De NIS2-Richtlijn: Volledige Gids voor Richtlijn (EU) 2022/2555
De NIS2-richtlijn (EU 2022/2555) is de centrale EU-cybersecuritywetgeving. Deze gids behandelt de structuur van de richtlijn, sleutelartikelen, de stand van implementatie in de lidstaten, bevoegde autoriteiten en de verhouding tot andere EU-cybersecuritywetten.
De NIS2-Richtlijn: Volledige Gids voor Richtlijn (EU) 2022/2555
De NIS2-richtlijn — officieel Richtlijn (EU) 2022/2555 — is de centrale cybersecuritywetgeving van de Europese Unie. Aangenomen op 14 december 2022 en gepubliceerd in het Publicatieblad van de EU op 27 december 2022 (PB L 333), vervangt zij de oorspronkelijke NIS-richtlijn en stelt verplichte cybersecurityverplichtingen in voor 18 kritieke en belangrijke sectoren.
Deze gids behandelt de richtlijn als juridisch instrument: haar structuur, sleutelartikelen, de stand van nationale implementatie en haar verhouding tot andere EU-cybersecuritywetgeving.
Officiële referentie en rechtsgrondslag
| Kenmerk | Detail |
|---|---|
| Officiële titel | Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad |
| Korte naam | NIS2-richtlijn |
| Datum van aanneming | 14 december 2022 |
| Datum van publicatie | 27 december 2022 |
| PB-referentie | PB L 333 van 27.12.2022, blz. 80–152 |
| Inwerkingtreding | 16 januari 2023 |
| Implementatietermijn | 17 oktober 2024 |
| Rechtsgrondslag | Artikel 114 VWEU (interne markt) |
| EUR-Lex-referentie | 32022L2555 |
De NIS2-richtlijn heft Richtlijn (EU) 2016/1148 (de oorspronkelijke NIS-richtlijn) op en vervangt haar. Als richtlijn — in tegenstelling tot een verordening — moest zij worden omgezet in het nationale recht van elke lidstaat. Dit verklaart de verschillen in timing en nationale uitwerking, anders dan bij DORA, dat als verordening rechtstreeks van toepassing is.
Waarom de NIS2-richtlijn werd gecreëerd
De oorspronkelijke NIS-richtlijn (2016/1148) was de eerste sectoroverschrijdende cybersecuritywetgeving van de EU. Tegen 2020 waren haar tekortkomingen duidelijk:
- Gefragmenteerde implementatie: 27 lidstaten, 27 verschillende complianceregimes
- Te beperkt toepassingsgebied: Slechts 7 sectoren, aanzienlijke lacunes voor kritieke infrastructuur
- Inconsistente handhaving: Geen minimale boeteplafonds, in sommige landen symbolische sancties
- Geen vereisten voor de toeleveringsketen: De SolarWinds- en Kaseya-incidenten toonden het risico van een focus uitsluitend op interne netwerkbeveiliging
- Geen managementaansprakelijkheid: Cyberbeveiliging werd behandeld als een IT-aangelegenheid, niet als een bestuurlijke verantwoordelijkheid
De Europese Commissie startte in 2020 een herziening. Na het EU-wetgevingsproces in 2021–2022 werd de richtlijn in december 2022 aangenomen.
Structuur van de richtlijn
De NIS2-richtlijn bevat 46 artikelen verdeeld over 7 hoofdstukken en 2 bijlagen, voorafgegaan door 146 overwegingen die de wetgevingsintentie en context toelichten.
| Hoofdstuk | Titel | Kernartikelen |
|---|---|---|
| I | Algemene bepalingen | 1–6 (onderwerp, toepassingsgebied, definities) |
| II | Risicobeheermaatregelen en meldingsverplichtingen | 20–26 (de centrale vereisten) |
| III | Bevoegdheid en registratie | 26–27 |
| IV | Europees cybercrisisbeheer | 15–16, 19 |
| V | Informatie-uitwisseling | 29–30 |
| VI | Toezicht en handhaving | 31–36 |
| VII | Slotbepalingen | 37–46 (implementatie, inwerkingtreding, intrekking NIS1) |
Bijlage I — Essentiële entiteiten (sterk kritieke sectoren)
Energie, vervoer, bankwezen, financiëlemarktinfrastructuren, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening (B2B), overheid, ruimtevaart.
Bijlage II — Belangrijke entiteiten (andere kritieke sectoren)
Post- en koeriersdiensten, afvalstoffenbeheer, vervaardiging/productie/distributie van chemische stoffen, productie/verwerking/distributie van levensmiddelen, productie (medische hulpmiddelen, elektronica, machines, motorvoertuigen), digitale aanbieders, onderzoeksorganisaties.
Sleutelartikelen voor organisaties
Artikel 20 — Governance
Leidinggevende organen van essentiële en belangrijke entiteiten moeten:
- Risicobeheermaatregelen voor cyberbeveiliging goedkeuren
- Het toezicht op de uitvoering ervan uitoefenen
- Cyberbeveiligingsopleidingen volgen
- Persoonlijk aansprakelijk zijn voor inbreuken
Artikel 20 maakt NIS2-compliance een bestuurlijke verplichting, niet uitsluitend een IT-taak.
Artikel 21 — Risicobeheermaatregelen voor cyberbeveiliging
De centrale operationele vereiste: organisaties moeten 10 specifieke maatregelen implementeren:
- Beleidsmaatregelen inzake risicoanalyse en beveiliging van informatiesystemen
- Incidentafhandeling
- Bedrijfscontinuïteit en crisisbeheer
- Beveiliging van de toeleveringsketen
- Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen
- Beleidsmaatregelen voor de beoordeling van de doeltreffendheid van risicobeheermaatregelen
- Basispraktijken op het gebied van cyberhygiëne en cyberbeveiligingstraining
- Beleidsmaatregelen inzake het gebruik van cryptografie en encryptie
- Personeelsbeveiliging, toegangscontrolebeleid en activabeheer
- Gebruik van multifactorauthenticatie en continue authenticatieoplossingen
De maatregelen moeten proportioneel zijn aan het risico, rekening houdend met de blootstelling aan risico's, de omvang van de organisatie en de waarschijnlijkheid en ernst van incidenten.
Artikel 23 — Meldingsverplichtingen
Bij een significant incident meldt de getroffen entiteit aan haar nationale CSIRT of bevoegde autoriteit:
| Termijn | Melding | Inhoud |
|---|---|---|
| 24 uur | Vroegtijdige waarschuwing | Vermoedelijke kwaadaardige oorzaak; mogelijk grensoverschrijdende impact |
| 72 uur | Incidentmelding | Bijgewerkte beoordeling, ernst en impact, indicatoren van compromittering |
| 1 maand | Eindverslag | Gedetailleerde beschrijving, oorzaakanalyse, mitigatiemaatregelen, grensoverschrijdende impact |
Artikelen 32–36 — Toezicht en handhaving
Essentiële entiteiten zijn onderworpen aan proactief toezicht (regelmatige audits, inspecties ter plaatse, beveiligingsscans). Belangrijke entiteiten zijn onderworpen aan reactief toezicht (uitgelokt door incidenten of bewijs van niet-naleving).
Boeteplafonds (artikel 34):
- Essentiële entiteiten: tot €10 miljoen of 2% van de wereldwijde jaaromzet
- Belangrijke entiteiten: tot €7 miljoen of 1,4% van de wereldwijde jaaromzet
Stand van nationale implementatie (maart 2026)
De implementatietermijn was 17 oktober 2024. Veel lidstaten hebben deze termijn niet gehaald. Stand maart 2026:
| Land | Status | Nationale wet |
|---|---|---|
| België | Geïmplementeerd | NIS2-wet (2024) |
| Kroatië | Geïmplementeerd | Nationale cybersecuritywet (2024) |
| Hongarije | Geïmplementeerd | Wijzigingen cybersecuritywet |
| Letland | Geïmplementeerd | Wijzigingen IT-beveiligingswet |
| Litouwen | Geïmplementeerd | Wet inzake cyberbeveiliging |
| Duitsland | Geïmplementeerd | NIS2UmsuCG (wijziging BSI-wet, december 2025) |
| Italië | Geïmplementeerd | Wetgevend besluit 138/2024 |
| Nederland | In behandeling | Wijziging Wbni in voorbereiding |
| Frankrijk | Gedeeltelijk | ANSSI-uitvoeringsmaatregelen lopend |
| Overige | Wisselend | Wetgevingsprocessen in uitvoering |
In Nederland is de Wet beveiliging netwerk- en informatiesystemen (Wbni) het nationale kader. Een wijziging ter implementatie van NIS2 is in voorbereiding. Organisaties dienen de voortgang van de wetgeving nauwlettend te volgen.
Bevoegde autoriteiten
Elke lidstaat wijst één of meer bevoegde autoriteiten aan voor NIS2-toezicht:
| Land | Autoriteit | Rol |
|---|---|---|
| Duitsland | BSI (Bundesamt für Sicherheit in der Informationstechnik) | Toezicht + nationaal CSIRT |
| Frankrijk | ANSSI (Agence nationale de la sécurité des systèmes d'information) | Toezicht + nationaal CSIRT |
| Nederland | NCSC-NL + sectorale autoriteiten | Toezicht; NCSC-NL = nationaal CSIRT |
| België | CCB (Centre for Cybersecurity Belgium) | Toezicht + nationaal CSIRT |
| Italië | ACN (Agenzia per la Cybersicurezza Nazionale) | Toezicht + nationaal CSIRT |
Organisaties moeten significante incidenten melden bij hun nationale CSIRT en moeten zich mogelijk registreren bij hun bevoegde autoriteit.
NIS2-richtlijn en andere EU-cybersecuritywetgeving
| Wetgeving | Verhouding tot NIS2 |
|---|---|
| DORA (Digital Operational Resilience Act) | Lex specialis voor de financiële sector. Financiële entiteiten die onder DORA vallen, worden geacht te voldoen aan gelijkwaardige NIS2-vereisten. DORA is een verordening (rechtstreeks van toepassing). |
| Cyber Resilience Act (CRA) | Van toepassing op fabrikanten van producten met digitale elementen. Complementair aan NIS2 op het niveau van de toeleveringsketen. CRA-conformiteit kan bijdragen aan de vereisten van artikel 21, lid 2, sub d) van NIS2. |
| AVG (GDPR) | NIS2-meldingsverplichtingen (artikel 23) en meldingsverplichtingen inzake persoonlijke datalekken (artikel 33 AVG) kunnen tegelijkertijd van toepassing zijn op hetzelfde incident. Verschillende termijnen: NIS2 (24/72 uur), AVG (72 uur aan toezichthoudende autoriteit). |
| EU Cybersecurity Act | Biedt het certificeringskader waarnaar artikel 24 van NIS2 verwijst. |
Wat de NIS2-richtlijn voor uw organisatie betekent
De NIS2-richtlijn vereist operationele cyberbeveiliging, niet alleen gedocumenteerd beleid. Overweging 79 verduidelijkt dat risicobeheermaatregelen proportioneel moeten zijn en de werkelijke risicoblootstelling moeten weerspiegelen. Overweging 93 benadrukt de directe verantwoordelijkheid van leidinggevende organen.
Voor geloofwaardige compliance heeft een organisatie nodig:
- Functionerende detectie- en meldingsprocessen voor de termijnen van 24/72 uur
- Toezicht op de toeleveringsketen dat verder gaat dan jaarlijkse vragenlijsten
- Bewijsbeheer dat een auditeerbaar compliancespoor creëert
- Managementtraining en governance die toezicht op bestuursniveau aantonen
Hoe Orbiq helpt bij NIS2-richtlijnconformiteit
Orbiq adresseert de operationele lacunes die NIS2-conformiteit in de praktijk moeilijk maken:
- Continu monitoren: Geautomatiseerde bewijsverzameling voor alle 10 maatregelen van artikel 21
- Vendor Assurance: Gecentraliseerde leveranciersbeoordeling en continue monitoring van derde partijen
- Trust Center: Publiek complianceportaal voor klanten, auditors en toezichthouders
- Bewijsbeheer: Automatische verzameling en organisatie van compliancebewijs
In tegenstelling tot Amerikaanse platforms die NIS2 als add-on behandelen, is Orbiq van de grond af aan ontworpen voor Europese regelgeving — met EU-dataopslag en directe kennis van de vereisten van het NCSC-NL, CCB en andere bevoegde autoriteiten.
Verwante NIS2-artikelen
- Wat is NIS2? Volledige gids voor de EU NIS2-richtlijn
- NIS2-compliance: Hoe te bereiken en te handhaven
- NIS2-vereisten: Volledige gids
- NIS2-compliance checklist: Volledige artikel 21-vereisten
- NIS2-incidentmelding: De 24-uur deadline
- NIS2-toeleveringsketenbeveiliging
- ISO 27001 is geen NIS2-compliance
Laatste update: maart 2026. De implementatiestatus wordt bijgewerkt naarmate nationale implementaties vorderen.