NIS2, de Europese cyberbeveiligingsrichtlijn uitgelegd
TL;DR
NIS2 is een Europese richtlijn die de eisen voor cyberbeveiliging in achttien sectoren fors aanscherpt. De richtlijn verplicht aangewezen organisaties tot risicobeheer, incidentmelding binnen 24 uur, registratie bij de toezichthouder en bestuurlijke verantwoordelijkheid. In Nederland wordt NIS2 omgezet via de Cyberbeveiligingswet, die naar verwachting rond 1 juli 2026 in werking treedt. Boetes lopen op tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet. Wie nu start met een nulmeting, documentatie en bestuurlijke rapportage staat in de eerste handhavingsronde aan de juiste kant.
Wat is NIS2
NIS2 is de tweede versie van de Network and Information Security Directive, formeel Richtlijn (EU) 2022/2555. De richtlijn vervangt de oude NIS1 uit 2016 en vergroot zowel de groep organisaties die onder cyberbeveiligingstoezicht valt, als de zwaarte van de verplichtingen. De richtlijn moest uiterlijk 17 oktober 2024 zijn omgezet in nationale wetgeving. Nederland heeft die deadline niet gehaald en werkt aan een eigen invulling via de Cyberbeveiligingswet.
NIS2 is geen vrijblijvend kader. Toezichthouders krijgen handhavingsbevoegdheden, kunnen boetes opleggen en kunnen bestuurders tijdelijk uit hun functie zetten als zij hun toezichthoudende rol op cybersecurity niet aantoonbaar invullen.
Waarom NIS2 er is
Het aantal grootschalige cyberincidenten in Europa neemt al jaren toe. Ransomware bij ziekenhuizen, uitval van logistieke ketens en aanvallen op drinkwater- en energievoorziening laten zien dat een verstoring in een individueel bedrijf snel maatschappelijke gevolgen krijgt. NIS1 dekte slechts een beperkte groep vitale aanbieders en werd per lidstaat verschillend ingevuld. Daardoor ontstonden grote verschillen in weerbaarheid binnen de Europese interne markt.
NIS2 wil drie dingen tegelijk doen: de groep onder toezicht vergroten, de eisen harmoniseren tussen lidstaten en het bestuur expliciet verantwoordelijk maken.
Voor wie geldt NIS2
NIS2 geldt voor organisaties die in een aangewezen sector actief zijn en die boven de omvangsdrempel uitkomen. De algemene drempel is 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro. Voor kleinere organisaties kan de richtlijn alsnog gelden als zij worden aangemerkt als kritieke aanbieder, of als zij de enige aanbieder van een essentiële dienst zijn.
De achttien sectoren zijn verdeeld in twee bijlagen:
Bijlage I, sectoren met hoge kritikaliteit
Energie, vervoer, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer, overheidsdiensten en de ruimtevaartsector.
Bijlage II, overige kritieke sectoren
Post- en koeriersdiensten, afvalbeheer, productie en distributie van chemische stoffen, productie en verwerking van levensmiddelen, vervaardiging van bepaalde producten waaronder medische hulpmiddelen, computers, elektrische apparatuur en motorvoertuigen, digitale aanbieders en onderzoeksinstellingen.
Essentieel of belangrijk
NIS2 onderscheidt twee categorieën entiteiten. Het verschil bepaalt vooral de zwaarte van het toezicht en de maximale boete, de inhoudelijke verplichtingen zijn grotendeels gelijk.
| Categorie | Wanneer | Toezicht |
|---|---|---|
| Essentiële entiteit | Grote organisatie (250+ medewerkers of 50+ miljoen euro omzet) in bijlage I sector | Proactief, ook zonder incident |
| Belangrijke entiteit | Middelgrote organisatie in bijlage I, of grote en middelgrote in bijlage II | Reactief, na signaal of incident |
Belangrijkste verplichtingen
NIS2 stelt vier kernverplichtingen, die alle vier aantoonbaar moeten worden ingevuld. Aantoonbaar betekent met documentatie, beslisstukken en logging, niet met goede bedoelingen.
Zorgplicht
Passende technische, operationele en organisatorische maatregelen voor risicobeheer. De richtlijn noemt onder andere risicoanalyse, incident handling, bedrijfscontinuïteit en back-up, beveiliging van de toeleveringsketen, veilige ontwikkeling en aankoop van systemen, encryptie, toegangsbeheer, multifactorauthenticatie en beleid voor opleiding. Zie NIS2 zorgplicht uitgelegd.
Meldplicht
Significante incidenten worden gemeld bij de bevoegde autoriteit en, waar relevant, bij betrokken klanten. Zie NIS2 meldplicht.
Registratieplicht
Aangewezen entiteiten registreren zich bij de toezichthouder. In Nederland gebeurt dit via de bevoegde sectorale toezichthouder. Zie NIS2 registratieplicht.
Bestuurlijke verantwoordelijkheid
Het bestuur keurt de risicomaatregelen goed, ziet toe op de uitvoering en is verplicht periodiek bijgeschoold te worden op cybersecurity. Bij ernstige tekortkomingen kunnen bestuurders persoonlijk worden aangesproken.
Meldtermijnen voor incidenten
De meldtermijnen onder NIS2 zijn strak en cumulatief.
| Termijn | Wat moet je doen |
|---|---|
| Binnen 24 uur | Vroegtijdige waarschuwing met indicatie van aard, oorzaak en mogelijke grensoverschrijdende impact |
| Binnen 72 uur | Incidentmelding met initiële beoordeling, ernst, impact en indicators of compromise |
| Binnen 1 maand | Eindrapport met diepteanalyse, oorzaken, getroffen maatregelen en eventuele restschade |
Boetes en handhaving
De maximale boetes onder NIS2 zijn bewust hoog gezet om de richtlijn afdwingbaar te maken.
| Categorie | Maximale boete |
|---|---|
| Essentiële entiteit | 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, het hoogste bedrag geldt |
| Belangrijke entiteit | 7 miljoen euro of 1,4 procent van de wereldwijde jaaromzet, het hoogste bedrag geldt |
Naast boetes kan de toezichthouder dwingen tot openbaarmaking, tijdelijk de dienstverlening laten staken of bestuurders verbieden om leidinggevende functies te bekleden tot er aantoonbaar is bijgestuurd.
NIS2 in Nederland
Nederland zet NIS2 om via de Cyberbeveiligingswet. Deze wet treedt 1 juli 2026 in werking, onder voorbehoud van de behandeling in de Tweede en Eerste Kamer. Tot die datum geldt de richtlijn nog niet rechtstreeks, maar toezichthouders en het NCSC verwachten dat organisaties zich nu al voorbereiden. Lees meer op de Cyberbeveiligingswet-pagina.
Hoe je NIS2 praktisch aanpakt
Een werkbare voorbereiding bestaat uit drie sporen die je parallel inricht.
Spoor 1, weet waar je staat
Bepaal of je onder NIS2 valt, in welke categorie, en welke wettelijke kaders verder van toepassing zijn. Maak een asset- en leverancierslijst en voer een eerste risicoanalyse uit. Resultaat: een nulmeting die je aan het bestuur kunt voorleggen.
Spoor 2, vul de verplichtingen aantoonbaar in
Werk de zorgplicht, meldplicht en registratieplicht uit in beleid, procedures en techniek. Leg beslissingen en bewijslast vast in één centraal dossier. Richt een bestuurlijke rapportagecyclus in.
Spoor 3, blijf actueel
Cybersecurity is geen project. Plan periodieke kwetsbaarheidsscans, jaarlijkse pentest, awareness-cyclus en oefeningen van het incidentplan. URL.nl voert dit uit met onze cybersecurity partners.
Bekijk de aanpak per sector of de losse diensten.
Veelgestelde vragen
Valt mijn organisatie automatisch onder NIS2 als ik in een aangewezen sector zit?
Niet automatisch. De omvangsdrempel van 50 medewerkers of 10 miljoen euro omzet is bepalend, met uitzonderingen voor kritieke aanbieders. Een korte scope-analyse geeft binnen een dag uitsluitsel.
Geldt NIS2 nu al, of pas na invoering van de Cyberbeveiligingswet?
NIS2 als richtlijn werkt pas via nationale wetgeving. In Nederland krijgt zij effect zodra de Cyberbeveiligingswet in werking treedt, naar verwachting rond 1 juli 2026. Voorbereiding nu is sterk aan te raden omdat een gemiddeld traject zes tot twaalf maanden kost.
Wij hebben al ISO 27001, zijn we dan NIS2-compliant?
ISO 27001 dekt een groot deel van de zorgplicht, maar niet alles. Meldplicht, registratie en bestuurlijke verankering vragen aanvullende stappen. Het scheelt wel veel werk en wij sluiten onze aanpak hierop aan.
Wat als we als leverancier indirect onder NIS2 vallen?
Steeds vaker eisen NIS2-plichtige klanten in contracten dat hun leveranciers vergelijkbare maatregelen treffen. Ook zonder formele aanwijzing kun je dus de facto onder de verplichtingen vallen via de keten.
Officiële bronnen
- NCSC, Nationaal Cyber Security Centrum
- RDI, Rijksinspectie Digitale Infrastructuur
- Rijksoverheid
- Digitale Overheid
- Europese Commissie, NIS2-richtlijn
- EUR-Lex, EU-wetteksten
Wil je weten wat jouw organisatie nodig heeft?
Plan een korte cybersecurity intake. We nemen samen je situatie door en geven concrete vervolgstappen.
Plan een cybersecurity intake