Duitslands NIS2-deadline verstreken — 18.000 bedrijven haalden het niet

Er komt een brief van de BSI — de federale cybersecurityautoriteit van Duitsland. Jouw bedrijf had zich uiterlijk 6 maart 2026 moeten registreren. Dat is niet gebeurd. De BSI heeft nu de wettelijke bevoegdheid om jouw organisatie te auditeren, bindende bevelen uit te vaardigen en boetes op te leggen van maximaal €10 miljoen of 2% van de wereldwijde jaaromzet. En onder §38 van de nieuwe BSIG kunnen bestuurders persoonlijk aansprakelijk worden gesteld voor de nalatigheid.

Dit is geen hypothetisch scenario. Het gebeurt nu in Duitsland — en het is een voorproefje van wat er in de rest van de Europese Unie aankomt.

Wat er op 6 maart 2026 gebeurde

De Duitse implementatiewet voor NIS2 — de NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) — trad op 6 december 2025 in werking. Organisaties in scope kregen precies drie maanden de tijd om zich via het speciale portaal bij de BSI te registreren.

Die deadline was 6 maart 2026.

Van de circa 29.500 bedrijven die de BSI schat onder de wet te vallen, hebben slechts ongeveer 11.500 hun registratie op tijd afgerond. Dat betekent dat ruwweg 18.000 organisaties een wettelijke verplichting schenden nog vóórdat ze ook maar begonnen zijn met hun daadwerkelijke cybersecuritymaatregelen.

NIS2 Implementatiestatus per Land (2025–2026)
✅
Volledig van kracht
🇧🇪België
🇭🇷Kroatië
🇭🇺Hongarije
🇱🇹Litouwen
🇱🇻Letland
🇮🇹Italië
6 landen
📋
Aangenomen — eind 2025
🇩🇪Duitsland
🇨🇿Tsjechië
🇫🇮Finland
3 landen
⏳
In uitvoering — verwacht 2026
🇳🇱Nederland
🇫🇷Frankrijk
🇪🇸Spanje
🇵🇱Polen
🇦🇹Oostenrijk
🇸🇪Zweden
🇮🇪Ierland
7 landen

De BSI heeft publiekelijk verklaard systematisch niet-geregistreerde entiteiten te zullen identificeren. Duitsland is de eerste grote EU-lidstaat die dit handhavingsmijlpaal bereikt — en de cijfers zijn opvallend.

Waarom zoveel bedrijven de deadline misten

Drie patronen verklaren de kloof.

Veel organisaties weten nog steeds niet dat ze in scope vallen. De NIS2-richtlijn is van toepassing op bedrijven met meer dan 50 medewerkers of meer dan €10 miljoen jaaromzet die actief zijn in 18 aangewezen sectoren. Duitslands Mittelstand — de ruggengraat van de industriële economie — omvat duizenden middelgrote fabrikanten, logistieke dienstverleners en IT-bedrijven die nooit eerder met cybersecurityregelgeving te maken hadden.

De tijdlijn was krap. Drie maanden tussen de inwerkingtreding van de wet en de registratiedeadline bood weinig ruimte aan bedrijven die nog aan het beoordelen waren of NIS2 überhaupt op hen van toepassing was. Velen wachtten op definitieve duidelijkheid over sectorclassificaties en drempelwaarden.

Toeleveranciers werden verrast. Onder Artikel 21(2)(d) moeten NIS2-entiteiten cybersecurityrisico's in hun toeleveringsketen beheren. Dat betekent dat leveranciers die niet direct in scope vallen, compliancevereisten krijgen opgelegd door hun klanten — maar de registratieplicht geldt voor de NIS2-entiteit, niet voor de leverancier. De verwarring tussen directe verplichtingen en indirecte ketendruk vertraagde de besluitvorming.

Wat de BSI nu kan doen

De handhavingsbevoegdheden van de BSI onder de nieuwe BSIG zijn aanzienlijk:

Proactieve audits. Voor essentiële entiteiten — energie, transport, zorg, digitale infrastructuur, bankwezen — kan de BSI audits uitvoeren zonder op een incident te wachten. Ze kan documentatie opvragen, beveiligingsmaatregelen inspecteren en bewijs van Artikel 21-naleving verlangen.

Bindende bevelen. Als de BSI tekortkomingen constateert, kan ze wettelijk bindende instructies uitvaardigen om die binnen een bepaalde termijn te verhelpen. Niet-naleving van een bindend bevel verhoogt de ernst van de handhaving.

Boetes. Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Belangrijke entiteiten tot €7 miljoen of 1,4%. Dit zijn geen theoretische maxima — het is het kader dat nationale autoriteiten in de hele EU nu mogen toepassen.

Persoonlijke aansprakelijkheid van bestuurders. §38 van de BSIG maakt bestuurders persoonlijk verantwoordelijk voor het goedkeuren en toezicht houden op cybersecurityrisicobeheersmaatregelen. Dit weerspiegelt Artikel 20 van de NIS2-richtlijn, dat de aansprakelijkheid van bestuursorganen in alle lidstaten vastlegt.

NIS2-sanctie-escalatie — Voorbij de boete
!
Aanleiding
Non-compliance gedetecteerd of incident treedt op
Een toezichthouder identificeert een compliance-hiaat of een organisatie voldoet niet aan de NIS2-vereisten
Toezichthouders kunnen opleggen
▼
Niet-financiële sancties
1
Nalevingsbevelen met bindende deadlines
2
Verplichte security-audits op eigen kosten
3
Publieke bekendmaking van overtredingen
4
Bindende instructies over specifieke beveiligingsmaatregelen
Escaleert naar
▼
Operationele en persoonlijke gevolgen
1
Opschorting van certificeringen of vergunningen
2
Tijdelijk verbod op bestuursfuncties voor personen
3
Publieke benoeming van verantwoordelijke natuurlijke personen
Aanleiding
Niet-financieel
Operationeel / persoonlijk

Tijdelijk bestuursverbod. In ernstige gevallen van aanhoudende niet-naleving kan de BSI verzoeken dat bestuurders tijdelijk worden geschorst. Dit is het scherpste handhavingsinstrument in de NIS2-gereedschapskist en Duitsland heeft het expliciet geïmplementeerd.

Wat dit betekent voor de rest van Europa

Duitsland is geen geïsoleerd geval. Het is de vroegste indicator.

België handhaaft zijn NIS2-omzetting al sinds eind 2024 — het eerste EU-land dat dit deed. Italië (ACN) en Kroatië hebben hun kaders op orde. Frankrijk (ANSSI) lanceerde in maart 2026 zijn ReCyF-referentiekader en bouwt zijn handhavingsinfrastructuur op. Nederland verwacht zijn Cyberbeveiligingswet (Cbw) in het tweede kwartaal van 2026, met de RDI (Rijksinspectie Digitale Infrastructuur) als toezichthouder en het NCSC als operationeel aanspreekpunt.

Het patroon is duidelijk: elke EU-lidstaat beweegt van wetgeving naar handhaving. De implementatietijdlijn verschilt per land, maar de richting is uniform.

Als de Duitse ervaring iets leert, dan is het dit: de kloof tussen "de wet bestaat" en "bedrijven zijn klaar" is enorm. En toezichthouders wachten niet tot die kloof is gedicht voordat ze beginnen met handhaven.

Is NIS2 van toepassing op uw organisatie?
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja▼
Nee▼
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
Ja▼
Nee▼
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja▼
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja ↓Nee →
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
Ja ↓Nee →
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja ↓Nee →
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
Van toepassing
Mogelijk van toepassing
Niet van toepassing

Wat je deze week moet doen

Of je organisatie nu in Duitsland of in een andere EU-lidstaat zit, de BSI-deadline is een signaal om in actie te komen.

1. Bepaal of NIS2 op jou van toepassing is. Controleer je personeelsbestand, omzet en sectorclassificatie. De criteria zijn consistent in de hele EU — als je meer dan 50 medewerkers of €10 miljoen omzet hebt en actief bent in een gedekte sector, val je vrijwel zeker in scope.

2. Registreer je bij je nationale autoriteit. De deadline in Duitsland is verstreken, maar andere landen zijn hun registratieportalen nog aan het openen. Nederland (via mijn.ncsc.nl), Frankrijk (via MesServicesCyber) en Italië (via ACN) hebben allemaal registratieprocessen lopen of op komst.

3. Begin met Artikel 21. Registratie is slechts de toegangspoort. De eigenlijke verplichting is het implementeren van de tien cybersecuritymaatregelen uit Artikel 21: risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, ketenbeveiliging, netwerkbeveiliging, kwetsbaarheidsbeheer en meer.

4. Informeer je bestuur. NIS2 is een governanceverplichting, geen IT-project. Artikel 20 vereist dat bestuursorganen cybersecuritymaatregelen goedkeuren en training volgen. Als jouw bestuur NIS2 nog niet heeft besproken, is dat gesprek al te lang uitgesteld.

5. Breng je huidige positie in kaart. Je hebt geen consultant nodig om te beginnen. Een gestructureerde gereedheidscan laat je in minuten zien waar je staat ten opzichte van de NIS2-vereisten — en toont precies waar de hiaten zitten. Start de gratis NIS2-gereedheidscan en ontdek vandaag nog waar jouw organisatie staat.

Het venster sluit zich

Duitslands 18.000 niet-geregistreerde bedrijven ondervinden nu in de praktijk wat handhaving inhoudt. Elke andere EU-lidstaat volgt hetzelfde pad — de enige variabele is het tijdstip.

Organisaties die nu handelen, vóórdat hun nationale deadline aanbreekt, hebben het voordeel van voorbereiding in plaats van de druk van handhaving. Wie wacht, belandt in dezelfde situatie als Duitslands Mittelstand vandaag: een toezichthouder met de bevoegdheid om te auditeren, boetes op te leggen en bestuurders persoonlijk aansprakelijk te stellen — en een complianceprogramma dat al maanden geleden had moeten starten.