De NIS2-richtlijn is inmiddels geen nieuw onderwerp meer. Toch hebben veel organisaties het nog niet concreet gemaakt. Ze weten dat er iets aankomt, maar wat precies, voor wie en wanneer blijft vaag. Dit artikel maakt dat concreet: wat is NIS2, wie valt eronder, en wat moet je als organisatie daadwerkelijk regelen?
Wat is NIS2?
NIS2 staat voor Network and Information Systems Directive 2 – de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. De Europese Unie heeft de richtlijn aangescherpt omdat cyberdreiging de afgelopen jaren structureel is toegenomen. Aanvallen op kritieke infrastructuur, supply chain-aanvallen en ransomware bij overheidsinstanties hebben aangetoond dat de oude richtlijn onvoldoende was.
De kern van NIS2 is simpel: organisaties in kritieke sectoren moeten aantoonbaar werk maken van cybersecurity. Niet op papier, maar in de praktijk. En als het misgaat, moet je dat snel melden.
In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet. De verwachte inwerkingtreding is het derde kwartaal van 2025, al zijn de exacte data afhankelijk van de parlementaire behandeling. Organisaties die wachten op de definitieve wet lopen achter de feiten aan.
Wie valt eronder?
Dit is waar het voor veel bedrijven verrassend wordt. NIS2 is aanzienlijk breder dan de vorige richtlijn. Naar schatting vallen 10.000 Nederlandse organisaties direct onder de wet. Daarnaast krijgen circa 50.000 bedrijven die aan deze groep leveren indirect te maken met de NIS2-vereisten via supply chain-verplichtingen.
De richtlijn maakt onderscheid tussen twee categorieën:
Essentiële entiteiten – organisaties in sectoren die als cruciaal worden beschouwd voor de samenleving: energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater en digitale infrastructuur. Ook grote aanbieders van digitale diensten (cloudproviders, datacenters, DNS-providers) vallen in deze categorie.
Belangrijke entiteiten – een bredere groep sectoren: post en koeriersdiensten, afvalstoffenbeheer, chemische industrie, levensmiddelenindustrie, maak- en procesindustrie en digitale aanbieders zoals marktplaatsen en zoekmachines.
Of je organisatie eronder valt, hangt niet alleen af van de sector. Ook de omvang telt. Als vuistregel: middelgrote organisaties (50-249 werknemers, omzet of balanstotaal boven 10 miljoen euro) en grote organisaties zijn verplicht. Kleinere bedrijven zijn grotendeels uitgezonderd, tenzij ze in kritieke deelsectoren actief zijn.
NIS2: essentieel vs. belangrijk
Transport (lucht, rail, water, weg)
Bankwezen
Financiële marktinfrastructuur
Gezondheidszorg
Drinkwater / afvalwater
Digitale infrastructuur
ICT-diensten (B2B managed services)
Overheid
Afvalstoffenbeheer
Chemische industrie
Levensmiddelenindustrie
Maakindustrie (medisch, elektronica, machines)
Digitale aanbieders (marktplaatsen, clouds, zoekmachines)
Onderzoeksinstellingen
Nederland: ~10.000 organisaties direct onder NIS2 · ~50.000 indirect via supply chain
Bron: samendigitaalveilig.nl · NCSC Nederland · NIS2 Directive (EU) 2022/2555
De vier pijlers van NIS2
Wat moet je concreet regelen? NIS2 structureert de verplichtingen rond vier thema's.
1. Zorgplicht
Je bent verplicht passende technische en organisatorische maatregelen te nemen om de risico's voor je netwerk- en informatiesystemen te beheersen. Wat "passend" is, hangt af van je sector, omvang en de ernst van mogelijke verstoringen. De richtlijn geeft een minimumlíjst met maatregelen:
- Risicoanalyse en beleid voor informatiebeveiliging
- Incidentbehandeling (detectie, respons, herstel)
- Bedrijfscontinuïteit (back-ups, disaster recovery, crisismanagement)
- Beveiliging van de toeleveringsketen
- Inkoop, ontwikkeling en beheer van netwerk- en informatiesystemen
- Beleid voor beoordeling van beveiligingsmaatregelen (incl. penetratietests)
- Gebruik van cryptografie en encryptie
- Personeelsbeveiliging en toegangsbeheer
- Multi-factor authenticatie en beveiligde communicatie
2. Meldplicht
Als er een incident plaatsvindt dat een aanzienlijke impact heeft, moet je dit melden. De termijnen zijn strak:
Binnen 24 uur een eerste melding bij de toezichthouder (in Nederland het NCSC of een sectorale autoriteit). Binnen 72 uur een volledige melding. Binnen een maand een eindrapportage met oorzaak, impact en genomen maatregelen.
Wat "aanzienlijke impact" betekent is omschreven: verstoring van diensten, financiële schade, reputatieschade of schade aan derden boven bepaalde drempelwaarden. In twijfelgevallen: meld. De toezichthouder bepaalt mee of het meldplichtig was.
3. Registratieplicht
Organisaties die onder NIS2 vallen moeten zich registreren bij de bevoegde autoriteit. In Nederland wordt dit gecoördineerd via het NCSC en sectorale toezichthouders. De registratie verloopt per sector. Energiebedrijven melden zich bij ACM, zorgaanbieders bij IGJ, en zo verder.
4. Toezicht en sancties
NIS2 introduceert strenger toezicht en hogere boetes. Voor essentiële entiteiten: boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet (het hoogste bedrag telt). Voor belangrijke entiteiten: tot 7 miljoen euro of 1,4% van de wereldwijde omzet.
Maar er is meer. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld als de organisatie aantoonbaar tekortschiet. In ernstige gevallen kan een rechter besluiten dat bestuurders tijdelijk geen managementfuncties mogen uitoefenen. Dat is een nieuw element ten opzichte van de vorige richtlijn.
Wat de supply chain ermee te maken heeft
Een van de meest onderschatte verplichtingen is de supply chain security. NIS2 vereist dat je niet alleen je eigen systemen beveiligt, maar ook de risico's van je toeleveranciers en dienstverleners in kaart brengt en beheerst.
In de praktijk betekent dit: je moet kunnen aantonen dat je IT-leveranciers, managed service providers en softwareleveranciers voldoen aan minimale beveiligingseisen. Je kunt dit doen via contractuele afspraken, audits, certificeringen (ISO 27001, SOC 2) of door te eisen dat leveranciers zelf NIS2-compliant zijn.
Voor veel organisaties is dit het moeilijkste onderdeel. Je leveringsketen is complex, leveranciers willen niet altijd meewerken aan audits, en de verantwoordelijkheid eindigt nooit echt bij een enkelvoudige schakel.
NIS2 sancties en meldtermijnen
Bron: NIS2 Directive (EU) 2022/2555, Art. 23 en Art. 34
Hoe te beginnen
De meeste organisaties beginnen met dezelfde vraag: vallen we er eigenlijk onder? Het NCSC biedt een zelfevaluatietool waarmee je kunt checken of je organisatie als essentieel of belangrijk wordt aangemerkt. Dat is stap één.
Stap twee is een gap-analyse. Waar sta je nu op de NIS2-verplichtingen, en wat ontbreekt er? Dat hoeft geen duur consultancytraject te zijn. Een intern team met kennis van informatiebeveiliging kan dit in een dag of twee in kaart brengen, als er al een basisniveau van documentatie is.
Stap drie is prioriteren. Niet alles hoeft tegelijk. Focus eerst op de maatregelen met de hoogste risicoreductie: multi-factor authenticatie, incidentresponsplan, back-up en herstelbeleid, en toegangsbeheer. Dat zijn de basisbouwstenen waar toezichthouders als eerste naar kijken.
Stap vier is de supply chain. Maak een overzicht van je IT-leveranciers, stel beveiligingseisen op en leg die contractueel vast. Voor grotere leveranciers vraag je om ISO 27001-certificering of een recente auditrapporten.
Wat NIS2 niet is
NIS2 is geen eindbestemming. Het is een minimumvereiste. Organisaties die alleen doen wat de wet vraagt, zijn niet per se veilig. Ze zijn compliant. Dat is niet hetzelfde.
De richtlijn legt de lat hoger dan voorheen, maar de dreiging blijft zich ontwikkelen. Ransomware, supply chain-aanvallen en staatsgesponsorde cyberspionage houden geen rekening met wetgevingscycli. NIS2 geeft je een kader. Wat je daar vervolgens mee doet, bepaalt hoe veilig je daadwerkelijk bent.
Het is ook geen IT-onderwerp. NIS2 belegt verantwoordelijkheid expliciet bij het bestuur. De directeur of het management is verantwoordelijk voor het goedkeuren van het cybersecuritybeleid, het toezicht op de uitvoering ervan en de naleving van de meldplicht. Als je dat delegeert zonder betrokken te blijven, loop je persoonlijk risico.
Conclusie
NIS2 is breed, de termijnen zijn strak en de sancties zijn fors. Maar de verplichtingen zijn concreet en haalbaar. De organisaties die nu beginnen met een gap-analyse, supply chain-inventarisatie en een incidentresponsplan staan er straks goed voor. De organisaties die wachten tot de Cyberbeveiligingswet definitief in werking is getreden, hebben een probleem.
De kern: breng in kaart of je eronder valt, doe een gap-analyse, prioriteer de basismaatregelen en zorg dat je bestuur er actief bij betrokken is. De rest volgt.
Hulp nodig bij NIS2-compliance? Bekijk onze compliance-aanpak.