De NIS2-Richtlijn: Volledige Gids voor Richtlijn (EU) 2022/2555
De NIS2-richtlijn (EU 2022/2555) is de centrale EU-cybersecuritywetgeving. Deze gids behandelt de structuur van de richtlijn, sleutelartikelen, de stand van implementatie in de lidstaten, bevoegde autoriteiten en de verhouding tot andere EU-cybersecuritywetten.
De NIS2-Richtlijn: Volledige Gids voor Richtlijn (EU) 2022/2555
De NIS2-richtlijn — officieel Richtlijn (EU) 2022/2555 — is de centrale cybersecuritywetgeving van de Europese Unie. Aangenomen op 14 december 2022 en gepubliceerd in het Publicatieblad van de EU op 27 december 2022 (PB L 333), vervangt zij de oorspronkelijke NIS-richtlijn en stelt verplichte cybersecurityverplichtingen in voor 18 kritieke en belangrijke sectoren.
Deze gids behandelt de richtlijn als juridisch instrument: haar structuur, sleutelartikelen, de stand van nationale implementatie en haar verhouding tot andere EU-cybersecuritywetgeving.
Officiële referentie en rechtsgrondslag
| Kenmerk | Detail |
|---|---|
| Officiële titel | Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad |
| Korte naam | NIS2-richtlijn |
| Datum van aanneming | 14 december 2022 |
| Datum van publicatie | 27 december 2022 |
| PB-referentie | PB L 333 van 27.12.2022, blz. 80–152 |
| Inwerkingtreding | 16 januari 2023 |
| Implementatietermijn | 17 oktober 2024 |
| Rechtsgrondslag | Artikel 114 VWEU (interne markt) |
| EUR-Lex-referentie | 32022L2555 |
De NIS2-richtlijn heft Richtlijn (EU) 2016/1148 (de oorspronkelijke NIS-richtlijn) op en vervangt haar. Als richtlijn — in tegenstelling tot een verordening — moest zij worden omgezet in het nationale recht van elke lidstaat. Dit verklaart de verschillen in timing en nationale uitwerking, anders dan bij DORA, dat als verordening rechtstreeks van toepassing is.
Waarom de NIS2-richtlijn werd gecreëerd
De oorspronkelijke NIS-richtlijn (2016/1148) was de eerste sectoroverschrijdende cybersecuritywetgeving van de EU. Tegen 2020 waren haar tekortkomingen duidelijk:
- Gefragmenteerde implementatie: 27 lidstaten, 27 verschillende complianceregimes
- Te beperkt toepassingsgebied: Slechts 7 sectoren, aanzienlijke lacunes voor kritieke infrastructuur
- Inconsistente handhaving: Geen minimale boeteplafonds, in sommige landen symbolische sancties
- Geen vereisten voor de toeleveringsketen: De SolarWinds- en Kaseya-incidenten toonden het risico van een focus uitsluitend op interne netwerkbeveiliging
- Geen managementaansprakelijkheid: Cyberbeveiliging werd behandeld als een IT-aangelegenheid, niet als een bestuurlijke verantwoordelijkheid
De Europese Commissie startte in 2020 een herziening. Na het EU-wetgevingsproces in 2021–2022 werd de richtlijn in december 2022 aangenomen.
Structuur van de richtlijn
De NIS2-richtlijn bevat 46 artikelen verdeeld over 7 hoofdstukken en 2 bijlagen, voorafgegaan door 144 overwegingen die de wetgevingsintentie en context toelichten.
| Hoofdstuk | Titel | Kernartikelen |
|---|---|---|
| I | Algemene bepalingen | 1–6 (onderwerp, toepassingsgebied, definities) |
| II | Risicobeheermaatregelen en meldingsverplichtingen | 20–26 (de centrale vereisten) |
| III | Bevoegdheid en registratie | 26–27 |
| IV | Europees cybercrisisbeheer | 15–16, 19 |
| V | Informatie-uitwisseling | 29–30 |
| VI | Toezicht en handhaving | 31–36 |
| VII | Slotbepalingen | 37–46 (implementatie, inwerkingtreding, intrekking NIS1) |
De bijlagen definiëren de sectoren door middel van een beschrijving, niet door een statistische code. In de praktijk koppelen nationale omzettingswetten en ENISA-richtsnoeren elke sector aan NACE Rev. 2-codes voor economische activiteiten, zodat organisaties hun reikwijdte kunnen bevestigen. De tabellen hieronder koppelen elke NIS2-sector aan de indicatieve NACE-referentie.
Bijlage I — Sectoren van hoge kritikaliteit (essentiële entiteiten)
| Sector | Subsectoren (voorbeelden) | Indicatieve NACE Rev. 2 |
|---|---|---|
| Energie | Elektriciteit, stadsverwarming/-koeling, olie, gas, waterstof | D35; C19; B06 |
| Vervoer | Lucht, spoor, water, weg | H49–H51 |
| Bankwezen | Kredietinstellingen | K64.19 |
| Financiëlemarktinfrastructuren | Handelsplatformen, centrale tegenpartijen | K64.99; K66 |
| Gezondheidszorg | Zorgaanbieders, EU-referentielaboratoria, geneesmiddelenproductie | Q86; C21 |
| Drinkwater | Leveranciers en distributeurs van water voor menselijke consumptie | E36 |
| Afvalwater | Inzameling, afvoer en behandeling van stedelijk/industrieel afvalwater | E37 |
| Digitale infrastructuur | IXP's, DNS, TLD-registers, cloud, datacenters, CDN's, verleners van vertrouwensdiensten, elektronische communicatie | J61–J63 |
| ICT-dienstverlening (B2B) | Aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten | J62 |
| Overheid | Centrale en (waar aangewezen) regionale overheid | O84 |
| Ruimtevaart | Exploitanten van grondinfrastructuur die ruimtediensten ondersteunen | H51; M71 |
Bijlage II — Andere kritieke sectoren (belangrijke entiteiten)
| Sector | Subsectoren (voorbeelden) | Indicatieve NACE Rev. 2 |
|---|---|---|
| Post- en koeriersdiensten | Postdienstverleners, koeriers-/pakketbezorging | H53 |
| Afvalstoffenbeheer | Inzameling, behandeling en verwijdering van afval | E38 |
| Chemische stoffen | Vervaardiging, productie, distributie | C20; G46.75 |
| Levensmiddelen | Productie, verwerking, distributie | C10; G46.3 |
| Productie | Medische hulpmiddelen, computers/elektronica/optische producten, elektrische apparatuur, machines, motorvoertuigen, overige transportmiddelen | C26; C27; C28; C29; C30; C32.5 |
| Digitale aanbieders | Onlinemarktplaatsen, zoekmachines, socialenetwerkplatformen | J63 |
| Onderzoek | Onderzoeksorganisaties | M72 |
NACE-referenties zijn indicatief. De juridisch bindende reikwijdte is de sectorbeschrijving in bijlagen I en II, gelezen in samenhang met de toepassingsregels van artikel 2 en uw nationale omzettingswet — niet de NACE-code op zichzelf.
Sleutelartikelen voor organisaties
Artikel 20 — Governance
Leidinggevende organen van essentiële en belangrijke entiteiten moeten:
- Risicobeheermaatregelen voor cyberbeveiliging goedkeuren
- Het toezicht op de uitvoering ervan uitoefenen
- Cyberbeveiligingsopleidingen volgen
- Persoonlijk aansprakelijk zijn voor inbreuken
Artikel 20 maakt NIS2-compliance een bestuurlijke verplichting, niet uitsluitend een IT-taak.
Artikel 21 — Risicobeheermaatregelen voor cyberbeveiliging
De centrale operationele vereiste: organisaties moeten 10 specifieke maatregelen implementeren:
- Beleidsmaatregelen inzake risicoanalyse en beveiliging van informatiesystemen
- Incidentafhandeling
- Bedrijfscontinuïteit en crisisbeheer
- Beveiliging van de toeleveringsketen
- Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen
- Beleidsmaatregelen voor de beoordeling van de doeltreffendheid van risicobeheermaatregelen
- Basispraktijken op het gebied van cyberhygiëne en cyberbeveiligingstraining
- Beleidsmaatregelen inzake het gebruik van cryptografie en encryptie
- Personeelsbeveiliging, toegangscontrolebeleid en activabeheer
- Gebruik van multifactorauthenticatie en continue authenticatieoplossingen
De maatregelen moeten proportioneel zijn aan het risico, rekening houdend met de blootstelling aan risico's, de omvang van de organisatie en de waarschijnlijkheid en ernst van incidenten. Maatregel 1 vereist feitelijk een gedocumenteerd risicomanagement-framework; ISO/IEC 27005, afgestemd op het interoperabele EU-framework van ENISA, is de meest gebruikte manier om eraan te voldoen.
Koppeling van de artikel 21-maatregelen aan ISO 27001:2022 Bijlage A
De meeste organisaties die al een ISO 27001-ISMS hanteren, kunnen het grootste deel van artikel 21 onderbouwen aan de hand van bestaande Bijlage A-beheersmaatregelen. ISO 27001 is een sterke basis, maar automatisch geen NIS2-compliance — NIS2 voegt bestuurlijke aansprakelijkheid (artikel 20), wettelijke meldingsverplichtingen (artikel 23) en registratie bij de toezichthouder toe, die buiten de norm vallen (zie ISO 27001 is geen NIS2-compliance). De onderstaande koppeling toont de meest relevante Bijlage A-beheersmaatregelen (ISO/IEC 27002:2022) per maatregel.
| Maatregel uit artikel 21(2) | Meest relevante ISO/IEC 27001:2022 Bijlage A-beheersmaatregelen |
|---|---|
| (a) Risicoanalyse en beleid informatiebeveiliging | A.5.1, A.5.9, A.5.12, A.5.35 (clausules 6.1.2–6.1.3) |
| (b) Incidentafhandeling | A.5.24–A.5.28, A.6.8, A.8.15, A.8.16 |
| (c) Bedrijfscontinuïteit, back-up en crisisbeheer | A.5.29, A.5.30, A.8.13, A.8.14 |
| (d) Beveiliging van de toeleveringsketen | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 |
| (e) Beveiliging bij verwerving, ontwikkeling en onderhoud | A.8.8, A.8.9, A.8.19, A.8.25, A.8.28 |
| (f) Beoordeling van de doeltreffendheid | A.5.35, A.5.36 (clausules 9.1, 9.2, 9.3) |
| (g) Cyberhygiëne en training | A.5.15, A.6.3, A.8.7, A.8.8 (clausule 7.3) |
| (h) Cryptografie en encryptie | A.8.24 |
| (i) Personeelsbeveiliging, toegangscontrole en activabeheer | A.6.1–A.6.6, A.5.15–A.5.18, A.5.9–A.5.11 |
| (j) MFA en beveiligde communicatie | A.5.16, A.5.17, A.8.5, A.5.14 |
MFA (maatregel j) wordt niet expliciet genoemd in ISO 27001, maar is de standaard risicogebaseerde invulling van A.8.5 (veilige authenticatie). De lacune die ISO 27001 niet dicht — en die toezichthouders zullen controleren — is de wettelijke en bestuurlijke laag: de managementtraining en aansprakelijkheid van artikel 20, de meldingsprocessen van artikel 23 en de nationale registratie.
Artikel 23 — Meldingsverplichtingen
Bij een significant incident meldt de getroffen entiteit aan haar nationale CSIRT of bevoegde autoriteit:
| Termijn | Melding | Inhoud |
|---|---|---|
| 24 uur | Vroegtijdige waarschuwing | Vermoedelijke kwaadaardige oorzaak; mogelijk grensoverschrijdende impact |
| 72 uur | Incidentmelding | Bijgewerkte beoordeling, ernst en impact, indicatoren van compromittering |
| 1 maand | Eindverslag | Gedetailleerde beschrijving, oorzaakanalyse, mitigatiemaatregelen, grensoverschrijdende impact |
Artikelen 32–36 — Toezicht en handhaving
Essentiële entiteiten zijn onderworpen aan proactief toezicht (regelmatige audits, inspecties ter plaatse, beveiligingsscans). Belangrijke entiteiten zijn onderworpen aan reactief toezicht (uitgelokt door incidenten of bewijs van niet-naleving).
Boeteplafonds (artikel 34):
- Essentiële entiteiten: tot €10 miljoen of 2% van de wereldwijde jaaromzet
- Belangrijke entiteiten: tot €7 miljoen of 1,4% van de wereldwijde jaaromzet
Stand van nationale implementatie en de handhavingsrealiteit van 2026
De implementatietermijn was 17 oktober 2024. Slechts vier lidstaten haalden deze; de meeste niet. De belangrijkste ontwikkeling is niet één landentabel die snel veroudert, maar het handhavingspatroon, dat medio 2026 het Hof van Justitie heeft bereikt:
- 28 november 2024: de Europese Commissie startte ingebrekestellingsprocedures (aanmaningsbrieven) tegen 23 lidstaten wegens het niet volledig omzetten van NIS2.
- 7 mei 2025: de Commissie stuurde met redenen omklede adviezen naar 19 lidstaten die de volledige omzetting nog steeds niet hadden gemeld.
- 2026: de Commissie heeft de traagste zaken doorverwezen naar het Hof van Justitie van de EU (HvJ-EU) — de laatste fase van de inbreukprocedure, en de enige die een lidstaat een forfaitaire som en dwangsommen kan opleggen. Frankrijk en Spanje worden genoemd onder de lidstaten die zijn doorverwezen wegens niet-omzetting.
- Stand van zaken medio 2026: ongeveer 20 lidstaten hebben nationale NIS2-wetten aangenomen of in werking, terwijl een minderheid nog in behandeling is.
- Nog geen afgeronde boetes: medio 2026 heeft geen enkele nationale autoriteit (BSI, CCB, ANSSI, ACN en anderen) een definitieve NIS2-boete gepubliceerd. Juristen beschrijven 2026 als het jaar waarin de eerste handhavingsacties beginnen, nu de toezichtregimes operationeel zijn.
- Operationele realiteit: organisaties die in meerdere landen actief zijn, hebben per land inzicht nodig in reikwijdte, registratie, meldingskanalen voor incidenten, toezichthoudende autoriteit en sectorspecifieke richtsnoeren.
In Nederland is de Cyberbeveiligingswet (Cbw) — de Nederlandse omzetting van NIS2 en opvolger van de Wet beveiliging netwerk- en informatiesystemen (Wbni) — medio 2026 nog in het parlementaire proces / vertraagd. Nederland behoort tot de lidstaten die laat zijn met de omzetting. Het NCSC-NL fungeert als nationaal CSIRT. Organisaties dienen de voortgang van de wetgeving nauwlettend te volgen.
Scheid voor de planning de EU-richtlijn van de nationale implementatielaag:
| Land of markt | Wat lokaal te verifiëren |
|---|---|
| Duitsland | BSI-toezicht, KRITIS- en entiteitsdrempels, registratieproces en Duitstalige bewijsverwachtingen |
| Frankrijk | ANSSI-richtsnoeren, sectorindeling, nationaal meldingsproces en implementatietijdlijn |
| Nederland | Verantwoordelijkheden van NCSC-NL en sectorale autoriteiten, registratie- en incidentmeldingsproces |
| België | Richtsnoeren van het Centre for Cybersecurity Belgium (CCB), reikwijdtebevestiging en meldingsproces |
| Italië | Meldingsproces van ACN en CSIRT Italia, registratieverplichtingen en sectorrichtsnoeren |
| Grensoverschrijdende groepen | Welke rechtspersoon binnen de reikwijdte valt, welke autoriteit meldingen ontvangt en hoe bewijs tussen entiteiten wordt gedeeld |
De officiële omzettingspagina van de Europese Commissie is het startpunt, niet de enige bron. Uw werkelijke verplichtingen hangen af van de nationale wet en richtsnoeren die van toepassing zijn op de rechtspersoon en de sector.
Bevoegde autoriteiten
Elke lidstaat wijst één of meer bevoegde autoriteiten aan voor NIS2-toezicht:
| Land | Autoriteit | Rol |
|---|---|---|
| Duitsland | BSI (Bundesamt für Sicherheit in der Informationstechnik) | Toezicht + nationaal CSIRT |
| Frankrijk | ANSSI (Agence nationale de la sécurité des systèmes d'information) | Toezicht + nationaal CSIRT |
| Nederland | NCSC-NL + sectorale autoriteiten | Toezicht; NCSC-NL = nationaal CSIRT |
| België | CCB (Centre for Cybersecurity Belgium) | Toezicht + nationaal CSIRT |
| Italië | ACN (Agenzia per la Cybersicurezza Nazionale) | Toezicht + nationaal CSIRT |
Organisaties moeten significante incidenten melden bij hun nationale CSIRT en moeten zich mogelijk registreren bij hun bevoegde autoriteit.
NIS2 buiten de EU-27: het Verenigd Koninkrijk en Noorwegen/EER
NIS2 is een EU-richtlijn, maar de Europese cyberperimeter reikt verder dan de EU-27. Pan-Europese groepen die actief zijn in het Verenigd Koninkrijk en de EER krijgen te maken met parallelle — en op punten strengere — regimes waar elk NIS2-programma rekening mee moet houden.
Verenigd Koninkrijk — Cyber Security and Resilience Bill
Het VK heeft NIS2 niet overgenomen; het vervangt zijn eigen NIS Regulations 2018 door de Cyber Security and Resilience (Network and Information Systems) Bill. Het wetsvoorstel werd aangekondigd in de King's Speech van juli 2024, ingediend bij het parlement op 12 november 2025 en kreeg zijn Second Reading op 6 januari 2026. Royal Assent wordt verwacht in de loop van 2026, waarbij veel van de inhoud later via lagere regelgeving en gedragscodes volgt — volledige operationele werking wordt pas rond 2028 verwacht.
Praktische verschillen met NIS2 voor grensoverschrijdende organisaties:
- Reikwijdte: de Britse Bill breidt NIS1 uit naar datacenters, aanbieders van beheerde diensten (MSP's) en aangewezen "kritieke leveranciers", maar is enger en flexibeler dan de 18 opgesomde sectoren van NIS2 — sectoren kunnen later via ministeriële aanwijzing worden toegevoegd.
- Melding: grotendeels op één lijn — een eerste melding binnen 24 uur en een volledig rapport binnen 72 uur aan de toezichthouder en het NCSC (het Britse CSIRT).
- Boetes: op sommige punten strenger dan de NIS2-minima — tot £17 miljoen of 4% van de wereldwijde omzet voor ernstige inbreuken, £10 miljoen of 2% voor minder ernstige, plus dwangsommen.
Een bedrijf dat onder beide regimes valt, kan er niet van uitgaan dat NIS2-bewijs voldoet aan de Britse verplichtingen — de plichten overlappen, maar de triggers, aanwijzingen en gedragscodes verschillen.
Noorwegen en de EER
Noorwegen is geen EU-lidstaat, maar maakt deel uit van de Europese Economische Ruimte (EER), waardoor NIS2 het land via de EER-overeenkomst bereikt en niet rechtstreeks. Twee sporen lopen parallel:
- Digital Security Act (digitalsikkerhetsloven) — een uitgebreide implementatie van de oorspronkelijke NIS1, in werking sinds 1 oktober 2025. De wet wijst Nasjonal sikkerhetsmyndighet (NSM) aan als nationaal centraal contactpunt en staat nu al boetes toe tot 4% van de omzet (geplafonneerd rond NOK 50 miljoen).
- NIS2-afstemming — voornamelijk gepland via een wijziging van de Security Act (sikkerhetsloven) zodra NIS2 is opgenomen in bijlage XI van de EER-overeenkomst. Het Noorse implementatieplan mikt op inwerkingtreding rond 1 juli 2026, een registratiedeadline van 1 oktober 2026 en de eerste audits door NSM/sectortoezichthouders vanaf midden 2027, waarbij de reikwijdte van ongeveer 600 naar circa 5.000 entiteiten groeit. NSM treedt op als nationaal CSIRT, met dezelfde meldingsladder van 24 uur / 72 uur / 30 dagen.
Voor een Europese groep met meerdere entiteiten is de praktische conclusie dat de operationele beheersmaatregelen (de maatregelen in de stijl van artikel 21) grotendeels overdraagbaar zijn tussen de EU, het VK en Noorwegen, maar dat de meldingskanalen, registratie en toezichthoudende autoriteiten jurisdictiespecifiek zijn — precies de laag die één bewijssysteem moet beheren.
NIS2-richtlijn en andere EU-cybersecuritywetgeving
| Wetgeving | Verhouding tot NIS2 |
|---|---|
| DORA vs NIS2 (Digital Operational Resilience Act) | Lex specialis voor de financiële sector. Financiële entiteiten die onder DORA vallen, worden geacht te voldoen aan gelijkwaardige NIS2-vereisten. DORA is een verordening (rechtstreeks van toepassing). |
| Cyber Resilience Act (CRA) | Van toepassing op fabrikanten van producten met digitale elementen. Complementair aan NIS2 op het niveau van de toeleveringsketen. CRA-conformiteit kan bijdragen aan de vereisten van artikel 21, lid 2, sub d) van NIS2. De september 2026-rapportagedeadline is de eerste harde handhavingsdatum voor productfabrikanten. |
| AVG (GDPR) | NIS2-meldingsverplichtingen (artikel 23) en meldingsverplichtingen inzake persoonlijke datalekken (artikel 33 AVG) kunnen tegelijkertijd van toepassing zijn op hetzelfde incident. Verschillende termijnen: NIS2 (24/72 uur), AVG (72 uur aan toezichthoudende autoriteit). |
| EU Cybersecurity Act | Biedt het certificeringskader waarnaar artikel 24 van NIS2 verwijst. |
Wat de NIS2-richtlijn voor uw organisatie betekent
De NIS2-richtlijn vereist operationele cyberbeveiliging, niet alleen gedocumenteerd beleid. Overweging 79 verduidelijkt dat risicobeheermaatregelen proportioneel moeten zijn en de werkelijke risicoblootstelling moeten weerspiegelen. Overweging 93 benadrukt de directe verantwoordelijkheid van leidinggevende organen.
Voor geloofwaardige compliance heeft een organisatie nodig:
- Functionerende detectie- en meldingsprocessen voor de termijnen van 24/72 uur
- Toezicht op de toeleveringsketen dat verder gaat dan jaarlijkse vragenlijsten
- Bewijsbeheer dat een auditeerbaar compliancespoor creëert
- Managementtraining en governance die toezicht op bestuursniveau aantonen
Als u moet beslissen welke toolstack deze operationele laag kan dragen, begin dan met onze NIS2-softwarevergelijking en onze vergelijking van compliance-automatiseringssoftware, die EU-native platforms scheiden van US-first-tools met lichtere NIS2-dekking.
Hoe Orbiq helpt bij NIS2-richtlijnconformiteit
Orbiq adresseert de operationele lacunes die NIS2-conformiteit in de praktijk moeilijk maken:
- Continu monitoren: Geautomatiseerde bewijsverzameling voor alle 10 maatregelen van artikel 21
- Vendor Assurance: Gecentraliseerde leveranciersbeoordeling en continue monitoring van derde partijen
- Trust Center: Publiek complianceportaal voor klanten, auditors en toezichthouders
- Bewijsbeheer: Automatische verzameling en organisatie van compliancebewijs
In tegenstelling tot Amerikaanse platforms die NIS2 als add-on behandelen, is Orbiq van de grond af aan ontworpen voor Europese regelgeving — met EU-dataopslag en directe kennis van de vereisten van het NCSC-NL, CCB en andere bevoegde autoriteiten.
Verwante NIS2-artikelen
- Wat is NIS2? Volledige gids voor de EU NIS2-richtlijn
- NIS2-compliance: Hoe te bereiken en te handhaven
- NIS2-vereisten: Volledige gids
- NIS2-compliance checklist: Volledige artikel 21-vereisten
- NIS2-incidentmelding: De 24-uur deadline
- NIS2-toeleveringsketenbeveiliging
- ISO 27001 is geen NIS2-compliance
- Wat is ISO 27001?
- NIS2-softwarevergelijking
Bronnen
- EUR-Lex — Richtlijn (EU) 2022/2555 — officiële juridische tekst van NIS2.
- Europese Commissie — beleidspagina NIS2-richtlijn — stand van zaken, omzetting en handhaving.
- Europese Commissie — 23 lidstaten opgeroepen NIS2 volledig om te zetten, 28 november 2024 — aanmaningsbrieven.
- Europese Commissie — met redenen omklede adviezen aan 19 lidstaten, 7 mei 2025 — met redenen omklede adviezen.
- ENISA — NIS2-richtlijn — implementatierichtsnoeren en technische maatregelen.
- ISO/IEC 27001:2022 — norm voor managementsystemen voor informatiebeveiliging, gebruikt in de Bijlage A-koppeling.
- UK Parliament — Cyber Security and Resilience Bill — Britse NIS-hervorming, ingediend op 12 november 2025.
- Nasjonal sikkerhetsmyndighet (NSM) — Noorse nationale veiligheidsautoriteit en CSIRT voor NIS-implementatie via de EER.
Laatste update: juni 2026. De implementatiestatus verandert via nationale wetten en meldingen van de Commissie; verifieer landspecifieke details voordat u op deadlines vertrouwt.
Veelgestelde vragen
Wat is de NIS2-richtlijn?
De NIS2-richtlijn (Richtlijn EU 2022/2555) is de centrale cybersecuritywetgeving van de Europese Unie. Zij vervangt de oorspronkelijke NIS-richtlijn (2016/1148) en legt verplichte cybersecurityverplichtingen vast voor organisaties in 18 kritieke en belangrijke sectoren in alle EU-lidstaten.
Wat is de officiële referentie van de NIS2-richtlijn?
De NIS2-richtlijn draagt officieel de titel 'Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie'. Zij werd gepubliceerd in het Publicatieblad van de EU op 27 december 2022 (PB L 333).
Wat is de rechtsgrondslag van de NIS2-richtlijn?
De NIS2-richtlijn is gebaseerd op artikel 114 VWEU (Verdrag betreffende de werking van de Europese Unie), betreffende de totstandbrenging en werking van de interne markt. Deze rechtsgrondslag weerspiegelt het dubbele doel van de richtlijn: harmonisering van cybersecuritynormen en vermindering van fragmentatie tussen lidstaten.
Welke landen hebben de NIS2-richtlijn geïmplementeerd?
De omzetting van NIS2 blijft een kwestie per lidstaat. De officiële EU-termijn was 17 oktober 2024. De Europese Commissie startte op 28 november 2024 ingebrekestellingsprocedures tegen 23 lidstaten en stuurde op 7 mei 2025 met redenen omklede adviezen naar 19 lidstaten omdat zij de volledige omzetting niet hadden gemeld. In 2026 hebben ongeveer 20 lidstaten nationale NIS2-wetten, terwijl andere zich nog in het wetgevings- of meldingsproces bevinden. Organisaties dienen de actuele stand te verifiëren via de omzettingspagina van de Europese Commissie en hun nationale bevoegde autoriteit.
Hoeveel artikelen bevat de NIS2-richtlijn?
De NIS2-richtlijn bevat 46 artikelen verdeeld over 7 hoofdstukken, plus 2 bijlagen. De meest relevante artikelen voor organisaties zijn artikel 20 (governance), artikel 21 (risicobeheermaatregelen), artikel 23 (meldingsverplichtingen) en artikel 24 (Europese cybersecuritycertificeringsregelingen).
Wat is het verschil tussen de NIS-richtlijn en de NIS2-richtlijn?
De NIS2-richtlijn vervangt de oorspronkelijke NIS-richtlijn (2016/1148) met significante uitbreidingen: 18 sectoren in plaats van 7, geharmoniseerde drempelwaarden (50+ werknemers of €10M+ omzet), strengere meldingstermijnen (vroegtijdige waarschuwing binnen 24 uur), expliciete vereisten voor beveiliging van de toeleveringsketen, aansprakelijkheid van leidinggevenden en minimale boeteplafonds (€10M/2% voor essentiële entiteiten).
Waar kan ik de tekst van de NIS2-richtlijn vinden?
De volledige tekst van de NIS2-richtlijn is beschikbaar via de EUR-Lex-databank op eur-lex.europa.eu. Zoek op '32022L2555' of 'Richtlijn 2022/2555'. Het document bevat alle 46 artikelen, 2 bijlagen en 144 overwegingen die de wetgevingsintentie toelichten.
Wanneer is de NIS2-richtlijn van toepassing op mijn bedrijf?
NIS2 is in de regel van toepassing op organisaties die actief zijn in een sector uit bijlage I of bijlage II en die voldoen aan de omvangsdrempel: middelgroot of groter, dat wil zeggen ten minste 50 werknemers of een jaaromzet of balanstotaal van meer dan 10 miljoen euro. Sommige entiteiten (zoals DNS-aanbieders, TLD-registers, verleners van vertrouwensdiensten en bepaalde overheidsdiensten) vallen ongeacht hun omvang binnen de reikwijdte. De exacte drempels en eventuele sectorspecifieke uitbreidingen worden bepaald door uw nationale omzettingswet.
Wat is het verschil tussen essentiële en belangrijke entiteiten onder NIS2?
Essentiële entiteiten zijn grotere organisaties in de sterk kritieke sectoren van bijlage I (grofweg 250+ werknemers of meer dan 50 miljoen euro omzet) en staan onder proactief toezicht — audits en inspecties — met boetes tot 10 miljoen euro of 2% van de wereldwijde omzet. Belangrijke entiteiten zijn organisaties uit bijlage II en kleinere bijlage I-entiteiten; zij staan onder reactief toezicht (uitgelokt door incidenten) en kennen lagere boeteplafonds van 7 miljoen euro of 1,4% van de wereldwijde omzet.
Hoe hoog zijn de boetes bij niet-naleving van NIS2?
Artikel 34 stelt minimumplafonds vast die lidstaten moeten voorzien: tot 10 miljoen euro of 2% van de totale wereldwijde jaaromzet (de hoogste van beide) voor essentiële entiteiten, en tot 7 miljoen euro of 1,4% (de hoogste van beide) voor belangrijke entiteiten. Dit zijn minimumplafonds — nationale wetten kunnen hogere bedragen vaststellen. Medio 2026 is er nog geen definitieve NIS2-boete gepubliceerd; de eerste handhavingsacties worden in 2026 verwacht.