NIS2 in een notendop: wat je moet weten

NIS2 is breder, strenger en al van kracht. Dit is wat het betekent voor je organisatie.
May 20, 2026
Ivar van Duuren

Onze samenleving draait op digitale systemen, maar die zijn kwetsbaar voor cyberaanvallen. Cybercriminaliteit is een miljardenindustrie en criminelen gebruiken digitale wapens als strategisch instrument. Met de opkomst van hybride werk en geopolitieke spanningen is een aanval geen kwestie van of, maar wanneer.  

Daarom scherpt de EU de regels aan met NIS2. Deze richtlijn legt strengere eisen op aan belangrijke organisaties en partners in de toeleveringsketen. Als u zich niet aan de regels houdt, kan dit leiden tot hoge boetes en grote risico's.  

In dit artikel leggen we uit wat NIS2 betekent, vergelijken we dit met de oude richtlijn en geven we praktische tips om NIS2-compatibel te worden.

Van NIS naar NIS2

NIS2 (Network Information Security 2) is een EU-richtlijn om de cyberweerbaarheid in Europa te versterken. Het dient als basis voor nationale wetgeving en bepaalt de minimale veiligheidsmaatregelen die organisaties moeten nemen, op wie de regels van toepassing zijn en de gevolgen van niet-naleving.

Richtlijn versus regelgeving

NIS2 is een richtlijn, geen verordening. Dit betekent dat de EU-lidstaten de regels moeten vertalen in nationale wetgeving, met een bindend resultaat. In oktober 2024 moeten ze dit hebben geregeld.  

De opvolger van NIS

Sinds 2016 is de NIS-richtlijn, die in Nederland is opgenomen in de Wbni (Wet beveiliging netwerk- en informatiesystemen), van kracht. NIS2 is een uitgebreide update die de huidige cyberdreigingen beter weergeeft en van toepassing is op meer sectoren, zoals ICT-dienstverleners, de maakindustrie en vitale toeleveringsketens. Daarnaast introduceert NIS2 een meldingsplicht voor cyberincidenten en strengere handhaving, waardoor de lidstaten actief moeten toezien op de naleving.  

Nog in ontwikkeling

De richtlijn werd in december 2022 goedgekeurd, maar de uitvoering evolueert nog steeds. De lidstaten moeten niet alleen wetten maken, maar ook handhavingsmechanismen ontwikkelen. Net als bij de AVG zal elke sector praktische manieren moeten vinden om hieraan te voldoen.  

Het wettelijk kader van NIS2

NIS2 richt zich op organisaties met een sociale functie en maakt onderscheid tussen:

  1. Essentiële organisaties - Grote bedrijven (≥ 250 werknemers of een omzet van meer dan €50 miljoen).
  2. Grote organisaties - Middelgrote bedrijven (≥ 50 werknemers of een omzet van meer dan €10 miljoen).
  3. Ketenpartners - Leveranciers aan essentiële of belangrijke organisaties.
  4. Strategische kleine bedrijven - Bijvoorbeeld beheerders van topleveldomeinen of telecomdiensten.
  5. Aangewezen uitzonderingen - Organisaties die door de overheid worden verplicht om te voldoen aan NIS2.

Toezicht en handhaving

NIS2 is wettelijk verplicht en de controle verschilt per categorie:

  • Essentiële organisaties: te allen tijde proactieve nalevingscontroles.
  • Belangrijke organisaties: Monitoring na een incident of een concrete oorzaak.

Ketenpartners

Zelfs bedrijven zonder een direct NIS2-label moeten mogelijk hieraan voldoen als ze deel uitmaken van een kritieke toeleveringsketen. Dit voorkomt cyberaanvallen via zwakke links.

Boetes en aansprakelijkheid

  • Essentiële organisaties: boetes tot €10 miljoen of 2% van de wereldwijde omzet.
  • Grote organisaties: boetes tot €7 miljoen of 1,4% van de omzet.
  • Bestuurdersaansprakelijkheid: Bestuurders zijn persoonlijk verantwoordelijk voor de naleving.

Kernprincipes van NIS2

NIS2 legt organisaties verplichtingen op binnen twee hoofdpijlers:

1. Zorgplicht

Organisaties moeten passende maatregelen nemen om digitale veiligheid en continuïteit te waarborgen. NIS2 schrijft geen specifieke technologieën voor, maar benadrukt dat maatregelen technisch, operationeel en organisatorisch proportioneel moeten zijn. De belangrijkste aandachtsgebieden zijn:  

  • Risicoanalyse: Regelmatige evaluatie van veiligheidsrisico's, waaronder pentesten.
  • Effectiviteit van maatregelen: Voortdurende monitoring van de vraag of de veiligheidsmaatregelen voldoende zijn.
  • Ketenbeveiliging: Coördineer met leveranciers over gegevensbeveiliging en communicatie.
  • Bewustzijn over cyberhygiëne en beveiliging: Verplichte training om werknemers bewust te maken van cyberrisico's.
  • Encryptie: Gevoelige gegevens en communicatie moeten versleuteld zijn.
  • Fysieke beveiliging: Toegangscontrole voor medewerkers, bezoekers en systemen.
  • Multifactor-authenticatie (MFA): verplicht waar relevant.
  • Beveiliging van informatiesystemen: Oplossingen zoals identiteitsbeheer, eindpuntbeveiliging en cloudbeveiliging.
  • Kwetsbaarheidsbeheer: Kwetsbaarheden proactief aanpakken met een update- en patchbeleid.
  • Reactie op incidenten: Een duidelijk plan met verantwoordelijkheden in geval van cyberincidenten.
  • Continuiteitsbeheer: snelle hervatting van de dienstverlening na een aanval met back-ups en onvoorziene gebeurtenissen.

NIS2 vereist dat organisaties niet alleen hun eigen beveiliging op orde hebben, maar ook dat ze risico's in hun toeleveringsketen en interne processen structureel aanpakken.

2. Meldingsplicht

NIS2 introduceert een meldingsplicht voor digitale verstoringen. Organisaties moeten incidenten melden bij de bevoegde autoriteit, vergelijkbaar met de meldplicht op grond van de AVG.

Rapportagevereisten:

  • Incidenten met een onderbreking van de dienstverlening moeten worden gemeld binnen 24 uur.
  • Andere incidenten moeten worden gemeld binnen 72 uur.
  • Een maand na het incident moet een eindrapport worden ingediend, waarin de onderzoeksresultaten, de impact en de genomen maatregelen worden beschreven.
  • De melding moet worden ingediend bij de relevante autoriteit (momenteel het NCSC).

Implementatie van NIS2

Naleving van NIS2 vereist een doordachte aanpak. Cyberbeveiliging is niet alleen een wettelijke verplichting, maar ook essentieel voor bedrijfscontinuïteit en maatschappelijke stabiliteit.

Stap 1: Voer een risicoanalyse uit

  • Identificeer en evalueer risico's op het gebied van informatiebeveiliging.
  • Prioriteer risico's op basis van impact en waarschijnlijkheid.

Stap 2: Implementatie van beveiligingsmaatregelen

  • Kies maatregelen op basis van risicoanalyse en NIS2-richtlijn.
  • Zorg voor de technische en organisatorische beveiliging van gegevens en systemen.

Stap 3: Ontwikkel responsplannen voor incidenten

  • Definieer rollen en verantwoordelijkheden bij beveiligingsincidenten.
  • Stel procedures vast voor detectie, melding en herstel na incidenten.
  • Medewerkers opleiden in incidentmanagement.

Stap 4: Monitoring en evaluatie

  • Stel een bewakingsprogramma op om afwijkingen en incidenten op te sporen.
  • Evalueer en verbeter beveiligingsmaatregelen op basis van nieuwe bedreigingen.
  • Zorg ervoor dat aan de NIS2-rapportagevereisten wordt voldaan.

Gebruik van bestaande kaders en certificeringen

ICT-dienstverleners voor essentiële of belangrijke organisaties moeten mogelijk een door de EU erkende certificering verkrijgen.

  • CIS-besturingselementen biedt een lijst van 120 best practices op het gebied van cyberbeveiliging.
  • ISO 27001 en NEN 7510 zijn waardevolle certificeringen, maar garanderen niet automatisch de NIS2-conformiteit.

Door vroeg aan de slag te gaan, kunnen organisaties structureel voldoen aan de NIS2-richtlijn en de digitale weerbaarheid versterken.

Samenvatting NIS2

NIS2 is de bijgewerkte EU-richtlijn inzake cyberbeveiliging die is ontworpen om de digitale veerkracht in Europa te versterken.

  • Vervangt de NIS-richtlijn en vormt de basis voor nationale wetgeving.
  • Van toepassing op:
    • Essentiële en belangrijke organisaties.
    • Ketenpartners en specifieke kleine bedrijven.
    • Organisaties in de internetinfrastructuur en overheidsinstellingen.
  • Verplichtingen:
    • Implementatie van beveiligingsmaatregelen.
    • Melding van cyberincidenten binnen 24 uur (in geval van verstoring) of 72 uur (in andere gevallen).
  • Handhaving en sancties:
    • Proactieve controles voor essentiële organisaties.
    • Cheques for reason voor belangrijke organisaties.
    • Boetes voor niet-naleving, waarbij bestuurders hoofdelijk aansprakelijk zijn.
  • De NIS2-richtlijn heeft twee pijlers:
    • Zorgplicht: passende technische, operationele en organisatorische maatregelen.
    • Meldingsplicht: tijdige melding van cyberincidenten.
  • Hulpmiddelen voor naleving:
    • CIS-controles (beste praktijken).
    • Certificeringen zoals ISO 27001 en NEN 7510 helpen, maar garanderen geen automatische naleving.

Conclusie

Sterke cyberbeveiliging is nooit optioneel geweest, en NIS2 bevestigt dat. Maar naleving alleen mag niet de drijfveer zijn.

De echte reden voor robuuste beveiliging:

  • Bescherming van de organisatie: Voorkomen van serviceonderbrekingen, gegevensdiefstal en reputatieschade.
  • Sociale impact: Beperking van economische schade en uitval van kritieke faciliteiten.

Beveiliging is geen checklist, maar een continu proces. NIS2 is slechts een stap in een breder regelgevingskader. Digitale veerkracht is en blijft essentieel — niet alleen voor NIS2, maar ook voor de toekomst van cyberbeveiliging.

ISOPlanner™ NIS2 is een compleet compliancepakket dat organisaties voorbereidt op NIS2-eisen, volledig geïntegreerd met Microsoft 365.

Related Posts

No items found.