Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wat houdt de NIS2 in?

26 mei 2026

De NIS2-richtlijn is Europese wetgeving die organisaties in aangewezen sectoren verplicht om concrete maatregelen te nemen op het gebied van cyber security en digitale beveiliging. In Nederland is deze richtlijn omgezet in de Cyberbeveiligingswet, die bedrijven verplicht tot registratie, een actieve zorgplicht en het melden van beveiligingsincidenten. In dit artikel beantwoorden we de meest gestelde vragen over NIS2, zodat je weet wat de wet voor jouw organisatie betekent.

Voor welke organisaties geldt de NIS2-richtlijn?

De NIS2-richtlijn geldt voor middelgrote en grote organisaties die actief zijn in een van de 18 aangewezen sectoren. Middelgrote organisaties hebben 50 tot 249 medewerkers en meer dan 10 miljoen euro omzet of balanstotaal. Grote organisaties tellen 250 of meer medewerkers en meer dan 50 miljoen euro omzet en meer dan 43 miljoen euro balanstotaal.

De 18 sectoren zijn verdeeld in twee bijlagen. Bijlage I (essentiële sectoren) omvat onder andere energie, transport, bankwezen, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer (B2B) en overheidsdiensten. Bijlage II (belangrijke sectoren) omvat post- en koeriersdiensten, afvalbeheer, de chemische industrie, de voedingsmiddelenindustrie en digitale dienstverleners zoals marktplaatsen en zoekmachines.

Sommige organisaties vallen altijd onder de wet, ongeacht hun omvang. Dit geldt voor aanbieders van openbare elektronische communicatienetwerken, verleners van vertrouwensdiensten, DNS-dienstverleners en TLD-registers, en overheidsorganisaties.

Twijfel je of jouw organisatie onder de wet valt? Via zelfevaluatie.rdi.nl kun je snel controleren of je sector en omvang binnen de scope vallen.

Welke verplichtingen legt de NIS2 op aan bedrijven?

De NIS2-richtlijn legt drie hoofdverplichtingen op: een registratieplicht, een zorgplicht en een meldplicht. Samen vormen deze drie verplichtingen de kern van wat de wet van organisaties vraagt op het gebied van NIS2 compliance.

Registratieplicht

Organisaties moeten zich registreren in het nationale entiteitenregister via mijn.ncsc.nl. Je geeft daarbij contactinformatie op, de naam van de verantwoordelijke, een overzicht van diensten en een lijst van internetdomeinen. De registratie zelf duurt circa 10 minuten als je de gegevens vooraf verzamelt.

Zorgplicht

De zorgplicht verplicht organisaties om passende technische en organisatorische maatregelen te nemen. Artikel 21 van de NIS2-richtlijn beschrijft tien concrete maatregelen:

  1. Risicoanalyse en informatiebeveiligingsbeleid: Een gedocumenteerde, jaarlijks bijgewerkte risicoanalyse en een door het bestuur goedgekeurd cybersecuritybeleid.
  2. Incidentafhandeling: Een schriftelijk incident response plan met heldere rolverdeling en communicatieprocedures.
  3. Bedrijfscontinuïteit en crisisbeheer: Vastgelegde back-up- en herstelprocessen met offline back-ups, gedocumenteerde RTO en RPO, en regelmatige tests.
  4. Supply chain security: Beoordeling van leveranciers op cybersecuritymaatregelen en contractueel vastgelegde beveiligingseisen.
  5. Beveiliging bij aankoop en ontwikkeling van systemen: Security by design, actief patchmanagement en vulnerability management.
  6. Effectiviteitsbeoordeling van maatregelen: Minimaal jaarlijkse penetratietesten en periodieke audits.
  7. Cyberhygiëne en bewustzijnstraining: Verplichte beveiligingstraining voor alle medewerkers, phishing-simulaties en een trainingsplicht voor bestuurders.
  8. Cryptografie en encryptie: Een vastgelegd encryptiebeleid, versleuteling van harde schijven, laptops en back-ups, en gedocumenteerd sleutelbeheer.
  9. Toegangsbeheer en HR-security: Multi-Factor Authenticatie (MFA) verplicht voor alle externe toegang, het least-privilege principe en een geformaliseerd Joiner/Mover/Leaver-proces.
  10. Authenticatie en beveiligde communicatie: MFA of continue authenticatie, veilige communicatiekanalen, EDR op alle apparaten en SIEM-logging.

Meldplicht

Bij een significant incident geldt een getrapte meldstructuur. Binnen 24 uur dien je een vroegtijdige waarschuwing in. Binnen 72 uur volgt een formele incidentmelding inclusief ernst en gevolgen. Binnen één maand lever je een eindrapport aan met een volledige analyse en de genomen maatregelen. Alle meldingen verlopen via mijn.ncsc.nl.


Hi, how are you doing?
Can I ask you something?
Hallo! Ik zie dat je meer wilt weten over NIS2. Veel MKB-bedrijven vragen zich op dit moment af of — en hoe — de wet op hen van toepassing is. Wat is jouw situatie?
Goed dat je dit serieus neemt — veel organisaties lopen hier al tegen aan. Hoe urgent is het voor jullie om NIS2-compliant te worden?
Dat is een verstandige eerste stap. NIS2 raakt meer organisaties dan verwacht — ook via de toeleveringsketen. Wat past het beste bij jouw organisatie?
Op basis van wat je hebt aangegeven kan NTNT je helpen — van een eerste gap-analyse tot een volledig ingericht beveiligingsprogramma. Laat je gegevens achter en een van onze specialisten neemt contact met je op.
Bedankt! Je gegevens zijn ontvangen. Ons team bekijkt jouw aanvraag en neemt contact met je op om samen de volgende stap te bespreken. Fijn dat je de tijd hebt genomen — NIS2-compliance begint met precies deze stap.

Wat zijn de sancties bij niet-naleving van NIS2?

Organisaties die de NIS2-verplichtingen niet naleven, riskeren aanzienlijke boetes en toezichtsmaatregelen. Voor essentiële entiteiten kan de boete oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Naast financiële sancties kunnen toezichthouders ook corrigerende maatregelen opleggen, zoals verplichte audits, aanwijzingen om specifieke beveiligingsmaatregelen te implementeren, of tijdelijke beperkingen op dienstverlening. Voor essentiële entiteiten geldt proactief toezicht: de toezichthouder start zelf audits, inspecties en scans zonder dat er een incident hoeft te zijn. Belangrijke entiteiten krijgen reactief toezicht, waarbij de toezichthouder pas ingrijpt als er aanwijzingen zijn voor niet-naleving.

Een belangrijk punt is de persoonlijke aansprakelijkheid van bestuurders. Onder NIS2 kunnen individuele bestuurders verantwoordelijk worden gesteld als zij aantoonbaar hebben nagelaten adequate maatregelen te nemen of toe te zien op naleving. Dit maakt NIS2 compliance niet alleen een IT-vraagstuk, maar ook een bestuurlijk aandachtspunt.

Hoe verschilt NIS2 van de oorspronkelijke NIS1-richtlijn?

NIS2 is een ingrijpende uitbreiding van de oorspronkelijke NIS1-richtlijn uit 2016. De belangrijkste verschillen zitten in de scope, de diepgang van de verplichtingen en de handhaving. Waar NIS1 zich beperkte tot een relatief kleine groep aanbieders van essentiële diensten, trekt NIS2 de scope aanzienlijk breder.

De meest opvallende verschillen zijn:

  • Bredere scope: NIS2 voegt nieuwe sectoren toe, waaronder afvalbeheer, de voedingsmiddelenindustrie en de maakindustrie. Het aantal aangewezen sectoren stijgt van 7 naar 18.
  • Strengere maatregeleneisen: Waar NIS1 algemene beveiligingseisen stelde, schrijft NIS2 via artikel 21 tien concrete technische en organisatorische maatregelen voor.
  • Bestuurlijke verantwoordelijkheid: NIS2 introduceert een expliciete trainingsplicht voor bestuurders en maakt hen persoonlijk aansprakelijk voor naleving.
  • Ketenverantwoordelijkheid: NIS2 verplicht organisaties om ook hun leveranciers en partners te beoordelen op cybersecuritymaatregelen. Dit is onder NIS1 niet zo expliciet geregeld.
  • Geharmoniseerde handhaving: NIS2 introduceert Europees geharmoniseerde boetegrenzen en toezichtsmechanismen, waardoor de handhaving in alle EU-lidstaten vergelijkbaar wordt.
  • Verplichte registratie: Organisaties moeten zich actief registreren bij de nationale autoriteit. Dit was onder NIS1 niet standaard vereist.

Voor veel MKB-bedrijven betekent NIS2 een eerste kennismaking met formele cybersecuritywetgeving, terwijl grotere organisaties die al aan NIS1 voldeden hun maatregelen moeten uitbreiden en formaliseren.

Hoe bereid je een bedrijf voor op NIS2-compliance?

Een goede voorbereiding op NIS2 verloopt in vijf opeenvolgende fasen, van het bepalen van je positie tot het opbouwen van aantoonbare compliance. Het proces vraagt om een combinatie van technische maatregelen, documentatie en organisatorische inbedding.

Fasen 1 en 2: positiebepaling en gap-analyse (week 1 tot 4)

Start met de NIS2-zelfevaluatie via zelfevaluatie.rdi.nl om te controleren of jouw sector en omvang binnen de scope vallen. Inventariseer daarna welke leveranciers toegang hebben tot jouw systemen en welke klanten NIS2-plichtig zijn. Voer vervolgens een gap-analyse uit: welke van de tien maatregelen zijn al aanwezig, wat ontbreekt, en wat zijn quick wins versus langetermijninvesteringen?

Fasen 3 en 4: implementatie en documentatie (maand 2 tot 4)

Richt de kernprocessen in: stel een incidentresponsplan op, activeer MFA voor alle externe toegang en beheerdersaccounts, voer netwerksegmentatie door, test back-upprocessen en organiseer medewerkers- en bestuurstraining. Leg daarna alles vast in beleidsdocumenten, een leverancierslijst met risicoanalyses en contractuele afspraken. Bereid je voor op registratie bij het NCSC via mijn.ncsc.nl.

Fase 5: aantoonbaarheid en continue verbetering (doorlopend)

Bouw een evidence pack op met documentatie van genomen maatregelen, trainingsregisters, testresultaten en auditlogs. Plan jaarlijkse penetratietesten, zorg voor tamper-proof logging en voer een jaarlijkse review uit van het gehele beveiligingsprogramma. NIS2 compliance is geen eenmalig project, maar een doorlopend proces.

Wat moet er worden gemeld bij een beveiligingsincident onder NIS2?

Onder de NIS2-richtlijn moet je een beveiligingsincident melden als het een significant incident betreft: een incident dat de verlening van diensten ernstig verstoort of kan verstoren, of dat aanzienlijke financiële, operationele of reputatieschade veroorzaakt. De meldplicht geldt voor zowel essentiële als belangrijke entiteiten.

De meldstructuur is getrapt en tijdgebonden:

  • Binnen 24 uur: Een vroegtijdige waarschuwing bij het CSIRT (het Nationaal Cyber Security Centrum) en de bevoegde toezichthouder. Je geeft aan dat er een incident heeft plaatsgevonden en of er aanwijzingen zijn voor een kwaadwillige oorzaak of grensoverschrijdende impact.
  • Binnen 72 uur: Een formele incidentmelding met een eerste beoordeling van de ernst, de omvang en de gevolgen van het incident.
  • Binnen één maand: Een eindrapport met een volledige analyse van het incident, de onderliggende oorzaak, de getroffen maatregelen en eventuele grensoverschrijdende gevolgen.

Alle meldingen verlopen via mijn.ncsc.nl. Het NCSC fungeert als hoofd-CSIRT voor incident response en advies. Afhankelijk van jouw sector is er ook een sectorale toezichthouder betrokken, zoals DNB voor de financiële sector, IGJ voor de gezondheidszorg of ACM voor energie en telecom.

Geldt de NIS2-richtlijn ook voor toeleveranciers en partners?

Ja, de NIS2-richtlijn heeft via ketenverantwoordelijkheid ook gevolgen voor toeleveranciers en partners die niet direct onder de wet vallen. Organisaties die onder NIS2 vallen, zijn verplicht om hun leveranciers te beoordelen op cybersecuritymaatregelen en beveiligingseisen contractueel vast te leggen. Dit dwingt indirect ook kleinere bedrijven in de keten tot actie.

Naar schatting raakt deze indirecte scope 50.000 tot 100.000 extra MKB-bedrijven in Nederland. Als jij levert aan een ziekenhuis, een energiebedrijf of een ICT-dienstverlener die onder NIS2 valt, is de kans groot dat jouw klant je vraagt om aan te tonen dat jij passende beveiligingsmaatregelen hebt getroffen.

De supply chain security maatregel (maatregel 4 van artikel 21) verplicht NIS2-plichtige organisaties concreet om:

  • Alle leveranciers met toegang tot systemen of gegevens te inventariseren.
  • Kritieke leveranciers jaarlijks te controleren op hun cybersecurityniveau.
  • Beveiligingseisen contractueel vast te leggen in leveranciersovereenkomsten.
  • Risicoanalyses uit te voeren voor de gehele toeleveringsketen.

Voor MKB-bedrijven die leveren aan NIS2-plichtige klanten is het verstandig om nu al te investeren in aantoonbare cybersecuritymaatregelen. Dit versterkt niet alleen jouw positie als betrouwbare leverancier, maar verkleint ook jouw eigen risico op incidenten.

Hoe wij helpen met NIS2-compliance

NIS2 compliance vraagt om meer dan een checklist. Het vraagt om een doordacht traject waarbij technische maatregelen, documentatie en medewerkersbewustzijn samenkomen. Wij helpen MKB-bedrijven stap voor stap door dit traject, van de eerste zelfevaluatie tot een volledig ingericht en aantoonbaar beveiligingsprogramma.

Wat we concreet voor je doen:

  • Gap-analyse: We brengen in kaart welke van de tien NIS2-maatregelen al aanwezig zijn en wat er nog ontbreekt.
  • Technische implementatie: We richten MFA in via Cisco Duo, implementeren EDR-beveiliging via Huntress en zorgen voor veilig wachtwoordbeheer met Keeper.
  • Security Awareness Training: Via ons SAT-programma, ontwikkeld in samenwerking met Huntress, trainen we jouw medewerkers maandelijks met korte animatie-episodes en phishing-simulaties. Trainingsregisters en quizscores nemen we op in het NIS2 evidence pack als aantoonbaar bewijs van medewerkersbewustzijn.
  • Documentatie en evidence pack: We helpen je beleidsdocumenten op te stellen, leverancierslijsten bij te houden en een compleet evidence pack op te bouwen voor toezichthouders.
  • Continue monitoring: We bewaken jouw systemen proactief en zorgen dat je altijd klaar bent voor een audit of incident.

Wil je weten waar jouw organisatie nu staat ten opzichte van de NIS2-eisen? Neem contact met ons op voor een vrijblijvende intake en we kijken samen naar de volgende stap.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.