085 - 013 4500
    Terug naar Inzichten
    Security

    NIS2-richtlijn: valt jouw bedrijf eronder en wat moet je regelen?

    3 april 2026Mohammad MoghtaderMohammad Moghtader
    NIS2 richtlijn compliance voor Nederlandse bedrijven

    De NIS2-richtlijn (Network and Information Security Directive 2) is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. Deze Europese wetgeving scherpt de eisen voor cybersecurity flink aan en breidt het toepassingsgebied aanzienlijk uit. Waar de eerste NIS-richtlijn vooral gericht was op vitale infrastructuur, raakt NIS2 ook veel MKB-bedrijven die voorheen buiten de scope vielen.

    In dit artikel leggen we uit wat NIS2 precies inhoudt, of jouw bedrijf eronder valt en welke stappen je moet nemen om compliant te worden.

    Wat is de NIS2-richtlijn?

    NIS2 is een Europese richtlijn die EU-lidstaten verplicht om nationale wetgeving op te stellen voor cybersecurityvereisten. Het doel is om het algehele niveau van cyberbeveiliging in de EU te verhogen. De richtlijn stelt eisen aan:

    • Risicobeheer — organisaties moeten passende technische en organisatorische maatregelen nemen
    • Incidentmelding — significante incidenten moeten binnen strikte termijnen worden gemeld
    • Toezicht en handhaving — autoriteiten krijgen meer bevoegdheden om te controleren en te sanctioneren
    • Bestuurlijke verantwoordelijkheid — het bestuur is persoonlijk verantwoordelijk voor cybersecurity

    In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet (Cbw). De verwachte inwerkingtreding is in de loop van 2025/2026, maar organisaties doen er verstandig aan om nu al te starten met de voorbereidingen.

    Wie valt er onder NIS2?

    NIS2 maakt onderscheid tussen twee categorieen organisaties: essentieel en belangrijk. Het verschil zit in de mate van toezicht — essentieel krijgt proactief toezicht, belangrijk reactief.

    Essentieel (Essential Entities)

    Dit zijn organisaties in sectoren die cruciaal zijn voor de samenleving:

    • Energie (elektriciteit, gas, olie, warmte)
    • Transport (lucht, spoor, water, weg)
    • Bankwezen en financiele markten
    • Gezondheidszorg
    • Drinkwater en afvalwater
    • Digitale infrastructuur (DNS, TLD-registrars, cloud, datacenters, CDN)
    • ICT-servicebeheer (MSP's en MSSP's)
    • Overheid
    • Ruimtevaart

    Belangrijk (Important Entities)

    Daarnaast vallen ook organisaties in deze sectoren onder NIS2:

    • Post- en koeriersdiensten
    • Afvalverwerking
    • Chemie
    • Voedingsmiddelen (productie, verwerking, distributie)
    • Maakindustrie (medische apparatuur, ICT, elektronica, machines, voertuigen)
    • Digitale dienstverleners (online marktplaatsen, zoekmachines, sociale netwerken)
    • Onderzoeksinstellingen

    Drempelwaarden

    Niet elk bedrijf in deze sectoren valt automatisch onder NIS2. De richtlijn hanteert drempels:

    CategorieOmvangOmzet/balanstotaal
    Middelgroot50 – 249 medewerkers€10 – €50 miljoen
    Groot250+ medewerkers> €50 miljoen

    Let op: voor bepaalde sectoren gelden uitzonderingen. Zo vallen alle aanbieders van DNS-diensten, TLD-registers, cloud computing en datacenters onder NIS2, ongeacht hun omvang. Ook MSP's en MSSP's (managed service providers) vallen vaak onder de richtlijn, zelfs als ze kleiner zijn.

    Val ik eronder als toeleverancier?

    Hier wordt het interessant voor het MKB. NIS2 stelt namelijk ook eisen aan de supply chain. Organisaties die onder NIS2 vallen, moeten de cybersecurity van hun leveranciers beoordelen en contractueel vastleggen. Dit betekent dat ook bedrijven die zelf niet onder NIS2 vallen, indirect te maken kunnen krijgen met de eisen — simpelweg omdat hun klanten het van hen eisen.

    Wat moet je regelen? De kernvereisten

    NIS2 schrijft een reeks maatregelen voor die organisaties moeten implementeren. De belangrijkste:

    1. Risicobeheer

    Je moet een risicoanalyse uitvoeren en passende maatregelen nemen. Dit omvat:

    • Beleid voor risicoanalyse en informatiebeveiliging
    • Procedures voor de behandeling van incidenten
    • Bedrijfscontinuiteit en crisisbeheer
    • Beveiliging van de toeleveringsketen
    • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
    • Beleid en procedures om de effectiviteit van maatregelen te beoordelen
    • Basis cyberhygiene en training
    • Beleid voor het gebruik van cryptografie en encryptie
    • Toegangsbeleid en beheer van bedrijfsmiddelen
    • Multi-factor authenticatie en beveiligde communicatie

    2. Incidentmelding

    Bij een significant cybersecurity-incident geldt een strikte meldplicht:

    TermijnActie
    Binnen 24 uurEerste melding (early warning) bij de toezichthouder
    Binnen 72 uurIncidentmelding met eerste beoordeling van ernst en impact
    Binnen 1 maandEindverslag met analyse, genomen maatregelen en lessen

    Een incident is "significant" als het ernstige operationele verstoring kan veroorzaken, financiele schade oplevert of andere personen of organisaties kan raken.

    3. Bestuurlijke verantwoordelijkheid

    Een opvallend element van NIS2: het bestuur (directie, management) is direct verantwoordelijk voor cybersecurity. Dit houdt in:

    • Het bestuur moet cybersecuritymaatregelen goedkeuren en toezien op de uitvoering
    • Bestuurders moeten cybersecuritytraining volgen
    • Het bestuur kan persoonlijk aansprakelijk worden gesteld bij nalatigheid
    • In ernstige gevallen kan een bestuurder tijdelijk worden geschorst

    Dit is een fundamentele verschuiving: cybersecurity is niet langer alleen een IT-kwestie, maar een bestuursverantwoordelijkheid.

    4. Supply chain security

    Organisaties moeten de cybersecurityrisico's van hun toeleveranciers beoordelen. Dit omvat:

    • Beoordeling van de beveiligingspraktijken van leveranciers
    • Contractuele afspraken over beveiligingseisen
    • Regelmatige audits of beoordelingen
    • Incidentmeldingsprocedures in de keten

    Tijdlijn en deadlines

    De NIS2-richtlijn is op Europees niveau al vastgesteld. De tijdlijn voor Nederland:

    • Januari 2023 — NIS2-richtlijn in werking getreden op EU-niveau
    • Oktober 2024 — Oorspronkelijke deadline voor omzetting in nationale wetgeving
    • 2025/2026 — Verwachte inwerkingtreding Cyberbeveiligingswet in Nederland
    • Na inwerkingtreding — Organisaties moeten direct voldoen (geen overgangstermijn)

    Belangrijk: wacht niet tot de wet officieel van kracht is. De vereisten zijn al bekend en de implementatie kost tijd. Begin nu met je voorbereidingen.

    Sancties en boetes

    NIS2 introduceert forse sancties bij niet-naleving:

    CategorieMaximale boete
    Essentieel€10 miljoen of 2% van de wereldwijde jaaromzet
    Belangrijk€7 miljoen of 1,4% van de wereldwijde jaaromzet

    Daarnaast kunnen toezichthouders aanvullende maatregelen opleggen, zoals waarschuwingen, bindende instructies, bevelen tot het nemen van maatregelen, en — in het uiterste geval — het tijdelijk schorsen van bestuurders.

    Hoe bereid je je voor? Stappenplan

    Stap 1: Bepaal of NIS2 op jou van toepassing is

    Controleer of jouw organisatie actief is in een van de genoemde sectoren en of je boven de drempelwaarden valt. Houd ook rekening met indirecte toepasselijkheid via je klanten.

    Stap 2: Voer een gap-analyse uit

    Breng in kaart welke maatregelen je al hebt getroffen en waar de hiaten zitten. Vergelijk je huidige situatie met de NIS2-vereisten. Dit geeft je een duidelijk beeld van wat er nog moet gebeuren.

    Stap 3: Stel een implementatieplan op

    Prioriteer de hiaten op basis van risico en maak een realistisch implementatieplan met tijdlijnen, verantwoordelijken en budget.

    Stap 4: Implementeer de maatregelen

    Voer de technische en organisatorische maatregelen uit. Denk aan:

    • MFA implementeren op alle systemen
    • Incidentresponsplan opstellen en oefenen
    • Backup-strategie opzetten of verbeteren
    • Security monitoring inrichten
    • Medewerkers trainen
    • Leveranciers beoordelen en afspraken vastleggen
    • Documentatie en beleid formaliseren

    Lees ons artikel over cybersecurity basismaatregelen voor het MKB voor praktische tips.

    Stap 5: Borg de continuiteit

    NIS2 is geen eenmalig project. Je moet aantoonbaar continu werken aan verbetering:

    • Regelmatige audits en risicobeoordelingen
    • Periodieke tests van je incidentresponsplan
    • Bijwerken van documentatie en beleid
    • Evalueren van de effectiviteit van maatregelen

    Hoe helpt ISO 27001?

    ISO 27001 is een internationaal erkend raamwerk voor informatiebeveiliging. Als je al ISO 27001 gecertificeerd bent, heb je een enorme voorsprong bij NIS2-compliance. Er is namelijk een grote overlap:

    NIS2-vereisteISO 27001-tegenhanger
    RisicobeheerClausule 6 (Planning) + Annex A
    IncidentbeheerA.5.24 – A.5.28
    BedrijfscontinuiteitA.5.29 – A.5.30
    Supply chain securityA.5.19 – A.5.23
    ToegangsbeleidA.5.15 – A.5.18, A.8
    CryptografieA.8.24
    Training en bewustwordingA.6.3

    Let op: ISO 27001-certificering is niet automatisch NIS2-compliance. Er zijn aanvullende eisen, met name rondom incidentmelding en bestuurlijke verantwoordelijkheid. Maar het biedt wel een stevige basis.

    NEN 7510 voor de zorg

    Werk je in de zorgsector? Dan is NEN 7510 het relevante raamwerk. NEN 7510 is gebaseerd op ISO 27001 maar bevat aanvullende eisen specifiek voor de bescherming van gezondheidsinformatie. Organisaties die NEN 7510 gecertificeerd zijn, hebben ook voor NIS2 al veel op orde.

    Virtual Computing is zowel ISO 27001 als NEN 7510 gecertificeerd en helpt organisaties bij het voldoen aan deze normen.

    Veelgestelde vragen

    Is NIS2 al van kracht in Nederland?

    De Europese richtlijn is vastgesteld, maar de Nederlandse Cyberbeveiligingswet die NIS2 omzet in nationale wetgeving is nog in voorbereiding. De verwachting is dat de wet in 2025 of 2026 in werking treedt. Wacht hier niet op — begin nu met voorbereiden.

    Val ik onder NIS2 als ik minder dan 50 medewerkers heb?

    In de meeste gevallen niet, tenzij je actief bent in een sector waar geen drempelwaarden gelden (zoals DNS-diensten, cloud of datacenters). Maar als je levert aan organisaties die wel onder NIS2 vallen, kun je indirect te maken krijgen met de eisen via supply chain vereisten.

    Wat gebeurt er als ik niet voldoe aan NIS2?

    Je riskeert boetes tot €10 miljoen of 2% van je jaaromzet (voor essentieel) of €7 miljoen / 1,4% (voor belangrijk). Daarnaast kunnen toezichthouders bindende aanwijzingen geven en in het uiterste geval bestuurders schorsen.

    Moet ik ISO 27001 gecertificeerd zijn voor NIS2?

    Nee, ISO 27001 is niet verplicht. Maar het is wel het meest logische raamwerk om aan de NIS2-vereisten te voldoen. Een certificering geeft je bovendien een sterk bewijs van compliance.

    Hoe verhouden NIS2 en de AVG zich tot elkaar?

    NIS2 gaat over de beveiliging van netwerk- en informatiesystemen in het algemeen. De AVG gaat specifiek over de bescherming van persoonsgegevens. Ze vullen elkaar aan: een goede informatiebeveiliging (NIS2) helpt ook bij het beschermen van persoonsgegevens (AVG).

    Kan ik NIS2-compliance uitbesteden?

    Je kunt de uitvoering van maatregelen uitbesteden aan een managed service provider, maar de verantwoordelijkheid blijft altijd bij je eigen organisatie. Wel kan een gecertificeerde MSP je helpen om sneller en effectiever compliant te worden.

    Hoe lang duurt het om NIS2-compliant te worden?

    Dat hangt af van je uitgangssituatie. Een organisatie die al ISO 27001 gecertificeerd is, kan binnen enkele maanden de aanvullende NIS2-vereisten implementeren. Zonder bestaand raamwerk moet je rekenen op 6 tot 18 maanden.

    Gelden er specifieke eisen voor MSP's?

    Ja. ICT-servicebeheer (waaronder MSP's en MSSP's) is expliciet opgenomen in de lijst van essentieel sectoren. MSP's vallen dus onder NIS2, ongeacht hun omvang. Dit is logisch: als een MSP gehackt wordt, treft dit al hun klanten.

    Hulp nodig bij NIS2-voorbereiding?

    De NIS2-richtlijn vraagt om een serieuze aanpak van cybersecurity. Virtual Computing helpt organisaties met de implementatie van passende beveiligingsmaatregelen, van technische oplossingen tot beleid en documentatie. Als ISO 27001 en NEN 7510 gecertificeerde MSP weten we precies wat er nodig is. Bekijk onze cloud security diensten, lees meer over ons IT beheer of neem direct contact op voor een vrijblijvend gesprek.

    Gerelateerde diensten

    Cloud SecurityICT BeheerICT Uitbesteden

    Geschreven door

    Mohammad Moghtader — Partner & CTO bij Virtual Computing
    Mohammad Moghtader

    Partner & CTO

    Cloud infrastructuur · Netwerkbeheer · Security · Azure

    Gerelateerde artikelen

    Security

    Een veilige cloud werkplek realiseren

    Het realiseren van een veilige cloud werkplek vereist een gelaagde aanpak die begint met het fundament: identiteitsbeheer en toegangscontrole.

    Security

    Netwerkbeveiliging bij online werken

    Online werken is tegenwoordig de norm, maar daarmee komen ook risico's. Hackers en cybercriminelen loeren op onbeveiligde netwerken.

    Security

    Veilig cloud werken met Microsoft 365

    In 5 stappen veilig in de cloud werken voor MKB. Leer hoe je als MKB veilig en efficiënt kunt werken met Microsoft 365 in de cloud.

    Vragen over dit onderwerp?

    Neem contact op met ons team voor persoonlijk advies.

    Wij gebruiken cookies om je ervaring te verbeteren en het gebruik van onze website te analyseren. Meer informatie