Plan intake
Wetgeving

Wat is NIS2

Laatst bijgewerkt: 12 mei 2026Leestijd: 6 minDoor URL.nl Redactie

TL;DR

NIS2 is de opvolger van de oorspronkelijke NIB-richtlijn en verbreedt het Europese cybersecurityregime naar achttien sectoren. De richtlijn verplicht essentiële en belangrijke entiteiten tot risicobeheer, incidentmelding binnen 24 uur, registratie en bestuurlijke verantwoordelijkheid. In Nederland landt NIS2 via de Cyberbeveiligingswet. Voorbereiden kun je nu al, ook al is de Nederlandse wet nog niet in werking.

Wat is NIS2

NIS2 (Network and Information Security Directive 2) is een Europese richtlijn die de digitale weerbaarheid van organisaties in vitale en belangrijke sectoren verhoogt. De richtlijn vervangt de eerdere NIB-richtlijn uit 2016 en verbreedt de reikwijdte fors: van zes naar achttien sectoren, met strengere verplichtingen, hogere boetes en directe bestuurlijke aansprakelijkheid.

Wie valt eronder

NIS2 splitst organisaties in essentiële en belangrijke entiteiten. De indeling volgt uit sector, omvang (50 medewerkers of 10 miljoen euro omzet als ondergrens) en rol in de keten. Sommige sectoren vallen ongeacht omvang onder de wet, zoals digitale infrastructuur en delen van de overheid.

De achttien sectoren omvatten onder andere energie, vervoer, banken, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer, overheid, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, levensmiddelen, productie van kritieke producten, digitale aanbieders en onderzoek.

Vier kernverplichtingen

NIS2 rust op vier pijlers:

  • Registratieplicht bij de bevoegde toezichthouder
  • Zorgplicht: tien concrete maatregelen rond risicobeheer
  • Meldplicht: vroegtijdige waarschuwing binnen 24 uur, incidentmelding binnen 72 uur, eindrapport binnen één maand
  • Bestuurlijke verantwoordelijkheid: bestuurders zijn persoonlijk verantwoordelijk en aansprakelijk

Boetes en handhaving

Voor essentiële entiteiten geldt een maximumboete van 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, de hoogste van de twee. Voor belangrijke entiteiten is dat 7 miljoen euro of 1,4 procent. Toezichthouders kunnen daarnaast bestuurders tijdelijk schorsen of certificeringen intrekken.

NIS2 in Nederland

De Nederlandse implementatie loopt via de Cyberbeveiligingswet. Inwerkingtreding wordt naar verwachting rond 1 juli 2026, maar de richtlijn zelf is in Europa al van kracht sinds 17 januari 2023. Voorbereiden vergt geen wettelijk startsein, organisaties die wachten lopen achter de feiten aan.

Eerste stappen

  1. Bepaal of je organisatie onder de scope valt
  2. Voer een gap-analyse uit op de tien maatregelen
  3. Maak een prioritering op basis van risico
  4. Borg bestuurlijke betrokkenheid en training
  5. Plan een externe toets voor je de eerste melding doet

Veelgestelde vragen

Geldt NIS2 ook voor het MKB?

Ja, vanaf 50 medewerkers of 10 miljoen euro omzet, met uitzondering van sectoren waar geen ondergrens geldt.

Wanneer moet ik aantoonbaar voldoen?

Vanaf inwerkingtreding van de Cyberbeveiligingswet, naar verwachting rond 1 juli 2026. Toezicht start kort daarna.

Is een ISO 27001-certificaat genoeg?

Niet automatisch. ISO 27001 dekt veel, maar NIS2 stelt specifieke eisen aan meldplicht, leveranciersketen en bestuurlijke verantwoordelijkheid die expliciet ingericht moeten zijn.

Deze informatie is bedoeld als praktische uitleg en vormt geen juridisch advies. Controleer altijd de actuele wetgeving en raadpleeg waar nodig een juridisch adviseur of toezichthouder.

Verder lezen

Laatst bijgewerkt op 12 mei 2026 door de URL.nl Redactie.

Wil je weten wat jouw organisatie nodig heeft?

Plan een korte cybersecurity intake. We nemen samen je situatie door en geven concrete vervolgstappen.

Plan een cybersecurity intake