Waar staat NIS2 voor?

NIS2 staat voor de Netwerk- en Informatiebeveiliging Richtlijn 2. Officieel bekend als Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad. Het verving de oorspronkelijke NIS-richtlijn (2016/1148) met een breder toepassingsgebied, strengere vereisten en geharmoniseerde handhaving.

Wanneer is NIS2 van kracht geworden?

NIS2 is op 16 januari 2023 in werking getreden. Lidstaten hadden tot 17 oktober 2024 de tijd om het in nationaal recht om te zetten. Veel landen hebben deze deadline echter gemist en nationale implementaties zijn begin 2026 in diverse lidstaten nog gaande.

Welke sectoren vallen onder NIS2?

NIS2 bestrijkt 18 sectoren, onderverdeeld in essentiële entiteiten (energie, transport, bankwezen, gezondheidszorg, water, digitale infrastructuur, ICT-dienstverlening, overheidsdiensten, ruimtevaart) en belangrijke entiteiten (postdiensten, afvalbeheer, chemicaliën, voeding, productie, digitale aanbieders, onderzoek). Dit is aanzienlijk breder dan de 7 sectoren van de oorspronkelijke NIS-richtlijn.

Hoe beïnvloedt NIS2 kleine bedrijven?

NIS2 is over het algemeen van toepassing op middelgrote en grote organisaties (50+ werknemers of €10M+ omzet) in de gedekte sectoren. Kleine bedrijven zijn doorgaans uitgezonderd, tenzij zij actief zijn in bepaalde kritieke gebieden zoals gekwalificeerde vertrouwensdiensten, TLD-registers of DNS-aanbieders, waar NIS2 ongeacht de omvang van toepassing is.

Wat gebeurt er als u niet voldoet aan NIS2?

Niet-naleving van NIS2 kan resulteren in administratieve boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en tot €7 miljoen of 1,4% voor belangrijke entiteiten. Daarnaast kunnen bestuursorganen persoonlijk aansprakelijk worden gesteld en tijdelijk worden uitgesloten van het uitoefenen van bestuursfuncties.

Wat is NIS2? De complete gids voor de EU NIS2-richtlijn (2026)

Published 7 mrt 2026

By Emre Salmanoglu

Wat is NIS2? De complete gids voor de EU NIS2-richtlijn (2026)

Wat is NIS2? De EU NIS2-richtlijn (2022/2555) verplicht organisaties in 18 kritieke sectoren tot cybersecuritymaatregelen, incidentmelding en beveiliging van de toeleveringsketen. Complete gids met vereisten, boetes, tijdlijn en hoe u compliant wordt.

NIS2

Cybersecurity

EU-regelgeving

Compliance

Wat is NIS2? De EU-cybersecurityrichtlijn uitgelegd

NIS2 is de bijgewerkte cybersecurityrichtlijn van de Europese Unie. Officieel getiteld Richtlijn (EU) 2022/2555, stelt het verplichte cybersecurity-vereisten vast voor organisaties die actief zijn in kritieke sectoren in de EU.

Als u over NIS2 hebt gehoord en zich afvraagt wat het voor uw organisatie betekent, legt deze gids alles uit in begrijpelijke taal.

NIS2 in één zin

NIS2 vereist dat organisaties in kritieke sectoren robuuste cybersecurity-maatregelen implementeren, beveiligingsincidenten melden binnen strikte termijnen en de beveiliging van de toeleveringsketen beheren — met daadwerkelijke boetes bij niet-naleving.

Waarom NIS2 bestaat

De oorspronkelijke NIS-richtlijn (2016) was de eerste poging van de EU tot sectoroverstijgende cybersecuritywetgeving. Het had problemen:

Inconsistente implementatie: Elke lidstaat interpreteerde het anders
Te beperkt: Besloeg slechts 7 sectoren, met grote hiaten
Zwakke handhaving: Geen minimale boetedrempels, wat leidde tot inconsistente gevolgen
Geen focus op toeleveringsketen: Adresseerde niet het groeiende risico van externe leveranciers

Het cyberdreigingslandschap is dramatisch veranderd sinds 2016. Ransomware-aanvallen, compromittering van toeleveringsketens en door staten gesponsorde dreigingen hebben de oorspronkelijke richtlijn ontoereikend gemaakt. NIS2 is het antwoord van de EU.

Wat NIS2 veranderde ten opzichte van de oorspronkelijke NIS-richtlijn

Gebied	Oorspronkelijke NIS (2016)	NIS2 (2022)
Sectoren	7 sectoren	18 sectoren
Entiteitstypen	AED + DSP's	Essentiële + belangrijke entiteiten
Omvangdrempel	Discretie van lidstaten	Geharmoniseerd: 50+ werknemers of €10M+
Incidentmelding	Zonder onnodige vertraging	24 uur vroegtijdige waarschuwing, 72 uur melding
Toeleveringsketen	Niet specifiek geadresseerd	Expliciete vereisten in Artikel 21
Bestuurdersaansprakelijkheid	Niet geadresseerd	Persoonlijke aansprakelijkheid voor bestuursorganen
Boetes	Discretie van lidstaten	Minimale drempels: €10M/2% of €7M/1,4%
Toezicht	Wisselend	Proactief (essentieel) en reactief (belangrijk)

Voor wie geldt NIS2?

NIS2 is van toepassing op organisaties die aan beide criteria voldoen:

Actief in een van 18 aangewezen sectoren (energie, transport, bankwezen, gezondheidszorg, water, digitale infrastructuur, enz.)
Voldoen aan omvangdrempels: 50+ werknemers of €10M+ jaaromzet

Essentiële entiteiten

De meest kritieke sectoren: energie, transport, bankwezen, gezondheidszorg, water, afvalwater, digitale infrastructuur, ICT-dienstverlening, overheidsdiensten en ruimtevaart. Onderworpen aan proactief toezicht.

Belangrijke entiteiten

Aanvullende sectoren: postdiensten, afvalbeheer, chemicaliën, voeding, productie, digitale aanbieders en onderzoek. Onderworpen aan reactief (incidentgestuurd) toezicht.

Sommige entiteiten vallen ongeacht hun omvang onder het toepassingsgebied, waaronder gekwalificeerde vertrouwensdienstenaanbieders, TLD-registers en DNS-aanbieders.

Wat vereist NIS2?

NIS2 kent drie pijlers van vereisten:

1. Risicobeheermaatregelen (Artikel 21)

Organisaties moeten tien specifieke cybersecurity-maatregelen implementeren die betrekking hebben op risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, netwerkbeveiliging, effectiviteitsbeoordeling, training, cryptografie, toegangscontrole en multifactorauthenticatie.

Het sleutelwoord in Artikel 21 is operationeel. Het hebben van beleid is niet voldoende. Uw maatregelen moeten in de praktijk werken en u moet dat kunnen bewijzen.

2. Incidentmelding (Artikel 23)

Wanneer een significant incident zich voordoet:

Binnen 24 uur: Dien een vroegtijdige waarschuwing in bij uw nationale CSIRT
Binnen 72 uur: Dien een volledige incidentmelding in
Binnen 1 maand: Dien een eindrapport in met analyse van de grondoorzaak

3. Governance en verantwoording (Artikel 20)

Bestuursorganen moeten:

Cybersecurity-risicobeheermaatregelen goedkeuren
Toezien op de implementatie daarvan
Cybersecurity-training voltooien
Persoonlijke aansprakelijkheid dragen voor tekortkomingen

NIS2-boetes

Het boetekader is ontworpen om naleving serieus te nemen:

Essentiële entiteiten: Tot €10 miljoen of 2% van de wereldwijde omzet
Belangrijke entiteiten: Tot €7 miljoen of 1,4% van de wereldwijde omzet
Management: Persoonlijke aansprakelijkheid, mogelijke tijdelijke verboden

Dit zijn minimale maxima — lidstaten kunnen in hun nationale implementatie zelfs hogere boetes vaststellen.

NIS2-tijdlijn

Datum	Wat er gebeurde
16 jan 2023	NIS2 in werking getreden
17 okt 2024	Deadline voor nationale omzetting
17 apr 2025	Deadline voor entiteitslijsten
Lopend	Nationale implementaties worden voortgezet

Hoe u zich voorbereidt op NIS2

Controleer of u onder het toepassingsgebied valt — Bekijk de sectoren en omvangdrempels
Beoordeel uw hiaten — Breng uw huidige maatregelen in kaart ten opzichte van de tien vereisten van Artikel 21
Focus op de operationele hiaten — Incidentmelding, monitoring van de toeleveringsketen en bewijsbeheer zijn de gebieden waar de meeste organisaties tekortschieten
Bouw continue compliance — Gebruik tools die compliance als doorlopende operatie onderhouden, niet als periodiek project. Als u leveranciers vergelijkt, laat onze vergelijking van compliance-automatiseringssoftware zien welke platforms EU-eisen echt goed ondersteunen.

Volgende stappen

Lees onze complete NIS2-compliancegids voor gedetailleerde implementatierichtlijnen
Bekijk de NIS2-compliance-checklist om uw gereedheid te beoordelen
Ontdek waarom ISO 27001 alleen geen NIS2-compliance is
Ontdek hoe Orbiq helpt bij NIS2-compliance

Bijgewerkt in maart 2026. Deze gids wordt onderhouden naarmate nationale implementaties vorderen.