NIS2 in Nederland: Wat de Cyberbeveiligingswet Betekent voor Jouw Organisatie (2026)

NIS2 is de Europese richtlijn (EU 2022/2555) die sinds 18 oktober 2024 strengere cyberbeveiligingseisen oplegt aan 18 sectoren in Nederland. De Nederlandse implementatie verloopt via de Cyberbeveiligingswet, die op 1 juli 2025 ter advies aan de Raad van State is voorgelegd en naar verwachting in de loop van 2026 in werking treedt. Vanaf dat moment moeten essentiele en belangrijke entiteiten voldoen aan tien risicobeheermaatregelen, incidenten binnen 24 uur melden bij het CSIRT, en lopen bestuurders persoonlijk risico bij overtredingen. De hoogste boete bedraagt tien miljoen euro of twee procent van de wereldwijde omzet. In deze gids leggen we uit wat je vandaag moet weten en doen.

Wat is NIS2?

NIS2 staat voor de tweede Network and Information Security Directive: een Europese richtlijn die de cyberweerbaarheid van kritieke en belangrijke sectoren versterkt. De volledige juridische basis is Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022. NIS2 vervangt de oude NIS1-richtlijn uit 2016, die te beperkt bleek qua scope en te vaag qua handhaving.

De grote verschillen met NIS1: de scope is meer dan verdrievoudigd (van zes naar achttien sectoren), de eisen zijn concreter beschreven in artikel 21, bestuurders kunnen persoonlijk aansprakelijk worden gesteld en de boetes zijn vergelijkbaar met de AVG. De richtlijn richt zich expliciet ook op de toeleveringsketen: een MSP die kritieke klanten bedient, valt mogelijk direct of indirect onder NIS2.

In Nederland implementeert de Cyberbeveiligingswet (Cbw) NIS2. Toezicht ligt bij de Rijksinspectie Digitale Infrastructuur (RDI) voor digitale infrastructuur en digitale diensten, bij sectorale toezichthouders zoals de IGJ voor de zorg en DNB voor financiele entiteiten, en bij het NCSC voor coordinatie van CSIRT-werkzaamheden. Lees de uitgebreide uitleg over NIS2 als je net begint.

Valt jouw organisatie onder NIS2? Essentiele versus belangrijke entiteiten

NIS2 maakt onderscheid tussen essentiele entiteiten (sector hoog kritiek) en belangrijke entiteiten (sector kritiek). Het onderscheid bepaalt het toezichtsregime en de maximale boetehoogte, niet het pakket maatregelen: beide groepen voldoen aan dezelfde tien artikel 21-eisen.

De 18 sectoren onder NIS2

• Essentieel (Annex I): energie, vervoer, bankwezen, financiele marktinfrastructuren, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur (DNS, datacenters, cloud), ICT-dienstverlening business-to-business, overheid, ruimtevaart
• Belangrijk (Annex II): post- en koeriersdiensten, afvalbeheer, productie en distributie chemische stoffen, productie en distributie voedsel, productie kritieke producten (medische hulpmiddelen, computers, elektrische apparatuur, machines, motorvoertuigen), digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerken), onderzoeksorganisaties

Groottecriteria: medium of grote entiteit

NIS2 geldt automatisch voor middelgrote entiteiten (vanaf 50 FTE of 10 miljoen euro jaaromzet en 10 miljoen balanstotaal) en grote entiteiten (vanaf 250 FTE of 50 miljoen euro omzet en 43 miljoen balanstotaal). Kleinere organisaties vallen er in principe niet onder, met uitzondering van DNS-aanbieders, registers van topleveldomeinen, certificaatautoriteiten, openbare elektronische communicatienetwerken en organisaties die als enige aanbieder in een sector opereren.

Twijfel je over je scope? Doorloop onze NIS2 scope-check met beslisboom voor Nederlandse organisaties.

NIS2 vereisten: de tien maatregelen uit artikel 21

Artikel 21 van NIS2 beschrijft tien categorieen van cyberbeveiligingsrisicobeheermaatregelen die elke entiteit moet implementeren. De richtlijn schrijft geen specifieke technologie voor, maar verwacht een risicogebaseerde aanpak die proportioneel is aan de blootstelling.

1. Beleid voor risicoanalyse en informatiebeveiliging: documenteer welke risico’s je accepteert, mitigeert of overdraagt
2. Incidentenbehandeling: proces voor detectie, classificatie, response en herstel van cyberincidenten
3. Bedrijfscontinuiteit en crisisbeheer: backups, herstelprocedures, crisisorganisatie en oefeningen
4. Beveiliging van de toeleveringsketen: contracten, audits en monitoring van leveranciers met toegang tot kritieke systemen
5. Beveiliging bij aanschaf, ontwikkeling en onderhoud: security-by-design in inkoop- en developmentprocessen
6. Evaluatie effectiviteit: periodieke audits, pentests en review van maatregelen
7. Cyberhygiene en training: basisbewustzijn bij alle medewerkers en specialistische training voor IT-personeel
8. Cryptografie en encryptie: versleuteling at-rest en in-transit waar passend
9. Personeelsbeveiliging, toegangsbeheer, asset management: screening, least privilege en CMDB
10. Multifactor-authenticatie en beveiligde communicatie: MFA op kritieke systemen, noodcommunicatiekanalen

Per maatregel werken we de praktische invulling uit in onze diepte-analyse: de tien NIS2 maatregelen uit artikel 21 uitgewerkt.

Incidentmeldplicht: 24 uur, 72 uur, 1 maand

Een significant incident moet je melden bij het bevoegde CSIRT volgens een driestapsproces. Een incident is significant als het ernstige operationele verstoring of financiele schade veroorzaakt, of als het andere natuurlijke of rechtspersonen materiele schade kan toebrengen.

• Binnen 24 uur: vroege waarschuwing (early warning) met indicatie of kwaadwillende handelingen worden vermoed
• Binnen 72 uur: incidentmelding met initiele beoordeling, ernst, impact en eventuele indicators of compromise
• Binnen 1 maand: eindrapport met gedetailleerde beschrijving, oorzaak, getroffen mitigerende maatregelen en grensoverschrijdende effecten

In Nederland melden essentiele en belangrijke entiteiten bij het sectorale CSIRT (CSIRT-DSP voor digitale dienstverleners, andere CSIRT’s per sector). Het NCSC coordineert op nationaal niveau. Documenteer ieder incident, ook subkritieke incidenten, voor je interne dossier: bij toezicht moet je kunnen aantonen dat je proportionele detectie en classificatie hebt ingericht.

Bestuurlijke aansprakelijkheid en boetes

NIS2 raakt het bestuur direct. Het bestuur moet de risicobeheermaatregelen goedkeuren, toezicht houden op de implementatie en zelf training volgen. Bij significante overtredingen kan de toezichthouder een tijdelijk bestuursverbod opleggen aan natuurlijke personen die de leiding hebben over de entiteit.

• Essentiele entiteiten: maximaal 10 miljoen euro boete of 2 procent wereldwijde jaaromzet (hoogste van de twee)
• Belangrijke entiteiten: maximaal 7 miljoen euro boete of 1,4 procent wereldwijde jaaromzet
• Bestuur: persoonlijke aansprakelijkheid voor schade door grove nalatigheid, mogelijk bestuursverbod
• Aanvullend: publicatie inbreuk, naming-and-shaming, intrekken vergunningen waar van toepassing

Voor een diepere bespreking van het sanctieregime, inclusief de eerste boetes in EU-lidstaten: NIS2 boetes en persoonlijke aansprakelijkheid uitgelegd.

NIS2 versus bestaande frameworks: ISO 27001 en NEN 7510

Wie al ISO 27001-gecertificeerd is, heeft een aanzienlijke voorsprong. Een gestructureerde mapping laat zien dat ongeveer 70 procent van de NIS2-maatregelen overlapt met Annex A van ISO 27001:2022. ISO 27001 dekt risicomanagement, toegangsbeheer, encryptie, leveranciersbeheer en incident response. Aanvullend voor NIS2: de specifieke meldtermijnen, registratieplicht bij de toezichthouder en de bestuurlijke verantwoordelijkheid.

Voor zorginstellingen geldt naast NIS2 ook NEN 7510. De combinatie is geen dubbele last maar een synergie: NEN 7510 specificeert ISO 27001 voor de zorgcontext (patientgegevens, medische apparatuur), terwijl NIS2 de juridische verplichting toevoegt. Dxfferent begeleidt al jaren ISO 27001- en NEN 7510-trajecten. In ons artikel NIS2 vs ISO 27001 met complete mappingtabel werken we de overlap concreet uit.

NIS2 implementatie roadmap: twaalf stappen tot compliance

Een gestructureerd implementatietraject duurt voor middelgrote organisaties tussen twaalf weken en zes maanden, afhankelijk van de bestaande volwassenheid. Wie al ISO 27001 heeft, kan rekenen op een delta-project van acht tot tien weken. Wie blanco begint, moet uitgaan van vier tot zes maanden voor een werkbaar minimum.

1. Commitment bestuur en aanwijzen projectleider
2. Scope bepalen: essentieel of belangrijk, welke entiteiten
3. Registratie bij de bevoegde autoriteit (RDI of sectorale toezichthouder)
4. Gap-assessment tegen de tien artikel 21-maatregelen
5. Risicoanalyse en risicoregister inrichten
6. Technische maatregelen implementeren (MFA, encryptie, logging)
7. Organisatorisch beleid documenteren en publiceren
8. Incident response procedure inclusief meldketen
9. Leverancierscontracten herzien voor toeleveringsketen-eisen
10. Training bestuur (verplicht) en medewerkers
11. Eerste interne audit en directiebeoordeling
12. Doorlopend monitoringregime opzetten

De complete uitwerking inclusief week-voor-week planning en concrete acceptatiecriteria staat in: NIS2 checklist met 12 stappen naar compliance (gratis download).

NIS2 compliance checklist: download de praktische versie

We hebben de tien maatregelen vertaald naar 47 concrete controlepunten die je kunt afvinken tijdens een gap-assessment. Voorbeelden uit de checklist:

• Risicoregister bestaat en is door bestuur goedgekeurd binnen laatste 12 maanden
• Incident response plan getest in tabletop-oefening in laatste 12 maanden
• MFA actief op alle remote-toegangen en administratieve accounts
• Backups offline of immutable, hersteltest in laatste 6 maanden
• Leveranciers met toegang tot kritieke systemen contractueel verplicht tot incidentmelding
• Bestuur volgde NIS2-training in laatste 12 maanden, gedocumenteerd

Download de volledige checklist met alle 47 punten als Excel.

NIS2 en de toeleveringsketen: wat als je leverancier bent?

De Cyberbeveiligingswet heeft een lange reikwijdte via artikel 21 #4. Ook organisaties die zelf niet onder NIS2 vallen, krijgen indirect met de eisen te maken zodra zij diensten of producten leveren aan NIS2-entiteiten. We zien dit in drie patronen.

• IT-leveranciers en MSP’s: krijgen contractuele incidentmeldingen, audit-rechten en certificeringseisen opgelegd. De grote zorgcentrales eisen sinds 2024 ISO 27001 of NEN 7510 van hun EPD-leveranciers
• Softwareleveranciers: SBOM (Software Bill of Materials), kwetsbaarhedendisclosure-procedures en patch-SLA’s komen contractueel terug
• Consultants en outsourced staff: bij toegang tot kritieke systemen worden VOG, security-awareness en NDA-eisen aangescherpt

Voor MSP’s en MSSP’s geldt een belangrijke nuance: ICT-dienstverlening B2B valt onder Annex I (essentieel). Een MSP met 50+ FTE valt dus rechtstreeks onder NIS2, ongeacht of de klanten dat zelf zijn. Voor kleinere MSP’s geldt dat de NIS2-eisen via klant-contracten alsnog op tafel komen.

De Cyberbeveiligingswet: status en planning

De Nederlandse Cyberbeveiligingswet (Cbw) zet NIS2 om in nationaal recht. Het wetsvoorstel is in 2025 ingediend bij de Tweede Kamer na advies van de Raad van State. De huidige planning:

• 2025: behandeling Tweede Kamer en Eerste Kamer
• 2026: inwerkingtreding verwacht, gefaseerde implementatie van toezichtsbevoegdheden
• 2026-2027: registratiefase voor essentiele en belangrijke entiteiten
• 2027: eerste toezichtsonderzoeken en mogelijke handhavingsbesluiten

De Cbw vervangt de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni) en integreert deze met NIS2-bepalingen. Voor vitale aanbieders die al onder de Wbni vielen verandert er materieel weinig in de basisverplichtingen; wel komen specifieke NIS2-elementen zoals bestuurstraining en CSIRT-meldketen erbij. Voor de twaalfduizend Nederlandse organisaties die nieuw onder NIS2 vallen, is dit echter wel een eerste kennismaking met dit type wetgeving.

De Europese Commissie heeft Nederland (en 22 andere lidstaten) in 2024 in gebreke gesteld voor het niet halen van de transpositie-deadline van 17 oktober 2024. Deze inbreukprocedure verhoogt politieke druk maar creeert geen direct boete-risico voor Nederlandse organisaties tot de Cbw van kracht is.

NIS2 en andere regimes: AVG, DORA, NEN 7510

NIS2 staat niet op zichzelf. Voor veel Nederlandse organisaties stapelen verplichtingen vanuit verschillende kaders. We brengen de relaties in kaart.

• AVG (privacy): beschermt persoonsgegevens. Een datalek met persoonsgegevens valt onder zowel AVG (Autoriteit Persoonsgegevens, 72-uurs melding) als NIS2 (CSIRT, 24/72u). Dubbele meldketen, separate boete-routes
• DORA (digital operational resilience act): vanaf januari 2025 specifiek voor financiele sector. Loopt parallel aan NIS2 met overlap, maar DORA gaat verder op specifieke financiele aspecten (ICT-leveranciersregister, threat-led penetration testing)
• NEN 7510: Nederlandse zorgnorm gebaseerd op ISO 27001. Voor zorginstellingen complementair aan NIS2, dekt 80-85 procent van artikel 21 af
• NIS2-CRA-AI Act-driehoek: de aankomende Cyber Resilience Act en AI Act introduceren nieuwe productverplichtingen die kunnen overlappen met NIS2-toeleveringsketen-eisen
• Wbni: wordt geintegreerd in de Cyberbeveiligingswet, voor vitale aanbieders is dit een evolutie, geen revolutie

Praktisch advies: bouw een GRC-aanpak die meerdere regimes parallel afdekt. Eenmaal je ISMS, risicoregister en governance-cyclus op orde, dien je 80 procent van de overlap automatisch in voor elk regime.

Wat dxfferent voor jou doet

Dxfferent begeleidt Nederlandse MSP’s en IT-organisaties al meer dan tien jaar bij ISO 27001 en NEN 7510. Voor NIS2 leveren we drie diensten:

• NIS2 gap-assessment: in vier tot zes weken inzicht in je positie tegen artikel 21, inclusief prioriteitenplan
• NIS2 implementatiebegeleiding: wij voeren het project, jouw team blijft eigenaar
• GRC-as-a-Service: doorlopend onderhoud van risicoregister, beleid en audits zodat compliance geen jaarlijkse paniek wordt

Plan een vrijblijvend intakegesprek van 30 minuten via onze contactpagina. We kijken samen of je scope onder NIS2 valt en welke quick wins er voor jouw situatie zijn.

Veelgestelde vragen over NIS2

Wanneer treedt NIS2 in werking in Nederland?

De Europese richtlijn geldt sinds 18 oktober 2024. In Nederland verankert de Cyberbeveiligingswet (Cbw) de NIS2-bepalingen in nationaal recht. Het wetsvoorstel is in 2025 ingediend bij de Tweede Kamer en de verwachting is dat de wet in de loop van 2026 in werking treedt. Tot die tijd kunnen organisaties zich voorbereiden, maar nog niet formeel registreren.

Wat is het verschil tussen essentiele en belangrijke entiteiten?

Beide categorieen moeten voldoen aan dezelfde tien artikel 21-maatregelen. Het verschil zit in het toezichtsregime: essentiele entiteiten krijgen proactief toezicht (audits, inspecties), belangrijke entiteiten reactief toezicht (na incident of klacht). De boetes voor essentiele entiteiten zijn hoger (10 miljoen euro vs 7 miljoen euro maximaal).

Geldt NIS2 ook voor het MKB?

NIS2 geldt vanaf middelgrote entiteiten (50 FTE of 10 miljoen euro omzet). Kleinere organisaties zijn in principe uitgezonderd, met uitzonderingen voor kritieke aanbieders (DNS, certificaatautoriteiten, enige aanbieder in een sector). MKB-organisaties die als toeleverancier kritieke systemen leveren aan NIS2-entiteiten krijgen indirect met de eisen te maken via toeleveringsketenbepalingen.

Hoe verschilt NIS2 van NIS1?

NIS2 vergroot de scope van zes naar achttien sectoren, voegt expliciete bestuurlijke aansprakelijkheid toe, scherpt de meldplicht aan (24-uurs early warning ipv eerdere onbepaalde termijnen) en introduceert AVG-achtige boetes. NIS1 liet veel ruimte aan lidstaten voor interpretatie; NIS2 schrijft de tien maatregelen uit artikel 21 expliciet voor.

Moet ik me registreren bij de overheid?

Ja, zodra de Cyberbeveiligingswet in werking treedt moeten essentiele en belangrijke entiteiten zich registreren bij de bevoegde autoriteit. Voor digitale infrastructuur en digitale diensten is dat de RDI. Voor andere sectoren gelden sectorale toezichthouders. Het ENISA Europees register voor DNS-aanbieders en cloudaanbieders is al operationeel.

Wat als ik niet voldoe aan NIS2?

De toezichthouder kan een waarschuwing, bindende aanwijzing of boete opleggen. Bij essentiele entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2 procent wereldwijde omzet. Bij grove nalatigheid van het bestuur kan een tijdelijk bestuursverbod worden opgelegd. Daarnaast kunnen klanten en partners contractueel om bewijs van compliance vragen.

Hoe lang duurt een NIS2 implementatie?

Met een bestaande ISO 27001-certificering ben je doorgaans binnen acht tot tien weken NIS2-klaar. Begin je blanco, reken dan op vier tot zes maanden voor een werkbaar minimum. Doorlopend onderhoud (audits, training, oefeningen, leveranciersreviews) blijft jaarlijks ongeveer 5 tot 15 procent van de initiele inspanning.

Wie is de RDI en wat doet het NCSC binnen NIS2?

De Rijksinspectie Digitale Infrastructuur (RDI) is de toezichthouder voor digitale infrastructuur en digitale diensten onder de Cyberbeveiligingswet. Het Nationaal Cyber Security Centrum (NCSC) coordineert CSIRT-werkzaamheden op nationaal niveau en is het centrale aanspreekpunt voor cyberdreigingen. Sectorale toezichthouders zoals de IGJ (zorg) en DNB (financien) houden toezicht op hun eigen domein.

Wat is de relatie tussen NIS2 en de Cyberbeveiligingswet?

NIS2 is de Europese richtlijn; de Cyberbeveiligingswet is de Nederlandse implementatie. Lidstaten moeten NIS2 omzetten in nationale wetgeving. In de praktijk wijken nationale implementaties op detailpunten af. De Cyberbeveiligingswet specificeert bijvoorbeeld welke Nederlandse toezichthouder per sector aanspreekpunt is en hoe registratie verloopt.

Geldt NIS2 ook voor mijn leveranciers?

Indirect ja. Artikel 21 verplicht je om de cyberbeveiliging van de toeleveringsketen te beheersen. Concreet betekent dit dat je contractueel eisen stelt aan leveranciers met toegang tot kritieke systemen of data: incidentmelding, security-audits, certificeringen. Leveranciers die geen NIS2-entiteit zijn maar wel kritieke diensten leveren, krijgen via deze route alsnog met de eisen te maken.

Wat is een significant incident onder NIS2?

Een incident is significant als het: (a) ernstige operationele verstoring of financiele schade veroorzaakt voor de entiteit, of (b) andere natuurlijke of rechtspersonen materiele schade kan toebrengen. ENISA en de Europese Commissie hebben in 2024 uitvoeringsverordeningen vastgesteld die per sector concrete drempels definieren (bijvoorbeeld duur van de verstoring, aantal getroffen gebruikers).