Wat is NIS2-compliance?

NIS2-compliance betekent het voldoen aan de vereisten van de EU-richtlijn Netwerk- en Informatiebeveiliging 2 (Richtlijn 2022/2555). Het vereist dat essentiële en belangrijke entiteiten maatregelen voor cybersecurity-risicobeheer implementeren, incidenten binnen strikte termijnen melden en de beveiliging van de toeleveringsketen waarborgen. NIS2 vervangt de oorspronkelijke NIS-richtlijn met een breder toepassingsgebied en strengere handhaving.

Wat zijn de NIS2-compliance-deadlines?

De NIS2-richtlijn is op 16 januari 2023 in werking getreden. EU-lidstaten hadden tot 17 oktober 2024 de tijd om deze om te zetten in nationaal recht. Organisaties die onder het toepassingsgebied vallen, moeten vanaf de omzettingsdatum voldoen aan hun nationale implementatie, hoewel sommige landen verlengde termijnen hanteren. De Duitse NIS2-implementatiewet (NIS2UmsuCG) wordt in 2025 verwacht.

Wat zijn de boetes voor NIS2-niet-naleving?

Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet (de hoogste van de twee). Belangrijke entiteiten riskeren boetes tot €7 miljoen of 1,4% van de wereldwijde jaaromzet. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld en kunnen tijdelijk worden uitgesloten van het uitoefenen van bestuursfuncties.

Hoe verschilt NIS2 van de oorspronkelijke NIS-richtlijn?

NIS2 breidt de oorspronkelijke NIS-richtlijn aanzienlijk uit: het bestrijkt 18 sectoren in plaats van 7, schaft het onderscheid tussen aanbieders van essentiële diensten en digitale dienstverleners af, introduceert strengere incidentmelding (24 uur vroegtijdige waarschuwing), voegt vereisten voor beveiliging van de toeleveringsketen toe, introduceert bestuurdersaansprakelijkheid en harmoniseert handhaving met minimale boetedrempels.

Wat zijn de belangrijkste NIS2-compliance-vereisten?

NIS2 Artikel 21 schrijft tien risicobeheermaatregelen voor: risicoanalysebeleid, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, netwerkbeveiliging, kwetsbaarheidsbeheer, cybersecurity-training, cryptografiebeleid, toegangscontrole met multifactorauthenticatie en beoordeling van de effectiviteit van beveiligingsmaatregelen. Daarnaast vereist Artikel 23 incidentmelding binnen 24 uur (vroegtijdige waarschuwing) en 72 uur (volledige melding).

Maakt ISO 27001-certificering u NIS2-compliant?

ISO 27001 biedt een sterke basis, maar maakt u niet automatisch NIS2-compliant. NIS2 heeft specifieke operationele vereisten die verder gaan dan ISO 27001, met name op het gebied van incidentmelding (24/72 uur deadlines), beveiliging van de toeleveringsketen (continue monitoring) en bewijsbeheer. Een ISO 27001-gecertificeerd ISMS dekt doorgaans ongeveer 70% van de NIS2-vereisten op documentatieniveau.

Hoe kan een Trust Center helpen bij NIS2-compliance?

Een Trust Center zoals Orbiq helpt bij NIS2-compliance door uw compliance-documentatie te centraliseren, bewijsverzameling te automatiseren, beveiligingsvragenlijsten voor de toeleveringsketen te beheren, real-time compliance-monitoring te bieden en een controleerbaar spoor van uw beveiligingshouding te creëren. Het maakt van compliance een continue operationele capaciteit in plaats van een periodieke exercitie.

NIS2-compliance: Hoe u compliance bereikt en behoudt (2026)

Published 7 mrt 2026

By Emre Salmanoglu

NIS2-compliance: Hoe u compliance bereikt en behoudt (2026)

Q: Wie moet voldoen aan NIS2?

NIS2 is van toepassing op middelgrote en grote organisaties in 18 sectoren in de EU, onderverdeeld in essentiële entiteiten (energie, transport, bankwezen, gezondheidszorg, water, digitale infrastructuur, ICT-dienstverlening, overheidsdiensten, ruimtevaart) en belangrijke entiteiten (postdiensten, afvalbeheer, chemicaliën, voeding, productie, digitale aanbieders, onderzoek). Organisaties met 50+ werknemers of €10M+ omzet in deze sectoren vallen doorgaans onder het toepassingsgebied.

Praktische gids voor NIS2-compliance — stapsgewijze vereisten, gap-analyse, implementatie-roadmap en benodigde tools. Leer hoe uw organisatie NIS2-compliant wordt en blijft.

NIS2

Compliance

Cybersecurity

EU-regelgeving

Risicobeheer

NIS2-compliance: De complete gids voor Europese bedrijven

De NIS2-richtlijn (Richtlijn 2022/2555) is de meest significante cybersecurity-wetgeving van de EU. Het vervangt de oorspronkelijke NIS-richtlijn met een drastisch uitgebreid toepassingsgebied, strengere vereisten en daadwerkelijke handhavingsinstrumenten. Als uw organisatie actief is in de EU, is de kans groot dat NIS2 op u van toepassing is.

Deze gids behandelt alles: wie het treft, wat u moet doen, de tijdlijnen, de boetes en hoe u een compliance-programma opbouwt dat ook operationeel werkt — niet alleen op papier.

Wat is NIS2?

NIS2 — de Netwerk- en Informatiebeveiliging Richtlijn 2 — is een EU-richtlijn die cybersecurity-verplichtingen vastlegt voor organisaties die actief zijn in kritieke en belangrijke sectoren. Aangenomen op 14 december 2022 en gepubliceerd als Richtlijn 2022/2555, beoogt het een hoog gemeenschappelijk niveau van cybersecurity in de gehele Europese Unie te bereiken.

De richtlijn is een reactie op het snel veranderende dreigingslandschap en de tekortkomingen van zijn voorganger. De oorspronkelijke NIS-richtlijn (2016) liet te veel vrijheid aan lidstaten, wat leidde tot gefragmenteerde implementatie en inconsistente handhaving. NIS2 lost dit op met:

Breder toepassingsgebied: 18 sectoren in plaats van 7
Duidelijkere verplichtingen: Specifieke risicobeheermaatregelen in Artikel 21
Strikte incidentmelding: 24 uur vroegtijdige waarschuwing, 72 uur volledige melding
Focus op toeleveringsketen: Expliciete vereisten voor risicobeheer van derden
Bestuurdersaansprakelijkheid: Persoonlijke aansprakelijkheid voor bestuurders
Geharmoniseerde boetes: Minimale drempels voor alle lidstaten

Wie moet voldoen aan NIS2?

NIS2 verdeelt organisaties die onder het toepassingsgebied vallen in twee categorieën op basis van kritikaliteit:

Essentiële entiteiten (Bijlage I)

Dit zijn sectoren waar verstoring ernstige gevolgen zou hebben:

Sector	Voorbeelden
Energie	Elektriciteit, olie, gas, waterstof, stadsverwarming
Transport	Luchtvaart, spoor, scheepvaart, wegvervoer
Bankwezen	Kredietinstellingen
Financiële marktinfrastructuur	Handelsplatformen, centrale tegenpartijen
Gezondheidszorg	Zorgaanbieders, EU-referentielaboratoria, farmaceutica, medische hulpmiddelen
Drinkwater	Levering en distributie
Afvalwater	Opvang, verwijdering, behandeling
Digitale infrastructuur	IXP's, DNS, TLD-registers, cloud, datacenters, CDN's, vertrouwensdiensten
ICT-dienstverlening (B2B)	Managed service providers, managed security service providers
Overheidsdiensten	Centrale overheidsinstanties
Ruimtevaart	Exploitanten van grondgebonden infrastructuur

Belangrijke entiteiten (Bijlage II)

Sector	Voorbeelden
Post- en koeriersdiensten	Gelicentieerde aanbieders
Afvalbeheer	Inzameling, verwerking, verwijdering
Chemicaliën	Productie, fabricage, distributie
Voeding	Productie, verwerking, distributie
Productie	Medische hulpmiddelen, elektronica, machines, motorvoertuigen
Digitale aanbieders	Online marktplaatsen, zoekmachines, sociale netwerken
Onderzoek	Onderzoeksorganisaties

Omvangdrempels

Over het algemeen is NIS2 van toepassing op organisaties in bovengenoemde sectoren die:

Middelgroot of groter zijn: 50+ werknemers of €10M+ jaaromzet
Ongeacht omvang voor bepaalde kritieke entiteiten (gekwalificeerde vertrouwensdienstenaanbieders, TLD-registers, DNS-dienstverleners, telecomaanbieders)

Lidstaten kunnen ook aanvullende entiteiten aanwijzen op basis van nationale risicobeoordelingen.

De tien NIS2-risicobeheermaatregelen

Artikel 21(2) somt tien specifieke maatregelen op die organisaties moeten implementeren. Deze vormen de kern van NIS2-compliance:

1. Risicoanalyse en beveiligingsbeleid voor informatiesystemen

Stel beleid voor risicoanalyse op en onderhoud dit voor uw informatiesystemen. Dit omvat regelmatige risicobeoordelingen, risicobehandelplannen en gedocumenteerd beveiligingsbeleid.

Wat dit operationeel betekent: U hebt een levend risicoregister nodig, geen document dat in een la ligt. Regelmatige evaluaties, bijgewerkte dreigingsbeoordelingen en duidelijk eigenaarschap van risico's.

2. Incidentafhandeling

Implementeer procedures voor het detecteren, beheren en reageren op beveiligingsincidenten.

Wat dit operationeel betekent: U hebt een incidentresponsplan nodig dat mensen daadwerkelijk weten uit te voeren. De meldtermijnen van NIS2 (24 uur vroegtijdige waarschuwing, 72 uur volledige melding) vereisen snelle detectie en escalatie.

3. Bedrijfscontinuïteit en crisisbeheer

Waarborg bedrijfscontinuïteit door back-upbeheer, rampherstel en crisisbeheerprocedures.

Wat dit operationeel betekent: Geteste back-up- en herstelprocedures. Niet alleen gedocumenteerd — getest. BCP-oefeningen die bewijzen dat u daadwerkelijk de bedrijfsvoering kunt herstellen.

4. Beveiliging van de toeleveringsketen

Pak beveiligingsrisico's aan in relaties met directe leveranciers en dienstverleners, inclusief contractuele vereisten en monitoring.

Wat dit operationeel betekent: Dit is waar de meeste organisaties het grootste hiaat hebben. Jaarlijkse leveranciersvragenlijsten zijn niet genoeg. NIS2 verwacht continue beoordeling van de cybersecurity-houding van uw toeleveringsketen.

5. Beveiliging bij de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen

Waarborg beveiliging bij de aanschaf, ontwikkeling en het onderhoud van uw systemen, inclusief kwetsbaarheidsafhandeling en -openbaarmaking.

Wat dit operationeel betekent: Kwetsbaarheidsbeheerprogramma's met gedefinieerde SLA's. Gecoördineerde kwetsbaarheidsopenbaarmaking. Security-by-design bij inkoop.

6. Beleid voor het beoordelen van effectiviteit

Implementeer beleid en procedures om de effectiviteit van uw cybersecurity-risicobeheermaatregelen te beoordelen.

Wat dit operationeel betekent: Regelmatige audits, penetratietesten, beveiligingsmetrics en managementreviews die daadwerkelijk tot verbetering leiden.

7. Cyberhygiëne en training

Stel basale cyberhygiënepraktijken en cybersecurity-trainingen vast voor al het personeel.

Wat dit operationeel betekent: Bewustwordingsprogramma's voor beveiliging, phishingsimulaties, rolgerichte training voor technisch personeel en cybersecurity-training op managementniveau (NIS2 vereist dit expliciet voor bestuursorganen).

8. Cryptografie en versleuteling

Implementeer beleid voor het gebruik van cryptografie en, waar passend, versleuteling.

Wat dit operationeel betekent: Gedefinieerde normen voor gegevensversleuteling in rust en tijdens transport, sleutelbeheerprocedures en regelmatige evaluatie van cryptografische implementaties.

9. Personeelsbeveiliging en toegangscontrole

Adresseer personeelsbeveiliging, toegangscontrolebeleid en vermogensbeheer.

Wat dit operationeel betekent: Antecedentenonderzoek, in- en uitdienstprocedures, least-privilege-toegang, regelmatige toegangsreviews en beheer van de asset-inventaris.

10. Multifactorauthenticatie

Gebruik multifactorauthenticatie, continue authenticatieoplossingen en beveiligde communicatie waar passend.

Wat dit operationeel betekent: MFA ingezet op alle kritieke systemen, niet alleen e-mail. Beveiligde spraak-, video- en tekstcommunicatie. Overweging van zero-trust-architectuurprincipes.

NIS2-incidentmeldingsvereisten

Een van de meest significante veranderingen ten opzichte van de oorspronkelijke NIS-richtlijn is de aangescherpte incidentmeldingstermijn:

Termijn	Vereiste	Wat te vermelden
24 uur	Vroegtijdige waarschuwing aan CSIRT/bevoegde autoriteit	Of het incident vermoedelijk wordt veroorzaakt door onrechtmatige of kwaadwillende handelingen; of het grensoverschrijdende impact kan hebben
72 uur	Incidentmelding	Bijgewerkte beoordeling, ernst en impact, indicatoren van compromittering, eerste beoordeling van het incident
1 maand	Eindrapport	Gedetailleerde beschrijving van het incident, analyse van de grondoorzaak, toegepaste mitigatiemaatregelen, grensoverschrijdende impact indien van toepassing

Een "significant incident" dat melding vereist is een incident dat:

Ernstige operationele verstoring of financieel verlies heeft veroorzaakt of kan veroorzaken
Andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken

NIS2-boetes en handhaving

NIS2 introduceert geharmoniseerde boetedrempels voor alle lidstaten:

Voor essentiële entiteiten

Administratieve boetes tot €10 miljoen of 2% van de totale wereldwijde jaaromzet, de hoogste van de twee
Bevoegde autoriteiten kunnen tijdelijke verboden op bestuursfuncties opleggen
Mogelijke opschorting van certificeringen of vergunningen

Voor belangrijke entiteiten

Administratieve boetes tot €7 miljoen of 1,4% van de totale wereldwijde jaaromzet, de hoogste van de twee

Bestuurdersaansprakelijkheid

Artikel 20 vereist expliciet dat bestuursorganen:

Cybersecurity-risicobeheermaatregelen goedkeuren
Toezien op de implementatie daarvan
Aansprakelijk kunnen worden gesteld voor overtredingen
Cybersecurity-training ondergaan

Deze persoonlijke aansprakelijkheidsbepaling is nieuw en ingrijpend. Bestuurders kunnen cybersecurity-verantwoordelijkheid niet langer delegeren zonder verantwoording af te leggen.

NIS2-implementatietijdlijn

Datum	Mijlpaal
16 januari 2023	NIS2 in werking getreden
17 oktober 2024	Deadline voor omzetting door lidstaten in nationaal recht
17 april 2025	Deadline voor lidstaten om een lijst van essentiële en belangrijke entiteiten op te stellen
Lopend	Nationale implementaties met wisselende tijdlijnen (Duitslands NIS2UmsuCG verwacht in 2025)

Veel lidstaten hebben de omzettingsdeadline van oktober 2024 gemist. Begin 2026 varieert de implementatiestatus:

Omgezet en handhavend: België, Kroatië, Hongarije, Letland, Litouwen
Omgezet, handhaving in opbouw: Diverse andere landen
Nog in wetgevingsproces: Duitsland, enkele andere landen

Ongeacht de nationale omzettingsstatus vertegenwoordigen de vereisten van de richtlijn de regelgevende richting voor alle EU-lidstaten.

Hoe u NIS2-compliance bereikt: Een praktisch stappenplan

Stap 1: Bepaal of u onder het toepassingsgebied valt

Controleer of uw organisatie binnen de 18 sectoren valt en aan de omvangdrempels voldoet. Houd rekening met:

Uw primaire NACE-codes (de richtlijn verwijst naar classificaties van economische activiteiten)
Of u een middelgroot of groot bedrijf bent
Of u in een sectorcategorie valt die ongeacht omvang van toepassing is

Stap 2: Classificeer uw entiteitstype

Bepaal of u een essentiële of belangrijke entiteit bent. Dit is van invloed op:

Welk toezichtregime van toepassing is (proactief versus reactief)
De maximale boetedrempels
Registratie- en meldingsvereisten

Stap 3: Voer een gap-analyse uit

Breng uw huidige beveiligingshouding in kaart tegen de tien maatregelen van Artikel 21. Als u een ISO 27001 ISMS hebt, dekt u waarschijnlijk 60-70% op documentatieniveau. Typische hiaten zijn:

Incidentmeldingscapaciteit (24/72 uur termijnen)
Beveiliging van de toeleveringsketen (continue monitoring)
Bewijsbeheer (aantoonbare compliance)
Management-training en verantwoording

Stap 4: Bouw uw compliance-programma

Focus op de operationele hiaten. NIS2 gaat niet alleen om het hebben van beleid — het gaat om het aantonen dat uw maatregelen werken:

Implementeer of upgrade uw workflows voor incidentdetectie en -melding
Stel risicobeheer voor de toeleveringsketen in met continue monitoring
Implementeer tools voor bewijsverzameling en compliance-tracking
Train het management over hun verplichtingen en aansprakelijkheden

Stap 5: Realiseer continue compliance

NIS2-compliance is geen eenmalig project. Bouw systemen die compliance continu waarborgen:

Geautomatiseerde bewijsverzameling
Real-time compliance-dashboards
Regelmatige test- en beoordelingscycli
Leveranciersmonitoring en herbeoordeling

NIS2 versus ISO 27001: De relatie begrijpen

Veel organisaties vragen zich af of ISO 27001-certificering gelijkstaat aan NIS2-compliance. Het korte antwoord: nee, maar het is een sterke basis.

Aspect	ISO 27001	NIS2
Aard	Vrijwillige internationale norm	Verplichte EU-regelgeving
Reikwijdte	Informatiebeveiligingsbeheer	Cybersecurity-risicobeheer + incidentmelding
Incidentmelding	Interne procedures	24/72 uur melding aan autoriteiten
Toeleveringsketen	Risicobeoordeling	Continue monitoring + contractuele vereisten
Boetes	Verlies van certificering	Boetes tot €10M / 2% omzet + persoonlijke aansprakelijkheid
Bewijsvoering	Auditgebaseerd (jaarlijks)	Continue aantoonbaarheidscapaciteit
Management	Managementbetrokkenheid	Persoonlijke aansprakelijkheid voor bestuursorganen

NIS2 Artikel 25 moedigt expliciet het gebruik van Europese en internationale normen aan, waaronder ISO 27001, als middel om compliance aan te tonen. Maar de operationele uitvoeringsvereisten — met name rondom incidentmeldingstermijnen, monitoring van de toeleveringsketen en bewijsbeheer — gaan verder dan wat een standaard ISMS oplevert.

Hoe Orbiq helpt bij NIS2-compliance

Orbiq is van de grond af opgebouwd voor Europese compliance. Als Trust Center-platform pakt het de operationele hiaten aan die het meest van belang zijn voor NIS2:

Beveiliging van de toeleveringsketen: Centraliseer leveranciersbeoordelingen, automatiseer vragenlijstdistributie, monitor de compliance-houding van derden continu
Bewijsbeheer: Verzamel en organiseer compliance-bewijs automatisch, waardoor een controleerbaar spoor ontstaat dat bestand is tegen regulatoir toezicht
Incidentparaatheid: Gedocumenteerde responsprocedures met duidelijke escalatiepaden en meldingsworkflows
Compliance-zichtbaarheid: Real-time dashboards die uw compliance-status tonen over alle tien maatregelen van Artikel 21
Trust Center: Een publiek portaal dat uw compliance-houding aantoont aan klanten, auditors en toezichthouders

In tegenstelling tot VS-gerichte platforms die Europese regelgeving achteraf inpassen, is Orbiq ontworpen voor de AVG, NIS2 en DORA vanaf dag één — met EU-dataresidentie en een Europese benadering. Vergelijkt u EU-compliance-software voor meerdere frameworks (NIS2, DORA, AVG, CRA)? Zie onze EU-Compliance-Software Aankoopgids.

Verder lezen

Bekijk onze gedetailleerde NIS2-gidsen:

NIS2-richtlijn: Volledige gids voor Richtlijn (EU) 2022/2555 — De richtlijn als juridisch instrument: structuur, sleutelartikelen, stand van implementatie
NIS2 Vereisten: Complete gids over wat u moet doen — Alle NIS2-verplichtingen op één plek samengebracht
NIS2-compliance-checklist: Maatregelen van Artikel 21 — Gedetailleerde beoordeling van elke maatregel ten opzichte van een standaard ISMS
NIS2-incidentmelding: De 24-uursdeadline — Wat te melden, wanneer en hoe
NIS2-beveiliging van de toeleveringsketen — Risicobeheer van derden onder NIS2
ISO 27001 is geen NIS2-compliance — Waarom certificering alleen niet genoeg is
NIS2: Getroffen maar operationeel onvoorbereid — Veelvoorkomende hiaten tussen ISMS en NIS2

Deze gids wordt onderhouden door het Orbiq-team en bijgewerkt naarmate nationale implementaties vorderen. Laatst bijgewerkt: maart 2026.