Wat is NIS2? De complete gids voor de EU NIS2-richtlijn (2026)
Wat is NIS2? De EU NIS2-richtlijn (2022/2555) verplicht organisaties in 18 kritieke sectoren tot cybersecuritymaatregelen, incidentmelding en beveiliging van de toeleveringsketen. Complete gids met vereisten, boetes, tijdlijn en hoe u compliant wordt.
Wat is NIS2? De EU-cybersecurityrichtlijn uitgelegd
De NIS2-richtlijn (EU 2022/2555) is de bijgewerkte cybersecuritywet van de Europese Unie die de oorspronkelijke NIS-richtlijn van 2016 heeft vervangen. Deze is van toepassing op meer dan 100.000 organisaties in 18 kritieke sectoren met 50+ werknemers of een omzet van ten minste € 10 miljoen, vereist risicobeheermaatregelen onder artikel 21, verplicht een vroegtijdige waarschuwing binnen 24 uur en een gedetailleerde melding binnen 72 uur onder artikel 23, en kent boetes van maximaal € 10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten. Lidstaten hadden tot 17 oktober 2024 om deze in nationaal recht om te zetten. NIS2 wordt ook vaak gezocht als de NIS2-richtlijn — zie de NIS2-richtlijn uitleg voor de doorloop van de wettekst, of ga direct naar de NIS2-vereisten en de NIS2-compliancechecklist.
Als u over NIS2 hebt gehoord en zich afvraagt wat het voor uw organisatie betekent, legt deze gids alles uit in begrijpelijke taal.
NIS2 in één zin
NIS2 vereist dat organisaties in kritieke sectoren robuuste cybersecurity-maatregelen implementeren, beveiligingsincidenten melden binnen strikte termijnen en de beveiliging van de toeleveringsketen beheren — met daadwerkelijke boetes bij niet-naleving.
Waarom NIS2 bestaat
De oorspronkelijke NIS-richtlijn (2016) was de eerste poging van de EU tot sectoroverstijgende cybersecuritywetgeving. Het had problemen:
- Inconsistente implementatie: Elke lidstaat interpreteerde het anders
- Te beperkt: Besloeg slechts 7 sectoren, met grote hiaten
- Zwakke handhaving: Geen minimale boetedrempels, wat leidde tot inconsistente gevolgen
- Geen focus op toeleveringsketen: Adresseerde niet het groeiende risico van externe leveranciers
Het cyberdreigingslandschap is dramatisch veranderd sinds 2016. Ransomware-aanvallen, compromittering van toeleveringsketens en door staten gesponsorde dreigingen hebben de oorspronkelijke richtlijn ontoereikend gemaakt. NIS2 is het antwoord van de EU.
Wat NIS2 veranderde ten opzichte van de oorspronkelijke NIS-richtlijn
| Gebied | Oorspronkelijke NIS (2016) | NIS2 (2022) |
|---|---|---|
| Sectoren | 7 sectoren | 18 sectoren |
| Entiteitstypen | AED + DSP's | Essentiële + belangrijke entiteiten |
| Omvangdrempel | Discretie van lidstaten | Geharmoniseerd: 50+ werknemers of €10M+ |
| Incidentmelding | Zonder onnodige vertraging | 24 uur vroegtijdige waarschuwing, 72 uur melding |
| Toeleveringsketen | Niet specifiek geadresseerd | Expliciete vereisten in Artikel 21 |
| Bestuurdersaansprakelijkheid | Niet geadresseerd | Persoonlijke aansprakelijkheid voor bestuursorganen |
| Boetes | Discretie van lidstaten | Minimale drempels: €10M/2% of €7M/1,4% |
| Toezicht | Wisselend | Proactief (essentieel) en reactief (belangrijk) |
Voor wie geldt NIS2?
NIS2 is van toepassing op organisaties die aan beide criteria voldoen:
- Actief in een van 18 aangewezen sectoren (energie, transport, bankwezen, gezondheidszorg, water, digitale infrastructuur, enz.)
- Voldoen aan omvangdrempels: 50+ werknemers of €10M+ jaaromzet
Essentiële entiteiten
De meest kritieke sectoren: energie, transport, bankwezen, gezondheidszorg, water, afvalwater, digitale infrastructuur, ICT-dienstverlening, overheidsdiensten en ruimtevaart. Onderworpen aan proactief toezicht.
Belangrijke entiteiten
Aanvullende sectoren: postdiensten, afvalbeheer, chemicaliën, voeding, productie, digitale aanbieders en onderzoek. Onderworpen aan reactief (incidentgestuurd) toezicht.
Sommige entiteiten vallen ongeacht hun omvang onder het toepassingsgebied, waaronder gekwalificeerde vertrouwensdienstenaanbieders, TLD-registers en DNS-aanbieders.
Wat vereist NIS2?
NIS2 kent drie pijlers van vereisten:
1. Risicobeheermaatregelen (Artikel 21)
Organisaties moeten tien specifieke cybersecurity-maatregelen implementeren die betrekking hebben op risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, netwerkbeveiliging, effectiviteitsbeoordeling, training, cryptografie, toegangscontrole en multifactorauthenticatie.
Het sleutelwoord in Artikel 21 is operationeel. Het hebben van beleid is niet voldoende. Uw maatregelen moeten in de praktijk werken en u moet dat kunnen bewijzen.
2. Incidentmelding (Artikel 23)
Wanneer een significant incident zich voordoet:
- Binnen 24 uur: Dien een vroegtijdige waarschuwing in bij uw nationale CSIRT
- Binnen 72 uur: Dien een volledige incidentmelding in
- Binnen 1 maand: Dien een eindrapport in met analyse van de grondoorzaak
3. Governance en verantwoording (Artikel 20)
Bestuursorganen moeten:
- Cybersecurity-risicobeheermaatregelen goedkeuren
- Toezien op de implementatie daarvan
- Cybersecurity-training voltooien
- Persoonlijke aansprakelijkheid dragen voor tekortkomingen
NIS2-boetes
Het boetekader is ontworpen om naleving serieus te nemen:
- Essentiële entiteiten: Tot €10 miljoen of 2% van de wereldwijde omzet
- Belangrijke entiteiten: Tot €7 miljoen of 1,4% van de wereldwijde omzet
- Management: Persoonlijke aansprakelijkheid, mogelijke tijdelijke verboden
Dit zijn minimale maxima — lidstaten kunnen in hun nationale implementatie zelfs hogere boetes vaststellen.
NIS2-tijdlijn
| Datum | Wat er gebeurde |
|---|---|
| 16 jan 2023 | NIS2 in werking getreden |
| 17 okt 2024 | Deadline voor nationale omzetting |
| 17 apr 2025 | Deadline voor entiteitslijsten |
| Lopend | Nationale implementaties worden voortgezet |
Hoe u zich voorbereidt op NIS2
- Controleer of u onder het toepassingsgebied valt — Bekijk de sectoren en omvangdrempels
- Beoordeel uw hiaten — Breng uw huidige maatregelen in kaart ten opzichte van de tien vereisten van Artikel 21
- Focus op de operationele hiaten — Incidentmelding, monitoring van de toeleveringsketen en bewijsbeheer zijn de gebieden waar de meeste organisaties tekortschieten
- Bouw continue compliance — Gebruik tools die compliance als doorlopende operatie onderhouden, niet als periodiek project. Als u leveranciers vergelijkt, laat onze vergelijking van compliance-automatiseringssoftware zien welke platforms EU-eisen echt goed ondersteunen.
Volgende stappen
- Lees onze complete NIS2-compliancegids voor gedetailleerde implementatierichtlijnen
- Bekijk de NIS2-compliance-checklist om uw gereedheid te beoordelen
- Ontdek waarom ISO 27001 alleen geen NIS2-compliance is
- Ontdek hoe Orbiq helpt bij NIS2-compliance
Bijgewerkt in maart 2026. Deze gids wordt onderhouden naarmate nationale implementaties vorderen.
Veelgestelde vragen
Waar staat NIS2 voor?
NIS2 staat voor de Netwerk- en Informatiebeveiliging Richtlijn 2. Officieel bekend als Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad. Het verving de oorspronkelijke NIS-richtlijn (2016/1148) met een breder toepassingsgebied, strengere vereisten en geharmoniseerde handhaving.
Wanneer is NIS2 van kracht geworden?
NIS2 is op 16 januari 2023 in werking getreden. Lidstaten hadden tot 17 oktober 2024 de tijd om het in nationaal recht om te zetten. Veel landen hebben deze deadline echter gemist en nationale implementaties zijn begin 2026 in diverse lidstaten nog gaande.
Welke sectoren vallen onder NIS2?
NIS2 bestrijkt 18 sectoren, onderverdeeld in essentiële entiteiten (energie, transport, bankwezen, gezondheidszorg, water, digitale infrastructuur, ICT-dienstverlening, overheidsdiensten, ruimtevaart) en belangrijke entiteiten (postdiensten, afvalbeheer, chemicaliën, voeding, productie, digitale aanbieders, onderzoek). Dit is aanzienlijk breder dan de 7 sectoren van de oorspronkelijke NIS-richtlijn.
Hoe beïnvloedt NIS2 kleine bedrijven?
NIS2 is over het algemeen van toepassing op middelgrote en grote organisaties (50+ werknemers of €10M+ omzet) in de gedekte sectoren. Kleine bedrijven zijn doorgaans uitgezonderd, tenzij zij actief zijn in bepaalde kritieke gebieden zoals gekwalificeerde vertrouwensdiensten, TLD-registers of DNS-aanbieders, waar NIS2 ongeacht de omvang van toepassing is.
Wat gebeurt er als u niet voldoet aan NIS2?
Niet-naleving van NIS2 kan resulteren in administratieve boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en tot €7 miljoen of 1,4% voor belangrijke entiteiten. Daarnaast kunnen bestuursorganen persoonlijk aansprakelijk worden gesteld en tijdelijk worden uitgesloten van het uitoefenen van bestuursfuncties.