NIS2: Wat betekent het voor jouw organisatie?

De Europese NIS2-richtlijn legt nieuwe, strengere eisen op aan cybersecurity voor duizenden Nederlandse organisaties. Of je nu IT-beheerder bent, security professional, of beslisser: NIS2 raakt jouw werk direct.


Wat is NIS2?

NIS2 (Network and Information Security Directive 2) is de opvolger van de originele NIS-richtlijn uit 2016. De richtlijn is op 17 oktober 2024 formeel van kracht gegaan binnen de EU en verplicht organisaties in kritieke sectoren om hun digitale weerbaarheid aantoonbaar op orde te hebben.

Het doel: Europa als geheel weerbaarder maken tegen cyberaanvallen door minimumstandaarden voor beveiliging en incidentrespons af te dwingen.

Nederland specifiek: Nederland heeft de EU-deadline van 17 oktober 2024 gemist. Het wetsvoorstel voor de Nederlandse Cyberbeveiligingswet (Cbw) is op 4 juni 2025 ingediend bij de Tweede Kamer. De inwerkingtreding wordt verwacht in Q2 2026, afhankelijk van de behandeling in de Tweede en Eerste Kamer. De Europese Commissie heeft Nederland al formeel aangesproken op de vertraging en dreigt met juridische stappen. Organisaties doen er verstandig aan zich nu al voor te bereiden — de verplichtingen zelf veranderen niet door het uitstel.


Wie valt onder NIS2?

NIS2 onderscheidt twee categorieën organisaties:

Essentiële entiteiten

Organisaties in sectoren die cruciaal zijn voor de samenleving, zoals:

  • Energie (elektriciteit, gas, olie)
  • Transport (lucht, spoor, water, weg)
  • Drinkwater en afvalwater
  • Financiële infrastructuur
  • Gezondheidszorg
  • Digitale infrastructuur (DNS, datacenters, cloudproviders)
  • Overheid

Belangrijke entiteiten

Organisaties die een significante rol spelen maar niet in de essentiële categorie vallen:

  • Voedselproductie en -distributie
  • Chemische industrie
  • Post- en koeriersdiensten
  • Afvalverwerking
  • Digitale dienstverleners (zoekmachines, online marktplaatsen)
  • Maakindustrie (medische apparatuur, elektronica, machines)

Vuistregel: Val je in een van deze sectoren én heb je meer dan 50 medewerkers of een jaaromzet boven €10 miljoen? Dan val je vrijwel zeker onder NIS2.


Wat zijn de verplichtingen?

NIS2 verplicht organisaties op vier hoofdgebieden.

Risicobeheersing

Je moet aantoonbaar risico's identificeren, beoordelen en beheersen. Dit omvat:

  • Beleid voor informatiebeveiliging
  • Beheer van kwetsbaarheden en patches
  • Beveiliging van de toeleveringsketen (supply chain)
  • Toegangscontrole en authenticatie

Incidentrespons

Bij een significant cyberincident ben je verplicht dit te melden bij de bevoegde autoriteit (in Nederland: het NCSC of een sectorale toezichthouder):

  • Binnen 24 uur: eerste melding
  • Binnen 72 uur: volledige melding met impact en maatregelen
  • Binnen 1 maand: eindrapportage

Bedrijfscontinuïteit

Je organisatie moet kunnen aantonen dat zij een ernstige cyberaanval kan overleven. Denk aan:

  • Back-up- en herstelplannen
  • Crisismanagement en communicatieplannen
  • Business continuity planning (BCP)

Beveiliging van de keten

NIS2 reikt verder dan je eigen organisatie. Je bent mede verantwoordelijk voor de cybersecurity van je leveranciers en dienstverleners. Contractuele beveiligingseisen stellen is geen optie meer — het is een verplichting.


Wat zijn de sancties?

De handhaving is aanzienlijk aangescherpt ten opzichte van de oude NIS-richtlijn:

Categorie Maximale boete
Essentiële entiteiten €10 miljoen of 2% van de wereldwijde jaaromzet
Belangrijke entiteiten €7 miljoen of 1,4% van de wereldwijde jaaromzet

Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld bij aantoonbare nalatigheid. NIS2 maakt cybersecurity expliciet een bestuurskwestie.


Praktische stappen richting compliance

NIS2-compliance is geen eenmalig project maar een doorlopend proces. Een realistische aanpak in vier stappen:

Stap 1 — Scope bepalen

Stel vast of en hoe jouw organisatie onder NIS2 valt. Raadpleeg eventueel juridisch advies voor sector-specifieke nuances.

Stap 2 — Nulmeting uitvoeren

Breng je huidige beveiligingsniveau in kaart. Gebruik de checklist onderaan deze pagina als startpunt.

Stap 3 — Gaps dichten

Prioriteer maatregelen op basis van risico. Begin met de meest kritieke tekortkomingen: patchbeheer, toegangscontrole en incidentrespons.

Stap 4 — Documenteer en onderhoud

NIS2 vereist aantoonbaarheid. Zorg voor beleidsdocumenten, logboeken en periodieke reviews.


NIS2 in de praktijk: OrangeGuard artikelen

De kwetsbaarheden en dreigingen die we op OrangeGuard behandelen zijn vrijwel altijd direct relevant voor NIS2-compliance. Hieronder vind je onze artikelen gegroepeerd per NIS2-thema.

🔐 Kwetsbaarheidsbeheer & patching

Artikelen over CVE's en patches die illustreren waarom tijdig patchen een NIS2-verplichting is:

🧱 Netwerkbeveiliging & firewall

Kwetsbaarheden in netwerkinfrastructuur raken direct aan de NIS2-eis voor bescherming van netwerk- en informatiesystemen:

🤖 AI-dreigingen & veilig gebruik

NIS2 vereist dat je ook nieuwe aanvalsvectoren beheerst. Onze AI-beveiligingsserie:

📋 Incidentrespons

Binnenkort: artikelen over het opzetten van een incidentresponsproces dat voldoet aan de NIS2-meldplicht.