NIS2 wordt herschreven: wat het wijzigingsvoorstel van 2026 betekent voor jou en je klanten

Tweeëntwintig van de 27 EU-lidstaten hebben NIS2 inmiddels omgezet in nationale wetgeving. Terwijl de meeste organisaties nog worstelen met de oorspronkelijke vereisten, heeft de Europese Commissie al een voorstel gepubliceerd om de regels te wijzigen. Op 20 januari 2026 lanceerde de Commissie een wijzigingspakket dat betrekking heeft op de scope, ransomware-rapportage, certificering en grensoverschrijdend toezicht.

Waarom de Commissie al wijzigt terwijl de richtlijn nog niet volledig is geïmplementeerd

NIS2 werd handhavbaar in oktober 2024. Het Digital Omnibus Package van de Commissie, gelanceerd in november 2025, is gericht op het stroomlijnen van EU-digitale wetgeving. De praktijk van implementatie bracht ook tekortkomingen aan het licht — met name de divergentie in nationale regels en het ontbreken van een geharmoniseerd certificeringstraject.

Het voorstel van januari 2026 is "gericht" — de Commissie heroverweegt de fundamentele architectuur van NIS2 niet. De tien veiligheidsmaatregelen van artikel 21 blijven ongewijzigd. De meldingstermijnen voor incidenten (24 uur, 72 uur, één maand) blijven ongewijzigd.

NIS2 Implementatiestatus per Land (2025–2026)
✅
Volledig van kracht
🇧🇪België
🇭🇷Kroatië
🇭🇺Hongarije
🇱🇹Litouwen
🇱🇻Letland
🇮🇹Italië
6 landen
📋
Aangenomen — eind 2025
🇩🇪Duitsland
🇨🇿Tsjechië
🇫🇮Finland
3 landen
⏳
In uitvoering — verwacht 2026
🇳🇱Nederland
🇫🇷Frankrijk
🇪🇸Spanje
🇵🇱Polen
🇦🇹Oostenrijk
🇸🇪Zweden
🇮🇪Ierland
7 landen

Ransomware-rapportage: nieuwe verplichtingen in aantocht

Als een nationale autoriteit hierom verzoekt, zijn organisaties verplicht om te onthullen of er een losgeldeis is gedaan en door wie, of losgeld is betaald, het bedrag en de betalingsmethode, en de identiteit van de ontvanger (inclusief eventuele betrokken crypto-asset dienstverleners).

Openbaarmaking van losgeldbetalingen is niet automatisch — het wordt getriggerd door een verzoek van een autoriteit. Het voorstel pakt specifiek de informatie-asymmetrie aan waarmee toezichthouders worstelen. Klanten die ransomware-incidenten beheren, moeten nu beginnen met interne documentatiepraktijken.

NIS2 Incidentmeldingstijdlijn
24h
⚡
Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
Stap 1
72h
📋
Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
Stap 2
1mo
📊
Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.
Stap 3
24h
⚡
Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
72h
📋
Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
1mo
📊
Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.

Scopewijzigingen: wie valt er in, wie valt er uit

Exploitanten van onderzeekabels en onderwatercommunicatiesystemen vallen voor het eerst onder de scope. Chemische distributie valt eruit — de wijziging schrapt "distributie" uit Bijlage II. Een nieuwe categorie "kleine mid-caps" (minder dan 750 medewerkers, omzet onder €150 miljoen) wordt behandeld als "belangrijke entiteiten" in plaats van "essentiële entiteiten."

Is NIS2 van toepassing op uw organisatie?
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja▼
Nee▼
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
Ja▼
Nee▼
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja▼
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja ↓Nee →
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
Ja ↓Nee →
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja ↓Nee →
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
Van toepassing
Mogelijk van toepassing
Niet van toepassing

Certificering als compliance-route: het cyber-posture certificaat

Onder de voorgestelde wijziging kunnen entiteiten uiteindelijk een EU "cyber-posture certificaat" verkrijgen — een nieuwe entiteitsniveau-certificering onder een toekomstig Europees cyberbeveiligingscertificeringsschema afgestemd op CSA2. Als een entiteit een geldig certificaat heeft dat de vereisten van artikel 21 dekt, mogen bevoegde autoriteiten geen aanvullende beveiligingsaudits uitvoeren voor die vereisten.

CSA2 is zelf nog een voorstel. Maar de richting is duidelijk: investeer in kaders en maatregelen die certificeerbaar zijn. ENISA's richtlijnen die NIS2-vereisten koppelen aan ISO 27001-beheersmaatregelen worden waarschijnlijk de basis voor toekomstige cyber-posture certificaten.

Voor meer achtergrond over de tien artikel 21-veiligheidsmaatregelen, zie de NIS2 Artikel 21 verdieping.

Sterkere ENISA-rol: hoe grensoverschrijdend toezicht eruitziet

ENISA kan de samenwerking tussen nationale bevoegde autoriteiten faciliteren, helpen bij het bepalen van een leidende autoriteit voor gezamenlijke toezichtacties, binnen 15 maanden na inwerkingtreding een cyberbeveiligingsrisicoanalyse uitvoeren, en op verzoek direct deelnemen aan gezamenlijke toezichtactiviteiten. Dit is geen één-loket-model zoals bij de AVG.

Wat verandert er en wanneer: een praktische tijdlijn

Conservatieve schatting: deze wijzigingen worden voor de meeste landen niet vóór eind 2027 of begin 2028 in nationale wetgeving omgezet. Begin nu klanten te adviseren — maar selectief. Documentatiepraktijken voor ransomware zijn goedkoop om nu te implementeren. Scopewijzigingen hebben de hoogste prioriteit voor klanten in getroffen sectoren.

Het grotere plaatje: NIS2-handhaving is al begonnen

Zeven lidstaten zijn al doorverwezen naar het Hof van Justitie wegens het missen van de omzettingsdeadline. Nationale autoriteiten beginnen inspecties uit te voeren. De eerste boetes worden voor het einde van het jaar verwacht.

NIS2-sanctie-escalatie — Voorbij de boete
!
Aanleiding
Non-compliance gedetecteerd of incident treedt op
Een toezichthouder identificeert een compliance-hiaat of een organisatie voldoet niet aan de NIS2-vereisten
Toezichthouders kunnen opleggen
▼
Niet-financiële sancties
1
Nalevingsbevelen met bindende deadlines
2
Verplichte security-audits op eigen kosten
3
Publieke bekendmaking van overtredingen
4
Bindende instructies over specifieke beveiligingsmaatregelen
Escaleert naar
▼
Operationele en persoonlijke gevolgen
1
Opschorting van certificeringen of vergunningen
2
Tijdelijk verbod op bestuursfuncties voor personen
3
Publieke benoeming van verantwoordelijke natuurlijke personen
Aanleiding
Niet-financieel
Operationeel / persoonlijk

De voorgestelde wijzigingen geven organisaties geen extra tijd. Ze voegen nieuwe verplichtingen toe bovenop de bestaande basis. De meest verdedigbare positie voor elke in-scope organisatie is nu een gedocumenteerde gap-analyse.

Als je klanten die gap-analyse nog niet hebben gedaan, voer hem dan nu uit. De NIS2 quick-scan op NIS2Certify biedt een gestructureerd startpunt in minder dan 20 minuten.