewijs gevraagd, ongeacht wat Frankrijk wel of niet heeft aangenomen.

De bepalingen over de toeleveringsketen van de richtlijn vormen het mechanisme. Essentiële en belangrijke entiteiten moeten de beveiliging van hun leveranciers beheren, wat betekent dat ze contractuele beveiligingseisen doorschuiven naar leveranciers, ongeacht waar die gevestigd zijn. De verplichting cascadeert van het conforme rechtsgebied naar het niet-conforme.

NIS2-sanctie-escalatie — Voorbij de boete
!
Aanleiding
Non-compliance gedetecteerd of incident treedt op
Een toezichthouder identificeert een compliance-hiaat of een organisatie voldoet niet aan de NIS2-vereisten
Toezichthouders kunnen opleggen
▼
Niet-financiële sancties
1
Nalevingsbevelen met bindende deadlines
2
Verplichte security-audits op eigen kosten
3
Publieke bekendmaking van overtredingen
4
Bindende instructies over specifieke beveiligingsmaatregelen
Escaleert naar
▼
Operationele en persoonlijke gevolgen
1
Opschorting van certificeringen of vergunningen
2
Tijdelijk verbod op bestuursfuncties voor personen
3
Publieke benoeming van verantwoordelijke natuurlijke personen
Aanleiding
Niet-financieel
Operationeel / persoonlijk

De eerlijke boodschap aan een Franse of Spaanse klant is dus: de nationale wet komt eraan, uw klanten in andere lidstaten zijn al gebonden, en de contractuele eisen bereiken u nu. De kloof tussen "ons land heeft niet omgezet" en "wij hebben geen verplichtingen" is precies waar onvoorbereide organisaties worden gepakt.

Reikwijdte bepalen wanneer de nationale tekst nog niet definitief is

De complicatie in Frankrijk en Spanje is dat de definitieve nationale definities — sectorbijlagen, omvangdrempels, het onderscheid tussen essentiële en belangrijke entiteiten — nog niet vastliggen. Reikwijdtebepaling leunt normaal op de specifieke omzettingswet. Die heeft u hier nog niet.

Werk vanuit de richtlijn zelf. De sectorlijsten van NIS2 en de drempel voor middelgrote ondernemingen (50+ werknemers of €10 mln+ omzet, met uitzonderingen voor bepaalde kritieke aanbieders ongeacht omvang) zijn op EU-niveau vastgesteld en zullen bij omzetting nauwelijks veranderen. Een klant die duidelijk onder de richtlijn valt, valt onder de Franse of Spaanse wet. Bouw de readinessbeoordeling nu op de basislijn van de richtlijn, en behandel de uiteindelijke nationale tekst als een verfijning in plaats van een startpunt.

Is NIS2 van toepassing op uw organisatie?
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja▼
Nee▼
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
Ja▼
Nee▼
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja▼
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja ↓Nee →
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
Ja ↓Nee →
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja ↓Nee →
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
Van toepassing
Mogelijk van toepassing
Niet van toepassing

Hier beschermt u ook uw eigen geloofwaardigheid. Vertel klanten welke conclusies vaststaan (gedreven door de richtlijn en onwaarschijnlijk te veranderen) en welke voorlopig zijn (afhankelijk van nog te publiceren nationale specifieke punten). Een gap-analyse gebouwd op de richtlijn is voor 90% duurzaam; markeer de 10% die kan verschuiven.

Wat u deze week met Franse en Spaanse klanten moet doen

De verwijzing is een prikkel, geen brandoefening. Concrete stappen:

Breng eerst de blootstelling van klanten in kaart. Som voor elke klant de lidstaten op die hun klanten en activiteiten raken. Elk conform rechtsgebied op die lijst betekent vandaag actieve verplichtingen, nationale wet of niet. Dit is meestal de snelste manier om een sceptische klant te tonen waarom "we wachten op de wet" de verkeerde houding is.

Voer de gap-analyse uit tegen de basislijn van de richtlijn. Wacht niet op de nationale tekst. De Artikel 21-maatregelen — risicobeheer, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, kwetsbaarheidsafhandeling, basale cyberhygiëne, MFA — zijn op EU-niveau en stabiel. Beoordeel daartegen.

Breng leverancierscontracttaal op orde. De cascade in de toeleveringsketen arriveert via contracten. Klanten die nieuwe beveiligingsclausules van hun Duitse of Italiaanse afnemers ontvangen, moeten die kunnen beantwoorden. Klanten die zelf essentiële of belangrijke entiteiten zijn, moeten eisen gaan doorschuiven naar hun eigen leveranciers.

Documenteer de readinesspositie nu, zodat uw klant bij publicatie van de Franse of Spaanse wet — waarschijnlijk met een korte aanloop naar handhaving — overgaat van "beginnen" naar "aantonen" in plaats van haasten. Organisaties die de vertraging als ademruimte zagen, zullen het handhavingsvenster ongemakkelijk krap vinden.

De HvJ-verwijzing vertelt u dat het uitstel eindigt. De lidstaten die treuzelden, zijn juist degene wier handhaving het scherpst zal zijn zodra de wet landt — precies omdat de Commissie haar geduld al heeft verloren. Positioneer uw klanten om klaar te zijn vóór de tekst definitief is, niet erna.

Wilt u een snelle, gestructureerde lezing of een klant onder de reikwijdte valt en waar de grootste gaten zitten, laat hem dan door de NIS2-readiness quick scan lopen — die werkt vanuit de basislijn van de richtlijn, precies wat u nodig heeft terwijl Frankrijk en Spanje hun nationale wetten afronden.

Voor het bredere beeld van hoe de verplichtingen voor de toeleveringsketen tussen rechtsgebieden bewegen, zie onze gids over NIS2-beveiliging van de toeleveringsketen en leverancierscontracten onder Artikel 21.