Home Nieuws Wat is nou eigenlijk NIS2? Een complete gids voor ondernemers (Inclusief checklist)
Nieuws 17 mei 2026 · admin

Wat is nou eigenlijk NIS2? Een complete gids voor ondernemers (Inclusief checklist)

Cybersecurity – HSSecure.nl

Meta-omschrijving: Wat is NIS2, valt jouw organisatie onder deze nieuwe cybersecurity-wetgeving en wat moet je direct doen? Ontdek het in deze complete NIS2-gids voor WordPress.

Cyberaanvallen zijn allang geen probleem meer van de IT-afdeling alleen; ze vormen een directe bedreiging voor de continuïteit van je bedrijf. Om de digitale weerbaarheid van Europa te vergroten, is de nieuwe Europese cybersecurity-richtlijn in het leven geroepen: NIS2 (Network and Information Systems directive). Maar wat is NIS2 nou eigenlijk precies? Geldt deze wetgeving voor jouw organisatie? En welke concrete stappen moet je vandaag nog zetten om boetes en datalekken te voorkomen?

In dit uitgebreide artikel leggen we de complexe wetgeving uit in begrijpelijke taal. Geen droge juridische lappen tekst, maar praktische informatie waar je als ondernemer, IT-manager of compliance officer direct mee aan de slag kunt.

1. Wat is nou eigenlijk NIS2?

NIS2 is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016 (in Nederland bekend als de Wbni, Wet beveiliging netwerk- en informatiesystemen). Waar de eerste richtlijn zich alleen richtte op vitale sectoren zoals drinkwaterbedrijven en energieleveranciers, trekt de NIS2-richtlijn de cirkel veel breder.

Het doel van de richtlijn is het harmoniseren en aanscherpen van de cybersecurity-eisen binnen de hele Europese Unie. De digitalisering heeft de afgelopen jaren een vlucht genomen, en daarmee ook de professionaliteit van cybercriminelen. NIS2 dwingt organisaties die een cruciale rol spelen in onze economie en maatschappij om hun digitale beveiliging serieus op te schalen.

In Nederland wordt deze Europese richtlijn vertaald naar nationale wetgeving, vaak aangeduid als de Cyberbeveiligingswet (Cbw). Deze wet verplicht bedrijven om proactief maatregelen te nemen tegen cyberdreigingen, incidenten direct te melden en de ketenveiligheid te bewaken.

2. Waarom is deze nieuwe richtlijn er gekomen?

De introductie van NIS2 is geen pestgedrag van de overheid, maar een bittere noodzaak. Moderne samenlevingen zijn volledig afhankelijk van digitale infrastructuren. Denk aan de logistieke sector: als een grote transporteur platligt door gijzelsoftware (ransomware), worden supermarkten niet bevoorraad en stokt de productie in fabrieken.

Cyberbeveiliging is daardoor een economisch en maatschappieel veiligheidsbelang geworden. Met NIS2 wil de Europese Unie drie grote problemen tackelen:

  • Te lage digitale weerbaarheid: Veel bedrijven hebben hun basisbeveiliging simpelweg niet op orde.
  • Grote verschillen tussen EU-landen: Voorheen hanteerde elk land eigen regels, wat lastig is voor internationale organisaties.
  • Kwetsbare toeleveringsketens: Hackers dringen vaak binnen via een kleinere, slecht beveiligde leverancier om zo bij het grotere hoofddoel te komen.

3. Val ik onder de NIS2-wetgeving?

Dit is de belangrijkste vraag voor elke organisatie. Om te bepalen of je onder de NIS2-richtlijn valt, moet je kijken naar drie factoren: de sector waarin je actief bent, de grootte van je organisatie, en je rol in de toeleveringsketen.

De Groottecriteria (De basisregel)

In de regel geldt de NIS2-richtlijn voor organisaties die actief zijn in de aangewezen sectoren én gekwalificeerd worden als middelgroot of groot bedrijf. Dit betekent dat je aan minimaal één van de volgende criteria voldoet:

  • Je hebt 50 of meer werknemers (fte).
  • Je hebt een jaaromzet van meer dan 10 miljoen euro én een balanstotaal van meer dan 10 miljoen euro.

Uitzonderingen: Wanneer val je er als kleine organisatie tóch onder?

Denk niet te snel: “Ik heb maar 15 medewerkers, dus ik kan stoppen met lezen.” De wet kent een aantal cruciale uitzonderingen waarbij de grootte van het bedrijf niet uitmaakt:

  1. Aanbieders van digitale infrastructuur: Denk aan DNS-dienstverleners, trustdienstverleners of cloud computing-aanbieders.
  2. Enige aanbieder: Als jouw organisatie de enige aanbieder is van een dienst die van cruciaal belang is voor de instandhouding van kritieke maatschappelijke of economische activiteiten.
  3. De toeleveringsketen (Cruciaal voor het MKB): Grote bedrijven die onder de NIS2 vallen, zijn wettelijk verplicht om hun toeleveranciers te controleren. Lever jij software, onderdelen of diensten aan een NIS2-bedrijf? Dan gaan zij contractueel eisen dat jij aan dezelfde strenge cybersecurity-eisen voldoet. Hierdoor raakt NIS2 indirect bijna het hele mkb.

Welke sectoren vallen onder NIS2?

De wet maakt onderscheid tussen sectoren met een ‘zeer hoge kritiekheid’ en ‘andere kritieke sectoren’. Hieronder vallen onder andere:

  • Zeer kritiek: Energie, transport, bankwezen, drinkwater, afvalwater, gezondheidszorg, digitale infrastructuur en overheidsdiensten.
  • Andere kritieke sectoren: Post- en koeriersdiensten, afvalstoffenbeheer, chemie, levensmiddelen (productie en distributie), maakindustrie (machines, elektronica, auto’s), digitale aanbieders (marktplaatsen, zoekmachines) en onderzoeksorganisaties.

4. Het verschil tussen Essentiële en Belangrijke entiteiten

Als je onder de wet valt, deelt de toezichthouder je in binnen één van de volgende twee categorieën. De inhoudelijke beveiligingseisen zijn voor beiden nagenoeg gelijk, maar het toezicht verschilt fors.

Kenmerk Essentiële Entiteiten Belangrijke Entiteiten
Wie zijn het? Grote bedrijven in zeer kritieke sectoren (zoals energie en telecom). Middelgrote bedrijven in zeer kritieke sectoren én alle bedrijven in ‘andere kritieke’ sectoren.
Toezicht vooraf (Ex-ante) Ja. De toezichthouder controleert proactief of je de boel op orde hebt via audits. Nee. Er is alleen controle achteraf (ex-post), bijvoorbeeld na een incident of bij concrete aanwijzingen.
Sancties Zeer streng. Hogere maximale boetes en strengere maatregelen. Streng, maar de maximale boeteplafonds liggen iets lager.

5. Wat moet ik allemaal doen? De drie hoofdpijlers

Als je organisatie onder de NIS2-richtlijn valt, rusten er drie fundamentele wettelijke plichten op jouw schouders. Deze pijlers vormen de kern van de wetgeving.

Pijler 1: De Zorgplicht (Risicobeheersing)

De zorgplicht is de belangrijkste pijler. Je bent verplicht om passende en evenredige technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van je netwerk- en informatiesystemen te beheersen. Het doel is om incidenten te voorkomen of de impact ervan zo klein mogelijk te maken. Dit gaat veel verder dan alleen een antivirusprogramma installeren; het vraagt om een integraal securitybeleid.

Pijler 2: De Meldplicht (Incidenten rapporteren)

Als er ondanks al je maatregelen toch een significant incident plaatsvindt – bijvoorbeeld een ransomware-aanval die je bedrijfsprocessen stillegt of een grootschalig datalek – moet je dit verplicht melden. Dit gebeurt via een getrapt systeem:

  • Binnen 24 uur: Een vroege waarschuwing (early warning) aan de toezichthouder en het CSIRT (Computer Security Incident Response Team).
  • Binnen 72 uur: Een formele update van de melding met een eerste beoordeling van de ernst en impact.
  • Binnen één maand: Een eindverslag inclusief een gedetailleerde beschrijving van de oorzaak en de genomen herstelmaatregelen.

Pijler 3: Registratieplicht en Toezicht

Organisaties moeten zich officieel registreren bij de bevoegde autoriteit. Daarnaast moet je kunnen aantonen dat je actief bezig bent met cybersecurity. Bestuurders en directieleden dragen hierin een directe verantwoordelijkheid. Zij kunnen niet langer zeggen: “Daar gaat de IT-dienstverlener over.” Directieleden moeten verplichte cybersecuritytrainingen volgen en kunnen persoonlijk aansprakelijk worden gesteld bij grove nalatigheid.

6. Concreet stappenplan voor de zorgplicht

Hoe vertaal je de theoretische zorgplicht naar de praktijk? De NIS2-richtlijn benoemt specifiek een aantal basiselementen die je minimaal geregeld moet hebben. Gebruik dit overzicht als de blauwdruk voor jouw cybersecurity-strategie.

  1. Invoeren van een Informatiebeveiligingsbeleid: Stel documenten en procedures op waarin staat hoe jouw organisatie met data, wachtwoorden en systemen omgaat. Overweeg een raamwerk zoals ISO 27001 of de NEN-normen als basis te gebruiken.
  2. Risicoanalyses uitvoeren: Breng je digitale kroonjuwelen in kaart. Welke systemen zijn kritiek voor de bedrijfsvoering? Wat zijn de grootste bedreigingen en wat is de potentiële schade?
  3. Incident Handling en Business Continuity: Zorg voor een duidelijk noodplan (Cyber Incident Response Plan). Wat doe je als de systemen morgen platliggen? Hoe werken back-ups, hoe communiceer je met klanten en wie heeft de leiding?
  4. Ketenveiligheid (Supply Chain Security): Breng je leveranciers en partners in kaart. Eis contractueel dat zij voldoen aan minimale beveiligingsstandaarden. Een zwakke schakel bij een leverancier mag niet jouw ondergang worden.
  5. Beveiliging van systemen en netwerken: Implementeer harde technische maatregelen. Denk aan netwerksegmentatie, firewalls en het up-to-date houden van software (patchmanagement).
  6. Multi-Factor Authentication (MFA): Gebruik waar mogelijk MFA. Het dwingend voorschrijven van tweestapsverificatie voor alle medewerkers en systemen is onder NIS2 een absolute basisvereiste.
  7. Cryptografie en Versleuteling: Zorg dat gevoelige gegevens zowel tijdens opslag (at rest) als tijdens verzending (in transit) sterk versleuteld zijn.
  8. Cybersecurity-trainingen voor personeel: De mens is vaak de zwakste schakel. Organiseer periodieke awareness-trainingen en phishing-simulaties voor je medewerkers en zorg dat het management gecertificeerd getraind is.

7. Wat gebeurt er als ik niks doe? (Boetes en aansprakelijkheid)

De tijd van vrijblijvendheid is definitief voorbij. De EU heeft de sancties onder NIS2 bewust zeer streng gemaakt, vergelijkbaar met de AVG/GDPR-wetgeving. Als je de regels negeert, riskeer je niet alleen enorme reputatieschade en operationele stilstand, maar ook harde sancties vanuit de overheid.

Financiële sancties

De boetes voor het niet naleven van de NIS2-richtlijn zijn niet mals en zijn gekoppeld aan de wereldwijde jaaromzet van een organisatie:

  • Voor Essentiële entiteiten: Administratieve geldboetes tot maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet (waarbij het hoogste bedrag geldt).
  • Voor Belangrijke entiteiten: Administratieve geldboetes tot maximaal 7 miljoen euro of 1,4% van de totale wereldwijde jaaromzet (waarbij het hoogste bedrag geldt).

Persoonlijke aansprakelijkheid van bestuurders

Dit is de grootste gamechanger van de NIS2. Toezichthouders krijgen de bevoegdheid om bestuurders en directeuren persoonlijk aansprakelijk te stellen als zij nalatig zijn geweest in het naleven van de zorgplicht. In extreme gevallen van non-compliance kan de toezichthouder een bestuurder tijdelijk schorsen of verbieden om een bestuursfunctie uit te oefenen. Cybersecurity is hiermee definitief verschoven van een ‘IT-feestje’ naar de directietafel.

8. Conclusie: Start vandaag nog

De NIS2-richtlijn lijkt op het eerste gezicht een zware administratieve en technische last, maar in de kern is het een noodzakelijke professionaliseringsslag. Het beschermt niet alleen de maatschappij, maar helpt ook jouw eigen onderneming te wapenen tegen de alsmaar groeiende dreiging van cybercriminaliteit.

Of je nu direct wettelijk verplicht bent te voldoen, of indirect als toeleverancier te maken krijgt met de eisen: afwachten is geen optie. Begin met het in kaart brengen van je huidige IT-landschap, voer een nulmeting uit en betrek het management direct bij het proces. Cyberveiligheid is de fundering onder een gezonde, toekomstbestendige digitale economie.

Deel dit artikel: LinkedIn ✉️ E-mail
← E-mailbeveiliging voor Bedrijven: Microsoft Spamfilter vs. SpamExperts Is het verstandig om mijn personeel te trainen op phishing e-mails? →