NIS2 Vereisten: Complete Gids over Wat U Moet Doen (2026)
Alle NIS2-vereisten op één plek — de 10 risicobeheersmaatregelen van artikel 21, meldingstermijnen voor incidenten, bestuurdersaansprakelijkheid, registratieverplichtingen en de laatste handhavingsupdates voor 2026.
NIS2 Vereisten: Complete Gids over Wat U Moet Doen (2026)
De NIS2-richtlijn (Richtlijn 2022/2555) schept specifieke, juridisch bindende vereisten voor organisaties die actief zijn in kritieke sectoren door de hele EU. Weten dat u in de reikwijdte valt is één ding. Precies begrijpen wat u moet doen is een ander.
Deze gids consolideert alle NIS2-vereisten op één plek — de tien risicobeheersmaatregelen, meldingstermijnen voor incidenten, bestuursverplichtingen, registratievereisten en de laatste handhavingsupdates voor 2026. Voor een breder overzicht van wat NIS2 is en voor wie het geldt, raadpleegt u onze complete gids Wat is NIS2?. Voor een stap-voor-stap nalevingsplan, zie onze NIS2-nalevingsgids.
Wie is onderworpen aan NIS2-vereisten?
Voordat u de vereisten bestudeert, bevestig dat u in de reikwijdte valt. NIS2 is van toepassing op organisaties die aan beide criteria voldoen:
- Actief zijn in een van de 18 aangewezen sectoren (zie hieronder)
- Voldoen aan de omvangsdrempels: 50+ werknemers OF 10 M€+ jaarlijkse omzet
Essentiële entiteiten (Bijlage I)
Grote organisaties (250+ werknemers of 50 M€+ omzet) in de meest kritieke sectoren:
| Sector | Voorbeelden |
|---|---|
| Energie | Elektriciteit, gas, stadsverwarming, olie, waterstof |
| Transport | Luchtvaart, spoor, water, weg |
| Bankwezen | Kredietinstellingen |
| Infrastructuur voor financiële markten | Handelsplatformen, centrale tegenpartijen |
| Gezondheidszorg | Ziekenhuizen, EU-referentielaboratoria, farma, medische hulpmiddelen |
| Drinkwater | Levering en distributie |
| Afvalwater | Inzameling, behandeling, verwijdering |
| Digitale infrastructuur | DNS, TLD-registers, IXP's, cloud, datacenters, CDN's, vertrouwensdiensten |
| ICT-dienstenbeheer (B2B) | Managed serviceproviders, beheerde beveiligingsserviceproviders |
| Openbaar bestuur | Centrale overheidsinstanties |
| Ruimtevaart | Operatoren van grondgebaseerde infrastructuur |
Belangrijke entiteiten (Bijlage II)
Middelgrote organisaties (50+ werknemers of 10 M€+ omzet) in aanvullende sectoren:
| Sector | Voorbeelden |
|---|---|
| Post- en koeriersdiensten | Vergunde aanbieders |
| Afvalbeheer | Inzameling, behandeling, verwijdering |
| Chemicaliën | Productie, fabricage, distributie |
| Voedsel | Productie, verwerking, distributie |
| Productie | Medische hulpmiddelen, elektronica, machines, voertuigen |
| Digitale aanbieders | Online marktplaatsen, zoekmachines, sociale netwerken |
| Onderzoek | Onderzoeksorganisaties |
Uitzonderingen op de omvangsdrempel: DNS-serviceproviders, TLD-registers, gekwalificeerde vertrouwensdienstaanbieders en telecomaanbieders vallen onder NIS2, ongeacht hun omvang.
De vijf NIS2-vereistgebieden
NIS2-vereisten clusteren in vijf gebieden, elk met zijn eigen verplichtingen en handhavingsmechanismen:
| Gebied | Kernvereiste | Artikel |
|---|---|---|
| Risicobeheer | Tien technische en organisatorische maatregelen | Artikel 21 |
| Incidentmelding | Getrapt melden in 24u / 72u / 1 maand | Artikel 23 |
| Governance en verantwoordelijkheid | Bestuursgodkeuring, toezicht en aansprakelijkheid | Artikel 20 |
| Registratie | Registreren bij nationale bevoegde autoriteit | Artikel 27 |
| Bewijsbeheer | Nalevingsbewijs op aanvraag | Toezichtskader |
De tien risicobeheersmaatregelen van artikel 21
Artikel 21 van de NIS2-richtlijn vormt de kern van de technische vereisten van de verordening. Organisaties moeten maatregelen implementeren die "passend en evenredig" zijn aan hun risicoprofiel, omvang en potentiële incidentimpact.
(a) Beleid inzake risicoanalyse en informatiesysteembeveiliging
Gedocumenteerd beleid opstellen en onderhouden voor risicoanalyse van uw informatiesystemen. Regelmatige beoordelingen, gedocumenteerde dreigingsanalyses en duidelijk risicobeheereigenaarschap zijn vereist.
ISMS-dekking: ✅ Kerncomponent van ISO 27001. Een bestaand ISMS dekt dit volledig als het actief wordt onderhouden.
(b) Incidentbeheer
Procedures implementeren voor detectie, beheer en respons op beveiligingsincidenten. Gezien de vereiste vroege waarschuwing van 24 uur, moet uw incidentdetectie- en escalatieproces snel, getest en gedocumenteerd zijn.
ISMS-dekking: ⚠️ Het proces bestaat in de meeste ISMS-implementaties, maar de operationele 24-uurscapaciteit — de juiste informatie op tijd bij de juiste mensen en het CSIRT krijgen — ontbreekt doorgaans.
Wat operationeel nodig is: Vooraf opgestelde meldingssjablonen, checklists voor incidentclassificatie, tabletop-oefeningen en geautomatiseerde escalatietriggers. Zie ook onze gids NIS2 incidentmelding: de 24-uurstermijn.
(c) Bedrijfscontinuïteit en crisismanagement
Bedrijfscontinuïteit waarborgen via back-upbeheer, rampherstelprocedures en crisismanagementcapaciteiten. Deze moeten worden getest — niet alleen gedocumenteerd.
ISMS-dekking: ✅ Standaard in ISO 27001/ISO 22301-implementaties. Controleer of hersteltijddoelstellingen actueel zijn en of tests minstens jaarlijks worden uitgevoerd.
(d) Beveiliging van de toeleveringsketen
Beveiligingsrisico's aanpakken van directe leveranciers en dienstverleners. NIS2 vereist expliciet dat rekening wordt gehouden met de specifieke kwetsbaarheden van elke leverancier — wat continue bewaking van de beveiligingshouding van de toeleveringsketen betekent, niet jaarlijkse vragenlijsten.
ISMS-dekking: ⚠️ De meeste ISMS-implementaties omvatten puntgewijze leveranciersbeoordelingen. NIS2 verwacht continue monitoring. Dit is de meest voorkomende operationele lacune.
Wat operationeel nodig is: Leveranciersbewakingstools, NIS2-specifieke contractuele clausules, gecentraliseerde dashboards voor toeleveringsketenrisico's. Het leverancierszekerheidsplatform van Orbiq automatiseert dit. Zie ook onze gedetailleerde gids NIS2 toeleveringsketenbeveiliging.
(e) Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerken en informatiesystemen
Beveiliging aanpakken gedurende de gehele levenscyclus van uw systemen — aanschaf, ontwikkeling en onderhoud — inclusief het omgaan met kwetsbaarheden en gecoördineerde openbaarmaking.
ISMS-dekking: ✅ De Bijlage A-controles van ISO 27001 dekken veilige ontwikkeling en kwetsbaarheidsbeheer. Controleer of patchSLA's zijn gedefinieerd en worden bijgehouden.
(f) Beleid om de doeltreffendheid van cyberbeveiligingsmaatregelen te beoordelen
Beleid en procedures implementeren om te beoordelen of uw cyberbeveiligingsmaatregelen daadwerkelijk werken. Toezichthouders kunnen op elk gewenst moment bewijs opvragen — jaarlijkse auditrapporten alleen zijn onvoldoende.
ISMS-dekking: ⚠️ Auditprocessen bestaan, maar de mogelijkheid om nalevingsbewijs op aanvraag te produceren — voor elk moment in de tijd — ontbreekt doorgaans.
Wat operationeel nodig is: Geautomatiseerde bewijsverzameling, continu bijgewerkte nalevingsdashboards, een controlespoor dat bestand is tegen toezichtsinspectie.
(g) Basiscyberhygiëne en cyberbeveiligingstraining
Basispraktijken voor cyberhygiëne en cyberbeveiligingstraining implementeren voor al het personeel. Artikel 20(2) van NIS2 vereist expliciet dat leden van het leidinggevende orgaan ook cyberbeveiligingstraining volgen — en dat deze training wordt gedocumenteerd.
ISMS-dekking: ✅ Bewustmakingsprogramma's voor beveiliging zijn standaard in ISO 27001. Voeg bestuursspecifieke trainingsregistraties toe om te voldoen aan de documentatievereisten voor aansprakelijkheid.
(h) Cryptografie en encryptie
Beleid onderhouden over het gebruik van cryptografie en, indien van toepassing, encryptie — voor gegevens in rust, gegevens in transit en sleutelbeheer.
ISMS-dekking: ✅ Gedekt door ISO 27001. Zorg ervoor dat uw cryptografiebeleid actuele normen weerspiegelt en dat sleutelbeheerprocedures worden gedocumenteerd en nageleefd.
(i) Personeelsbeveiliging, toegangscontrole en activabeheer
Personeelsbeveiliging aanpakken via achtergrondcontroles en procedures voor in-/uitdienst; toegangscontroles op basis van het principe van minste privilege handhaven; een nauwkeurige en actuele IT-activainventaris bijhouden.
ISMS-dekking: ✅ Basisdekking van ISO 27001. Controleer of de activainventaris actueel is en of toegangsbeoordelingen worden uitgevoerd volgens een gedefinieerd schema.
(j) Multi-factor authenticatie en beveiligde communicatie
Multi-factor authenticatie inzetten waar van toepassing, en beveiligde communicatie garanderen voor spraak, video en tekst — inclusief noodcommunicatie die functioneert ook wanneer de primaire infrastructuur is gecompromitteerd.
ISMS-dekking: ⚠️ MFA is doorgaans ingezet, maar beveiligde noodcommunicatie — kanalen die een groot incident overleven — ontbreekt vaak.
Vereisten voor incidentmelding (Artikel 23)
Wanneer een significant incident plaatsvindt, legt NIS2 een drietrapsrapportageverplichting op:
| Termijn | Rapporttype | Vereiste inhoud |
|---|---|---|
| Binnen 24 uur | Vroege waarschuwing | Of het incident vermoedelijk onrechtmatige of kwaadaardige handelingen betreft; of het een grensoverschrijdende impact kan hebben |
| Binnen 72 uur | Incidentmelding | Bijgewerkte beoordeling van ernst en impact; indicatoren van compromittering; eerste hypothese over de oorzaak |
| Binnen 1 maand | Eindrapport | Volledige incidentbeschrijving, bevestigde oorzaak, toegepaste mitigatiemaatregelen, beoordeling van grensoverschrijdende impact |
Wat is een "significant" incident?
Een incident is meldingsplichtig wanneer het:
- Ernstige operationele verstoringen of financiële verliezen voor uw organisatie heeft veroorzaakt of kan veroorzaken
- Aanzienlijke materiële of immateriële schade aan anderen heeft veroorzaakt of kan veroorzaken
In de praktijk leiden de volgende gebeurtenissen doorgaans tot meldingsverplichtingen:
- Ransomware-aanvallen die kritieke diensten treffen
- DDoS-aanvallen met impact op de beschikbaarheid van diensten
- Datalekken met toegangsgegevens voor kritieke systemen
- Compromittering van de toeleveringsketen via derde partijen
- Systematische exploitatie van hoge-ernst kwetsbaarheden
Belangrijk: De 24-uursklok begint wanneer het incident als significant wordt geclassificeerd — niet vanaf de eerste detectie. Een heldere incidentclassificatieprocedure vermindert de tijd tussen ontdekking en de vroege waarschuwing aanzienlijk.
In Nederland is het NCSC-NL (Nationaal Cyber Security Centrum) de nationale autoriteit voor cyberbeveiligingsincidentmelding. De implementatiewet is de Wbni (Wet beveiliging netwerk- en informatiesystemen).
Vereisten voor bestuurdersverantwoordelijkheid (Artikel 20)
Artikel 20 van NIS2 maakt cyberbeveiliging tot een verplichting op bestuursniveau — juridisch en expliciet:
- Goedkeuring: Leidinggevende organen moeten de maatregelen voor cyberbeveiligingsrisicobeheer formeel goedkeuren
- Toezicht: Het bestuur moet toezicht houden op de implementatie — en niet delegeren zonder verantwoording
- Training: Leden van het leidinggevende orgaan moeten regelmatig cyberbeveiligingstraining volgen
- Aansprakelijkheid: Het bestuur kan persoonlijk aansprakelijk worden gesteld voor overtredingen
Voor essentiële entiteiten kunnen autoriteiten een tijdelijk verbod opleggen aan personen die bestuursfuncties uitoefenen in geval van herhaalde overtredingen of grove nalatigheid.
Wat dit in de praktijk vereist:
- Een gedocumenteerde bestuursbeslissing die de cyberbeveiligingsmaatregelen goedkeurt
- Regelmatige cyberbeveiligingsbriefings en trainingsregistraties voor alle leden van het leidinggevende orgaan
- Bewijs dat het bestuur het risicobeheerprogramma heeft beoordeeld en goedgekeurd
- Duidelijke escalatieprocedures die het bestuur bereiken wanneer incidenten plaatsvinden
Registratievereisten (Artikel 27)
Organisaties in de reikwijdte moeten zich registreren bij hun nationale bevoegde autoriteit. Registratie vereist doorgaans:
- Naam, adres en contactgegevens van de organisatie
- Sector en type entiteit (essentieel of belangrijk)
- Gedekte diensten en activiteiten
- IP-adresbereiken en domeinnamen in gebruik
Nationale deadlines 2026:
- Nederland: Registratie bij de bevoegde autoriteit onder de Wbni; raadpleeg NCSC-NL-adviezen voor actuele registratiedeadlines
- Duitsland: Registratie bij het BSI vereist vóór circa april 2026 (binnen drie maanden na de inwerkingtreding van de gewijzigde BSI-wet op 6 december 2025)
- Italië: Jaarlijks registratievenster van 1 januari tot 28 februari 2026
NIS2-sancties en -handhaving
NIS2 stelt minimale sanctiedrempels in die van toepassing zijn in alle EU-lidstaten. Nationale implementaties kunnen hogere maxima vaststellen.
Financiële sancties
| Type entiteit | Maximale boete |
|---|---|
| Essentiële entiteiten | 10 miljoen euro of 2% van de totale wereldwijde jaarlijkse omzet — afhankelijk van welk bedrag hoger is |
| Belangrijke entiteiten | 7 miljoen euro of 1,4% van de totale wereldwijde jaarlijkse omzet — afhankelijk van welk bedrag hoger is |
Niet-financiële handhavingsbevoegdheden
Naast boetes kunnen nationale bevoegde autoriteiten:
- Waarschuwingen en bindende instructies uitvaardigen die specifieke maatregelen vereisen
- Openbare bekendmaking van niet-naleving gelasten
- Certificeringen of vergunningen opschorten
- Tijdelijke bestuursverboden opleggen (essentiële entiteiten)
- Onmiddellijke herstelmaatregelen gelasten met gedefinieerde deadlines
Handhavingsupdates 2026
Transpostie Duitsland (december 2025): Duitsland heeft de bestaande BSI-wet gewijzigd in plaats van een aparte wet aan te nemen. Duitse entiteiten opereren nu onder het bijgewerkte BSI-kader met specifieke registratie-, rapportage- en auditverplichtingen gekoppeld aan het BSI als bevoegde autoriteit.
Verlenging auditdeadline: De eerste nalevingsauditdeadline werd verlengd van 31 december 2025 tot 30 juni 2026 in meerdere lidstaten, wat organisaties extra voorbereidingstijd geeft.
Wijzigingen van de Commissie (januari 2026): Op 20 januari 2026 stelde de Europese Commissie gerichte wijzigingen van NIS2 voor om de juridische duidelijkheid te vergroten en de nalevingslast te verminderen voor circa 28.700 bedrijven, waaronder 6.200 micro- en kleine ondernemingen.
Transpositiestatus: Per maart 2026 heeft de meerderheid van de EU-lidstaten NIS2 omgezet in nationaal recht. Frankrijk, Spanje en Polen bevinden zich in de laatste wetgevingsfasen. De Autoriteit Persoonsgegevens en NCSC-NL spelen een centrale rol in de Nederlandse handhaving.
Waar ISO 27001 tekortschiet ten opzichte van NIS2-vereisten
| NIS2-vereiste | ISO 27001-dekking | Lacune |
|---|---|---|
| Risicoanalyse en beveiligingsbeleid | ✅ Gedekt | Geen |
| 24-uurscapaciteit voor incidentmelding | ⚠️ Gedeeltelijk | Operationele snelheid en CSIRT-meldingsprocedures |
| Bedrijfscontinuïteit | ✅ Gedekt | Controleer tests |
| Continue bewaking van de toeleveringsketen | ⚠️ Gedeeltelijk | Jaarlijkse beoordelingen ≠ continue bewaking |
| Effectiviteitsbeoordeling | ⚠️ Gedeeltelijk | Bewijs op aanvraag doorgaans afwezig |
| Beveiligde noodcommunicatie | ❌ Niet gedekt | Geen ISO 27001-controle behandelt dit |
| Formele bestuursgoedkeuring + trainingsregistraties | ⚠️ Gedeeltelijk | Aansprakelijkheidsdocumentatie artikel 20 ontbreekt vaak |
| Registratie bij NCSC-NL/bevoegde autoriteit | ❌ Niet gedekt | Wettelijke vereiste buiten ISMS-scope |
ISO 27001 dekt documentatie. NIS2 vereist operationele uitvoering. De kritieke lacunes liggen in de snelheid van incidentrespons, continue bewaking van de toeleveringsketen en bewijsbeheer. Voor een volledige analyse, zie ISO 27001 is geen NIS2-naleving.
Implementatieprioriteiten
Richt uw inspanningen eerst op de operationele lacunes:
| Prioriteit | Vereiste | Waarom het kritiek is |
|---|---|---|
| 🔴 Hoog | 24-uur incidentmelding | Harde deadline; mislukking creëert onmiddellijk regelgevingsrisico |
| 🔴 Hoog | Continue bewaking toeleveringsketen | De meeste organisaties vertrouwen op jaarlijkse vragenlijsten — NIS2 verwacht meer |
| 🔴 Hoog | Bewijsbeheer op aanvraag | Autoriteiten kunnen bewijs op elk moment opvragen, niet alleen bij audit |
| 🟡 Gemiddeld | Beveiligde noodcommunicatie | Vaak afwezig; vereist onder artikel 21(j) |
| 🟡 Gemiddeld | Documentatie bestuurdersopleidingen | Vereist voor aansprakelijkheidsbescherming artikel 20 |
| 🟢 Laag | Risicoanalyse, BCM, cryptografie | Doorgaans gedekt door bestaand ISMS |
Gebruik onze NIS2-nalevingschecklist om uw bestaande controles in kaart te brengen ten opzichte van elk van de tien maatregelen en lacunes nauwkeurig te identificeren.
Hoe Orbiq NIS2-vereisten aanpakt
Orbiq is ontworpen voor Europese compliance vanaf de basis, waarbij de operationele vereisten die het meest tellen worden aangepakt:
- Continue monitoring: Geautomatiseerde bewijsverzameling en realtime nalevingsdashboards voor alle tien artikel 21-maatregelen — zodat u altijd auditklaar bent, niet alleen jaarlijks
- Leverancierszekerheid: Gecentraliseerde leveranciersbeoordelingen met continue bewaking van de beveiligingshouding van derde partijen, waarmee wordt voldaan aan de toeleveringsketenvereisten van artikel 21(d)
- Trust Center: Een openbaar portaal dat uw nalevingshouding demonstreert aan klanten, toezichthouders en auditors zonder interne middelen te verbruiken
- Bewijsbeheer: Nalevingsbewijs automatisch verzamelen en organiseren in een controlespoor dat op aanvraag kan worden geproduceerd
In tegenstelling tot op de VS gerichte nalevingsplatformen die EU-regelgeving als aanvulling behandelen, is Orbiq gebouwd voor NIS2, AVG en DORA vanaf dag één — met EU-gegevensopslag en een Europees-eerste architectuur.
Gerelateerde NIS2-artikelen
- Wat is NIS2? Complete gids over de EU NIS2-richtlijn
- NIS2-naleving: Hoe u naleving bereikt en behoudt in 2026
- NIS2-nalevingschecklist: Volledige artikel 21-vereisten
- NIS2 incidentmelding: De 24-uurstermijn
- NIS2 beveiliging van de toeleveringsketen
- Leverancierszekerheid onder NIS2
- ISO 27001 is geen NIS2-naleving
- NIS2 auditgereedheid: Continue bewijsvoering
- NIS2 documentatie van derdepartijrisico's
Bronnen & Referenties
- NIS2-richtlijn (EU) 2022/2555 — Officiële tekst — Officiële EU Commissiepagina
- NIS 2 Richtlijn, Artikel 21: Cyberbeveiligingsrisicobeheersmaatregelen — Gedetailleerde artikel 21-analyse
- NIS2 in Duitsland: BSI-wet-wijziging (Morrison Foerster) — BSI-wet december 2025
- NIS2 en deadlines 2026 — Auditdeadline verlengd naar 30 juni 2026
- NIS2-transpositietracker (ECSO) — Huidige transpositiestatus per lidstaat
- NCSC-NL — Nationaal Cyber Security Centrum; nationale autoriteit voor NIS2-incidentmelding in Nederland
Deze gids wordt bijgehouden door het Orbiq-team. Laatste update: maart 2026.