Steeds meer processen in ons dagelijks leven verlopen digitaal. Dat biedt kansen, maar het biedt ook kansen aan cybercriminelen om essentiële diensten en sectoren te verstoren. Uit onderzoek van het Europese cybersecurityagentschap ENISA blijkt dat 53,7% van de geregistreerde cyberaanvallen in de EU in 2025 gericht was op overheidsorganisaties, transport, digitale infrastructuur en diensten, de financiële sector of de maakindustrie.
Bij het merendeel van de aanvallen werd phishing (60%) gebruikt – waarbij criminelen zich voordoen als vertrouwde partijen om gebruikers gevoelige informatie te ontfutselen – en het misbruiken van kwetsbaarheden (21,3%). Dat onderstreept waarom goede bescherming onmisbaar is.
Vanwege deze groeiende dreiging heeft de Europese Commissie in 2024 een update uitgebracht van de Network and Information Systems Directive uit 2016. De oorspronkelijke wet verplichtte bedrijven in bepaalde sectoren om beveiligingsmaatregelen te nemen en incidenten te melden. NIS2 breidt het toepassingsgebied fors uit en verscherpt de handhaving. Organisaties die eronder vallen, moeten risico's verkleinen en hun beveiliging verbeteren.
In dit artikel lees je hoe de wet in Nederland wordt geïmplementeerd, hoe NIS2 zich verhoudt tot de Cybersecurity Act en welke stappen je moet zetten om aan je verplichtingen te voldoen.
Belangrijkste inzichten
- NIS2 is een antwoord op de stijging van cyberaanvallen in de EU. De richtlijn breidt het aantal sectoren dat eronder valt uit en vereist een risico-gebaseerd beveiligingsraamwerk dat past bij het kritieke karakter van je diensten.
- Organisaties die onder NIS2 vallen moeten hun kernmaatregelen versterken op het gebied van incidentafhandeling, bedrijfscontinuïteit, ketenbeveiliging, security-by-design, testen, training, encryptie en toegangsbeheer voor kritieke systemen.
- NIS2 verscherpt de meldplicht met gefaseerde deadlines: doorgaans een vroegtijdige waarschuwing binnen 24 uur, een melding binnen 72 uur en een eindrapport binnen één maand, plus tussentijdse updates en klantnotificaties wanneer verstoring waarschijnlijk is.
- De Nederlandse implementatie verloopt via de Cyberbeveiligingswet (Cbw). NIS2 wordt naar verwachting vanaf Q2 2026 in de praktijk van toepassing en toezichthouders kunnen bewijs opvragen en naleving controleren.
- De EU Cybersecurity Act is een aanvulling op NIS2. De verordening biedt EU-brede certificeringsschema's waarmee je zekerheid kunt aantonen over ICT-producten en leveranciers, maar vervangt je governanceverplichtingen niet.
- NIS2 maakt cybersecurity een bestuurlijke verantwoordelijkheid. Het bestuur moet actief toezicht houden en bij niet-naleving riskeren organisaties forse boetes. Individuele bestuurders kunnen zelfs tijdelijk worden uitgesloten van leidinggevende functies.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn creëert een raamwerk om cybersecurity te versterken in belangrijke en essentiële sectoren binnen de EU.
Als uitbreiding op de oorspronkelijke NIS-richtlijn legt de wet circa 160.000 organisaties verplichtingen op om:
- Een risicomanagementaanpak te hanteren en een beveiligingsraamwerk op te bouwen dat past bij hun risiconiveau en het kritieke karakter van hun diensten.
- Te zorgen dat het volgende op orde is:
- Risicoanalyse en beveiligingsbeleid
- Processen voor preventie, detectie en respons bij incidenten
- Bedrijfscontinuïteit (back-ups, disaster recovery, crisismanagement)
- Beveiliging van de toeleveringsketen en leveranciers
- Beveiliging bij aanschaf, ontwikkeling en onderhoud van systemen (security-by-design)
- Testen en beoordelen (denk aan audits, assessments, tabletop-oefeningen)
- Basis-cyberhygiëne en personeelstraining
- Cryptografie en encryptie waar van toepassing
- Toegangsbeheer en identiteitsmanagement (inclusief sterke authenticatie voor kritieke systemen).
- Significante incidenten te melden bij de bevoegde nationale autoriteit of Computer Security Incident Response Teams (CSIRT), via gefaseerde rapportage:
- Vroegtijdige waarschuwing binnen 24 uur na ontdekking
- Melding binnen 72 uur
- Eindrapport binnen één maand
- Plus tussentijdse updates waar nodig.
- Getroffen afnemers te informeren wanneer een incident waarschijnlijk leidt tot verstoring van de dienstverlening of hen materieel raakt.
- Mee te werken met toezichthouders en bewijs te bewaren om aan toezichthouders te kunnen tonen.
De update bracht meer sectoren onder het toepassingsgebied. Middelgrote en grote bedrijven in deze sectoren moeten eraan voldoen. Lidstaten mogen de richtlijn ook toepassen op kleinere organisaties met een hoog risicoprofiel. Daarnaast maakt NIS2 bestuursorganen aansprakelijk voor inbreuken door de entiteit.
Organisaties zijn nu ook verantwoordelijk voor het aanpakken van cybersecurityrisico's in hun toeleveringsketen. Nationale autoriteiten hebben meer bevoegdheden om de implementatie te controleren en te handhaven.
De NIS2-richtlijn treedt in Nederland in werking vanaf het tweede kwartaal van 2026.
Begrippen
Hieronder vind je een aantal termen die je tegenkomt bij NIS2 en de Cybersecurity Act.
| Term | Korte uitleg |
| NIS2 | De EU-richtlijn voor netwerk- en informatiebeveiliging. Legt cybersecurity-risicomanagement en incidentmeldingsplichten op aan organisaties die als essentieel of belangrijk worden aangemerkt. |
| NIS (NIS1) | De eerdere EU-cybersecurityrichtlijn die voor het eerst basismaatregelen en meldplichten introduceerde voor bepaalde aanbieders van essentiële diensten en digitale dienstverleners. Later uitgebreid en aangescherpt door NIS2. |
| Essentiële entiteit | Een organisatie met hogere kritikaliteit onder NIS2 (doorgaans in sectoren als energie, transport, gezondheidszorg, digitale infrastructuur). Toezichthouders houden hier nauwer toezicht op en kunnen strengere handhaving toepassen. |
| Belangrijke entiteit | Een organisatie die onder NIS2 valt en dezelfde kernverplichtingen heeft, maar doorgaans lichter en meer reactief toezicht krijgt dan essentiële entiteiten. |
| Single point of contact (SPOC) | De nationale coördinatiefunctie die NIS2-communicatie en samenwerking tussen autoriteiten en met andere EU-landen beheert. |
| CSIRT | Een Computer Security Incident Response Team dat organisaties helpt bij het afhandelen van incidenten en incidentmeldingen ontvangt onder NIS2. |
| NCSC (Nederland) | Het Nationaal Cyber Security Centrum (NCSC), dat een centrale rol speelt in de nationale cybercoördinatie en expertise in Nederland, inclusief ondersteuning bij incidentrespons. |
| Cyberbeveiligingswet (Cbw) | De Nederlandse wet die NIS2 implementeert in Nederland. |
| Significant incident | Een cyberincident met materiële impact, zoals ernstige dienstverstoring of grote operationele of financiële gevolgen, dat de NIS2-meldplicht activeert. |
| Incidentrapportage (vroegtijdige waarschuwing en melding) | NIS2 vereist gefaseerde rapportage van significante incidenten, beginnend kort na detectie en gevolgd door vollediger rapportage naarmate de feiten duidelijker worden. |
| ENISA | Het EU-agentschap voor cybersecurity. Ondersteunt lidstaten en EU-instellingen met richtlijnen, coördinatie en het opbouwen van cybersecurity-capaciteit. |
| EU Cybersecurity Act | De EU-verordening die het mandaat van ENISA versterkte en een EU-breed certificeringsraamwerk creëerde voor ICT-producten, -diensten en -processen. De Europese Commissie heeft een voorstel ingediend voor een nieuwe versie die Europa weerbaarder moet maken tegen de dagelijkse cyber- en hybride aanvallen op essentiële diensten en democratische instellingen. |
Op welke organisaties is NIS2 van toepassing?
NIS2 is van toepassing op organisaties in "essentiële" en "belangrijke" sectoren, zoals aangewezen in Bijlage I en Bijlage II van de richtlijn, en die aan een van de volgende criteria voldoen:
- Een middelgrote organisatie met minimaal 50 werknemers of een jaaromzet of balanstotaal van meer dan €10 miljoen. Dit geldt als een belangrijke entiteit.
- Een grote organisatie met meer dan 250 werknemers of een netto-omzet van meer dan €50 miljoen en een balanstotaal van meer dan €43 miljoen. Dit geldt als een essentiële entiteit.
- Een micro- of kleinbedrijf dat een van de volgende taken uitvoert:
- Vertrouwensdienstverleners
- Registers voor topleveldomeinnamen
- Aanbieders van domeinnaamregistratiediensten
- Aanbieders van openbare elektronische communicatienetwerken
- Aanbieders van openbaar beschikbare elektronische communicatiediensten.
- Een micro- of kleinbedrijf dat diensten levert die essentieel zijn voor de samenleving of de Nederlandse economie.
- Een overheidsorganisatie die actief is in een van de genoemde sectoren.
De sectoren die onder NIS2 vallen, worden als volgt onderverdeeld:
Hoge kritikaliteit: energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening (business-to-business), openbaar bestuur en ruimtevaart.
Overige kritieke sectoren: post- en koeriersdiensten, afvalbeheer, productie en distributie van chemicaliën, productie en verwerking van voedsel, maakindustrie, digitale dienstverleners en onderzoek.
Relatie tussen NIS2 en de EU Cybersecurity Act
| Onderwerp | NIS2 (Richtlijn (EU) 2022/2555) | EU Cybersecurity Act (Verordening (EU) 2019/881) | Hoe ze in de praktijk samenhangen |
| Hoofddoel | Verhoogt de minimumnorm voor cybersecurity-risicomanagement, incidentrapportage, governance en toezicht voor organisaties die onder de richtlijn vallen. | Creëert een EU-breed certificeringsraamwerk voor cybersecurity en versterkt de rol van ENISA. | NIS2 bepaalt welke resultaten je moet bereiken. De Cybersecurity Act biedt een EU-instrumentarium (certificering) waarmee je beveiligingsmaatregelen kunt aantonen en standaardiseren. |
| Op wie van toepassing | "Essentiële" en "belangrijke" entiteiten in aangewezen sectoren, plus bepaalde regels op basis van omvang. Handhaving via de Cyberbeveiligingswet en Nederlandse toezichthouders. | Geldt EU-breed als raamwerk voor certificeringsschema's die leveranciers en afnemers kunnen gebruiken (niet beperkt tot NIS2-sectoren). | Als je onder NIS2 valt, wordt mogelijk verwacht dat je sterkere zekerheid biedt over leveranciers en systemen. EU-certificering kan daarvoor als bewijs dienen. |
| Risicomanagementmaatregelen | Vereist "passende en evenredige" maatregelen op gebieden als toegangsbeheer, incidentafhandeling, bedrijfscontinuïteit, ketenbeveiliging en meer. | Definieert een Europees certificeringsraamwerk met schema's die beveiligingseisen en zekerheidsniveaus kunnen stellen voor ICT-producten, -diensten en -processen. | Certificering is een gestructureerde manier om aan te tonen dat een product of dienst aan je beveiligingseisen voldoet. Dit kan je NIS2-inspanningen ondersteunen, met name bij ketenbeveiliging. |
| Certificering specifiek | Vereist dat organisaties die eronder vallen ICT-producten, -diensten en -processen gebruiken die gecertificeerd zijn onder Europese cybersecuritycertificeringsschema's (artikel 21). | Regelt hoe EU-certificeringsschema's worden ontwikkeld en onderhouden (via ENISA en EU-governancestructuren), inclusief de zekerheidsniveaus die schema's hanteren. | NIS2 kan verwijzen naar Cybersecurity Act-schema's als een geaccepteerde of vereiste manier om compliance aan te tonen voor bepaalde maatregelen. |
| Verwachtingen van toezichthouders | Toezichthouders kunnen bewijs, testen en governancedocumentatie opvragen (beleid, maatregelen, incidentregistraties, trainingen, leveranciersbeheer). | Certificering levert gestandaardiseerd bewijs voor de gecertificeerde scope, maar vervangt je bredere governanceverplichtingen niet. | Certificering is ondersteunend bewijs, geen vervanging. Je moet nog steeds NIS2-conforme governance, rapportagestructuren en operationele maatregelen aantonen. |
Tijdlijn NIS2 en Cybersecurity Act
| Datum | Wetgeving | Wat gebeurde er? |
| 2018 | NIS (origineel) | Lidstaten implementeerden de eerste NIS-regels via nationale wetten. |
| 27 juni 2019 | EU Cybersecurity Act | De Cybersecurity Act trad in werking en versterkte het mandaat van ENISA. Tegelijk werd het EU-brede certificeringsraamwerk voor cybersecurity opgezet. |
| 17 oktober 2024 | NIS2 | Deadline voor lidstaten om NIS2 in nationaal recht om te zetten. Nederland was een van de 19 lidstaten die deze deadline niet haalde. |
| 2025 (heel het jaar) | NIS2 | De EU richtte zich op handhavingsdruk richting de te late lidstaten, inclusief infractieprocedures voor verlate omzetting. |
| 20 januari 2026 | Cybersecurity Act (herzieningsvoorstel) | De Europese Commissie publiceerde een voorstel tot herziening en wijziging van de Cybersecurity Act. |
| Q2 2026 (verwacht) | NIS2 (NL-implementatie) | De EU-regel is al van kracht, maar de nationale implementatie betekent dat organisaties die eronder vallen hun verplichtingen moeten nakomen. |
| 2026 en verder (timing onzeker) | Cybersecurity Act (herziening) | Het Commissievoorstel doorloopt het Europees Parlement en de Raad. De timing hangt af van de onderhandelingen. |
Waarom NIS2 een bestuursverantwoordelijkheid is
Artikel 20 van NIS2 legt duidelijke verplichtingen op aan de "bestuursorganen" van organisaties. In de praktijk betekent dit voor veel organisaties het bestuur of de raad van bestuur. Het bestuur moet:
- De cybersecurity-risicomanagementmaatregelen van de organisatie goedkeuren.
- Toezicht houden op hoe het management deze implementeert.
- Training volgen zodat het de aanpak van de organisatie op het gebied van compliance kan begrijpen en bevragen.
Dat gaat verder dan alleen IT-maatregelen. Het raakt ook onderwerpen die al tot het domein van het bestuur behoren, zoals risicobereidheid, budgettering, uitbesteding, bedrijfscontinuïteit en de paraatheid van de organisatie bij incidenten.
Niet voldoen aan de vereisten kan leiden tot stevige financiële sancties:
- Voor essentiële entiteiten: tot €10 miljoen of 2% van de wereldwijde jaaromzet (het hoogste bedrag geldt).
- Voor belangrijke entiteiten: tot €7 miljoen of 1,4% van de wereldwijde jaaromzet (het hoogste bedrag geldt).
Het bestuur is aansprakelijk bij niet-naleving van NIS2. Toezichthouders kunnen zelfs een tijdelijk verbod opleggen aan individuele bestuurders om leidinggevende functies uit te oefenen bij een essentiële entiteit. Deze persoonlijke aansprakelijkheid zorgt ervoor dat bestuurders effectief toezicht houden op de cybersecurityfunctie van de organisatie.
Een ander mogelijk gevolg is dat de organisatie gedwongen wordt om nalevingsovertredingen openbaar te maken. Dat leidt naast financiële schade ook tot reputatierisico.
Governance en besluitvorming staan centraal bij NIS2-compliance. Het gaat niet alleen om technische maatregelen. Het vraagt van leiders dat zij eigenaarschap nemen over de processen, zorgen voor snelle escalatie van problemen en een helder werkproces inrichten zodat de juiste mensen tijdig worden geïnformeerd. Door de risicobereidheid en duidelijke prioriteiten vast te stellen, geef je het management de handvatten om consistent en effectief te voldoen aan de vereisten.
Wat je moet doen om NIS2-compliant te worden
Dit zijn de stappen die je kunt zetten:
- Stel vast of je onder NIS2 valt, op basis van sector en omvang.
- Informeer het bestuur over de verplichtingen onder NIS2 en wijs een bestuurder aan die eigenaar is van het proces.
- Breng je kritieke diensten in kaart om te begrijpen waar incidenten materiële impact zouden hebben.
- Voer een gap-analyse uit om te beoordelen hoe goed je er nu voor staat.
- Richt een meld-workflow in voor incidentrapportage.
- Analyseer leveranciers op cybersecurityrisico's.
- Train bestuurders en medewerkers op het gebied van cybersecurityprocessen en -procedures.
- Voer tabletop-oefeningen uit zodat betrokkenen hun taken begrijpen en weten hoe een incident kan verlopen.
- Richt processen in voor bewijsverzameling en vastlegging, zodat je dit kunt tonen aan toezichthouders wanneer nodig.
Hoe governance-software NIS2-compliance ondersteunt
Door een governanceplatform te gebruiken dat voldoet aan internationale standaarden voor gegevensbescherming en informatiebeveiliging, laat je zien dat je maatregelen hebt getroffen om gevoelige data en interne bestuurscommunicatie te beschermen. Kies voor een oplossing die gehost wordt op EU-servers en voorzien is van robuust toegangsbeheer, ondersteund door AES-256-encryptie om data te beschermen tijdens opslag en transport.
Governance-software zoals iBabs versterkt je cybersecurity bijvoorbeeld door:
- Duidelijk bestuurstoezicht zichtbaar te maken in gearchiveerde documenten, en beslissingen en acties vast te leggen als bewijs.
- Het risico te verkleinen dat gevoelige bedrijfsinformatie uitlekt, dankzij sterke cybersecuritymaatregelen.
- Je in staat te stellen spoedvergaderingen te houden tijdens een incident. Bestuurders komen op afstand bij elkaar wanneer er geen tijd is om iedereen fysiek op één locatie te krijgen.
- Urgente informatie snel en veilig te distribueren naar bestuurders binnen het platform.
Veelgestelde vragen
Wat is het verschil tussen NIS2 en de oorspronkelijke NIS-richtlijn?
NIS2 breidt het aantal organisaties dat eronder valt aanzienlijk uit, introduceert strengere beveiligingseisen en handhavingsmechanismen en legt directe verantwoordelijkheid bij bestuurders en het senior management. Daarnaast harmoniseert de richtlijn de regels tussen lidstaten om fragmentatie te verminderen.
Geldt NIS2 alleen voor grote organisaties?
Nee. Hoewel micro- en kleinbedrijven over het algemeen (maar niet altijd) zijn uitgezonderd, vallen veel middelgrote organisaties onder de richtlijn als zij actief zijn in kritieke of belangrijke sectoren. Omvang is niet de enige bepalende factor: sector en risicoblootstelling tellen ook mee.
Wat zijn de sancties bij niet-naleving van NIS2?
Sancties kunnen bestaan uit forse administratieve boetes, bindende instructies van toezichthouders en in sommige gevallen tijdelijke verboden voor bestuurders om leidinggevende functies uit te oefenen. Nationale toezichthouders hebben onder NIS2 ruime handhavingsbevoegdheden.
Kunnen bestuurders persoonlijk aansprakelijk worden gesteld onder NIS2?
Ja. NIS2 introduceert persoonlijke aansprakelijkheid voor bestuurders en het senior management. Als het bestuur onvoldoende toezicht houdt op het cybersecurity-risicomanagement, kunnen individuele bestuurders sancties opgelegd krijgen, afhankelijk van de nationale implementatie.
Conclusie
NIS2-compliance is een urgente prioriteit voor Nederlandse organisaties. De overheid implementeert de update van de oorspronkelijke richtlijn naar verwachting later in 2026. Je moet je bestuur aansporen om verantwoordelijkheid te nemen, want bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij tekortkomingen in jullie cybersecurityaanpak. Zodra je hebt vastgesteld dat je onder NIS2 valt, moet je je verplichtingen goed begrijpen, waaronder:
- Je zorgplicht om de risico's voor je organisatie te beoordelen en maatregelen te nemen die de continuïteit van diensten waarborgen en data beschermen.
- Je meldplicht om incidenten binnen de gefaseerde termijnen te rapporteren.
- Je verantwoordingsplicht om je compliance aan te tonen bij toezichthouders.
Bescherm gevoelige informatie met iBabs
Een veilig bestuursportaal zoals iBabs biedt marktleidende functies om aanvallen op en lekken van gevoelige bestuursdocumenten en -communicatie te voorkomen. Zo laat je zien dat je de noodzakelijke maatregelen neemt om cyberrisico te verkleinen.
