België, Kroatië, Italië, Litouwen en Letland zijn de enige EU-lidstaten die de deadline van 17 oktober 2024 voor de implementatie van de NIS2-richtlijn hebben gehaald en daarmee  als eersten aantoonbaar actief zijn bij het verbeteren van de beveiliging van netwerk- en informatiesystemen.

Nederland had in januari 2024 al aangekondigd dat de implementatie van de NIS2-richtlijn complex en tijdrovend is. Minister David van Weel van Justitie en Veiligheid noemde de grote impact op Nederlandse organisaties en het verwerken van 150 reacties uit de internetconsultatie als redenen voor de vertraging. De verwachte inwerkingtreding van de Nederlandse wet, de Cyberbeveiligingswet, is gepland voor het derde kwartaal van 2025.

Tot die tijd zijn de verplichtingen van de NIS2 nog niet van kracht, maar kunnen Nederlandse organisaties al worden geadviseerd over voorbereidingen. Vanaf 17 oktober 2024 krijgen bepaalde organisaties wel toegang tot bijstand bij cyberincidenten en kunnen ze zich vrijwillig registreren bij het Nationaal Cyber Security Centrum (NCSC), wat vanaf 2025 verplicht wordt.
Voor organisaties die momenteel al onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen, blijven de rechten en verplichtingen op grond van die wet gelden totdat de Cyberbeveiligingswet in werking treedt en de Wbni daarmee wordt ingetrokken.

Andere EU-landen, zoals Portugal en Bulgarije, hebben nog geen stappen ondernomen om de NIS2 om te zetten in hun nationale wetgeving.