Ga naar hoofdcontent
NIS2Certify
Terug naar overzicht

Wat is NIS2? Alles wat je moet weten over de Europese cyberbeveiligingsrichtlijn

Door NIS2Certify
nis2compliancecybersecurityeu-richtlijnartikel-21

NIS2 (Richtlijn 2022/2555) is de vernieuwde cyberbeveiligingsrichtlijn van de Europese Unie. Ze vervangt de oorspronkelijke NIS-richtlijn uit 2016 en is van toepassing op organisaties in 18 kritieke sectoren in elke EU-lidstaat.

In dit artikel leggen we uit wat NIS2 is, op wie het van toepassing is, wat je moet doen en wat er gebeurt als je niet voldoet.

Waarom bestaat NIS2?

Cyberaanvallen op ziekenhuizen, energieleveranciers en overheidssystemen hebben aangetoond dat digitale dreigingen hele samenlevingen kunnen ontwrichten. Eén ransomware-aanval op een leverancier kan grensoverschrijdend doorwerken en diensten platleggen waar miljoenen mensen van afhankelijk zijn.

De EU heeft geconcludeerd dat cybersecurity niet langer aan individuele organisaties of lidstaten kan worden overgelaten. NIS2 stelt een minimumniveau van cybersecurity vast dat alle lidstaten moeten handhaven — zodat een kwetsbaarheid in één land niet de hele Unie in gevaar brengt.

Wat is er veranderd ten opzichte van de oorspronkelijke NIS-richtlijn?

  • Breder toepassingsgebied — van een handvol sectoren naar 18
  • Specifiekere eisen — 10 concrete maatregelcategorieën in plaats van vage richtlijnen
  • Strengere handhaving — boetes tot €10 miljoen en persoonlijke bestuurdersaansprakelijkheid
  • Strengere incidentmelding — verplichte melding binnen 24 uur

Op wie is NIS2 van toepassing?

NIS2 hanteert een size cap als belangrijkste criterium. De richtlijn is op jouw organisatie van toepassing als je aan beide voorwaarden voldoet:

  • 50 of meer werknemers, of een jaaromzet / balanstotaal van meer dan €10 miljoen
  • Je opereert in een van de 18 aangewezen sectoren

Zeer kritieke sectoren (Bijlage I)

  • Energie (elektriciteit, olie, gas, waterstof, stadsverwarming)
  • Vervoer (lucht, spoor, water, weg)
  • Bankwezen en financiëlemarktinfrastructuur
  • Gezondheidszorg
  • Drinkwater en afvalwater
  • Digitale infrastructuur (DNS, TLD-registers, cloud, datacentra, CDN's)
  • ICT-dienstverlening (B2B — managed services, managed security)
  • Overheid
  • Ruimtevaart

Andere kritieke sectoren (Bijlage II)

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Chemische stoffen
  • Voedselproductie en -distributie
  • Maakindustrie (medische hulpmiddelen, elektronica, machines, motorvoertuigen)
  • Digitale aanbieders (onlinemarktplaatsen, zoekmachines, sociale netwerken)
  • Onderzoeksinstellingen

Let op: Sommige organisaties vallen ongeacht hun omvang onder NIS2 — waaronder gekwalificeerde vertrouwensdienstverleners, topleveldomeinregisters en DNS-dienstverleners.

Essentieel vs. belangrijk

NIS2 onderscheidt twee categorieën:

  • Essentiële entiteiten — grotere organisaties in zeer kritieke sectoren. Onderworpen aan proactief toezicht: de toezichthouder kan op elk moment audits en inspecties uitvoeren.
  • Belangrijke entiteiten — onderworpen aan reactief toezicht: de toezichthouder grijpt pas in na een incident of signaal van non-compliance.

Beide categorieën moeten dezelfde beveiligingsmaatregelen implementeren. Het verschil zit in het toezichtmodel en de maximale boetes.

Wat eist NIS2? De 3 kernverplichtingen

1. Zorgplicht — de 10 maatregelen van Artikel 21

Organisaties moeten passende technische, operationele en organisatorische maatregelen nemen om cybersecurityrisico's te beheersen. Artikel 21 noemt tien specifieke maatregelcategorieën die je minimaal moet implementeren.

Hier is een visueel overzicht van hoe de 10 maatregelen zijn georganiseerd:

Artikel 21 — 10 NIS2 Cybersecuritymaatregelen
Artikel 21
10 Cybersecuritymaatregelen
Governance & Strategie
1Risicoanalyse & informatiebeveiligingsbeleid
6Effectiviteitsbeoordeling van beveiligingsmaatregelen
Incidenten & Continuïteit
2Incidentafhandeling & melding
3Bedrijfscontinuïteit & disaster recovery
Toeleveringsketen & Systemen
4Beveiliging van de toeleveringsketen
5Beveiliging bij de ontwikkeling van netwerk- en informatiesystemen
Technische Beheersing
8Cryptografie & versleuteling
10Multi-factor authenticatie & veilige communicatie
Mensen & Middelen
7Cyberhygiëne & training
9HR-beveiliging & toegangscontrole

Elke maatregel in detail:

  1. Risicoanalyse en informatiebeveiligingsbeleid — gedocumenteerde risicobeoordelingen en beveiligingsbeleid voor je informatiesystemen
  2. Incidentafhandeling — processen voor het detecteren, afhandelen en herstellen van beveiligingsincidenten
  3. Bedrijfscontinuïteit en crisisbeheer — back-upstrategieën, disaster recovery en crisisbeheerprocedures
  4. Beveiliging van de toeleveringsketen — beveiligingseisen voor je leveranciers en dienstverleners, inclusief contractuele afspraken
  5. Veilige verwerving, ontwikkeling en onderhoud — beveiliging in de levenscyclus van je netwerk- en informatiesystemen, inclusief kwetsbaarhedenafhandeling
  6. Effectiviteitsbeoordeling — beleid en procedures om te evalueren of je cyberbeveiligingsmaatregelen daadwerkelijk werken
  7. Cyberhygiëne en training — basispraktijken voor cybersecurity voor alle medewerkers, plus gerichte opleidingsprogramma's
  8. Cryptografie en versleuteling — beleid over wanneer en hoe cryptografische maatregelen en versleuteling toe te passen
  9. Personeelsbeveiliging, toegangscontrole en activabeheer — screening van personeel, rolgebaseerde toegangscontroles en een actueel overzicht van je assets
  10. Multifactorauthenticatie en beveiligde communicatie — MFA voor kritieke systemen, versleutelde interne communicatie en beveiligde noodcommunicatiekanalen

2. Meldplicht (Artikel 23)

Bij een significant incident moet je in drie fasen rapporteren:

TermijnWat je moet indienen
Binnen 24 uurEerste melding bij de toezichthouder en het nationale CSIRT — was het kwaadaardig? Kan het grensoverschrijdende impact hebben?
Binnen 72 uurVervolgmelding met een eerste beoordeling van ernst, impact en indicators of compromise
Binnen 1 maandEindrapport met gedetailleerde beschrijving, oorzaakanalyse en genomen mitigerende maatregelen

3. Registratieplicht

Organisaties die onder NIS2 vallen moeten zich registreren bij hun nationale toezichthouder. Deadlines en registratieportalen verschillen per land.

Wat gebeurt er als je niet voldoet?

De gevolgen zijn aanzienlijk — zowel voor de organisatie als voor individuele bestuurders.

Financiële sancties

  • Essentiële entiteiten: boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet (afhankelijk van welk bedrag hoger is)
  • Belangrijke entiteiten: boetes tot €7 miljoen of 1,4% van de wereldwijde jaaromzet

Persoonlijke bestuurdersaansprakelijkheid

Hier gaat NIS2 verder dan de meeste regelgeving. Artikel 20 legt de verantwoordelijkheid voor cybersecurity expliciet bij het bestuursorgaan:

  • Bestuurders moeten risicobeheermaatregelen goedkeuren
  • Bestuurders moeten de implementatie superviseren
  • Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij tekortkomingen
  • Bestuurders zijn verplicht een cyberbeveiligingstraining te volgen

Dit gaat niet alleen om het aftekenen van een beleidsdocument. NIS2 verwacht dat het bestuur actief het risicolandschap van de organisatie begrijpt en weloverwogen beslissingen neemt.

NIS2-implementatietijdlijn in de EU

NIS2 trad op EU-niveau in werking in januari 2023. Lidstaten hadden tot 17 oktober 2024 de tijd voor omzetting in nationale wetgeving. De tijdlijnen variëren echter sterk:

LandStatus
BelgiëVolledig van kracht sinds oktober 2024 — een van de eerste implementaties
DuitslandNIS2UmsuCG aangenomen november 2025; BSI-registratie vereist voor april 2026
NederlandCyberbeveiligingswet ingediend bij Tweede Kamer juni 2025; verwacht Q2 2026
FrankrijkOmzetting in voortgang; nationale wet verwacht in 2026
ItaliëWetsbesluit aangenomen; implementatie gaande
SpanjeOmzetting in voortgang
PolenWetsvoorstel in parlementaire behandeling

Conclusie: Ongeacht de specifieke tijdlijn in jouw land is de richting duidelijk. Organisaties die nu beginnen met voorbereiden hebben een significant voordeel ten opzichte van degenen die wachten tot handhaving begint.

Hoe begin je met NIS2-compliance?

Voorbereiden op NIS2 hoeft niet overweldigend te zijn. Volg deze vijf stappen:

  1. Bepaal of NIS2 op jou van toepassing is — controleer de size cap (50+ werknemers of €10M+ omzet) en verifieer je sector
  2. Beoordeel je huidige situatie — breng je bestaande maatregelen in kaart tegen de 10 Artikel 21-categorieën en identificeer hiaten
  3. Prioriteer en implementeer — pak de hoogste risico's eerst aan; probeer niet alles tegelijk te doen
  4. Documenteer alles — NIS2 vereist aantoonbare naleving. Wat je niet kunt bewijzen, telt niet
  5. Betrek je bestuur — zorg dat het management hun persoonlijke aansprakelijkheid begrijpt en de risicobeheeraanpak goedkeurt

Start met een gratis NIS2-quickscan

Weet je niet waar je organisatie staat? Onze gratis NIS2-quickscan geeft je in enkele minuten een eerste inschatting van je gereedheid.

De scan bestrijkt alle 10 Artikel 21-maatregelcategorieën en laat precies zien waar je actie moet ondernemen — geheel vrijblijvend.

Lees ook

Doe de gratis quickscan →

    Wat is NIS2? Alles wat je moet weten over de Europese cyberbeveiligingsrichtlijn — NIS2Certify