{{ getMenuName(animateLayers) }}

Inhoud

  • Sarphatistraat 7
    1017 WS Amsterdam
    logo-gemeente-amsterdam (1)
  • Aert van Nesstraat 45
    3012 CA Rotterdam
    Group 47
  • Kastanjelaan 400
    5616 LZ Eindhoven
    eindhoven_pms485_liggend_bb (1)
  • Lange Lozanastraat 142 B2
    2018 Antwerpen

EU Digital Decade: de NIS2-richtlijn

januari 2026

Versterkte cyberbeveiligingseisen voor essentiële en belangrijke organisaties.

De NIS2-richtlijn vervangt de oorspronkelijke NIS-richtlijn uit 2016 en stelt strengere eisen aan cyberbeveiliging voor een breder scala aan organisaties. In Nederland wordt NIS2 naar verwachting in het tweede kwartaal van 2026 omgezet in nationale wetgeving als de Cyberbeveiligingswet (Cbw).

Wat is NIS2?

NIS staat voor Network and Information Security. Het primaire doel van NIS2 is het verhogen van de cyberweerbaarheid van zowel publieke als private organisaties die cruciaal zijn voor de samenleving en economie. Waar de eerste NIS-richtlijn nog veel ruimte liet voor nationale invulling, biedt de NIS2-richtlijn een meer uniforme aanpak binnen de EU.

Wat zijn belangrijke verschillen tussen NIS en NIS2?

Uitgebreider toepassingsgebied

NIS2 richt zich niet alleen op traditionele “kritieke infrastructuur”. De nieuwe richtlijn maakt onderscheid tussen twee categorieën aan organisaties:

  1. Essentiële entiteiten: zijn organisaties in cruciale sectoren die onmisbaar zijn voor het functioneren van de samenleving. Zoals energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur en openbaar bestuur
  2. Belangrijke entiteiten: opereren in sectoren die weliswaar niet direct kritiek zijn, maar wel significant impact kunnen hebben bij verstoringen. Denk aan post- en koeriersdiensten, afvalbeheer, de productie en distributie van chemische producten en voedingsmiddelen, en digitale dienstverleners zoals online marktplaatsen en sociale platforms

Of een organisatie onder NIS2 valt hangt af van meerdere factoren, waaronder de sector waarin zij actief is, de aard van de geleverde diensten en de omvang van de organisatie. Ook kleinere organisaties kunnen binnen de reikwijdte vallen indien zij essentiële diensten leveren of een belangrijke rol spelen in de toeleveringsketen.

Strengere beveiligingseisen

Organisaties die onder NIS2 vallen, moeten voldoen aan concrete maatregelen voor risicobeheer en kennen een sterke zorgplicht. De nadruk van de beveiligingseisen liggen op continuïteit waaronder de veerkracht en beschikbaarheid van netwerken en diensten. De zorgplicht begint met het opstellen van beleid voor risicoanalyses en informatiebeveiliging, gevolgd door heldere procedures voor incidentafhandeling en business continuity-management. Ook de beveiliging van de toeleveringsketen, inclusief het beheer van leveranciers, valt onder deze vereisten.

Op technisch vlak zijn maatregelen nodig zoals toegangscontrole, encryptie en multi-factor authenticatie. Organisaties moeten daarnaast regelmatig beveiligingstests en audits uitvoeren. Tot slot is het essentieel dat medewerkers worden getraind om cyberrisico’s te herkennen en adequaat te handelen.

Verplichte en versnelde incidentmelding

De NIS2-richtlijn introduceert strikte meldingstermijnen voor cyberincidenten:

  • Vroege waarschuwing binnen 24 uur na ontdekking van een significant incident, indien deze significant is, dient deze ook te worden gemeld aan de NCSC
  • Daadwerkelijke incidentmelding binnen 72 uur met een eerste analyse
  • Eindrapport moet binnen één maand worden gedeeld met volledige analyse van het incident, inclusief de getroffen maatregelen

Deze snelle melding stelt autoriteiten in staat om tijdig te reageren, andere organisaties te waarschuwen en de verspreiding van aanvallen te beperken.

Bestuurdersaansprakelijkheid

Een belangrijk nieuw element van NIS2 is dat bestuurders verantwoordelijk zijn voor het implementeren van de nieuwe richtlijn, en op die manier directe verantwoordelijkheid dragen voor de naleving ervan. Zo moeten bestuurders onder andere betrokken zijn bij het ontwikkelen van een strategie voor informatiebeveiliging en toezien op de implementatie van beveiligingsmaatregelen. Bij ernstige niet-naleving van hun verplichtingen kunnen bestuursleden persoonlijk aansprakelijk worden gesteld.

Aanzienlijk hogere boetes bij niet-naleving

NIS2 voorziet in substantiële sancties die vergelijkbaar zijn met boetes die opgelegd kunnen worden onder de Algemene Verordening Gegevensbescherming. Voor essentiële entiteiten kunnen boetes oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten kunnen boetes oplopen tot €7 miljoen of 1,4% van de wereldwijde jaaromzet. Daarnaast kunnen toezichthouders andere maatregelen opleggen, zoals bindende aanwijzingen, beveiligingsaudits of tijdelijke uitoefenverboden.

Wat zijn de vervolgstappen voor jouw organisatie?

Inventariseer of jouw organisatie onder de NIS2-richtlijn valt door de sector waarin de organisatie actief is, activiteiten en de omvang van de organisatie te analyseren. Als de conclusie is dat NIS2 van toepassing is op jouw organisatie, dan adviseren wij de volgende stappen:

  • Voer een analyse uit en breng in kaart waar de huidige cybermaatregelen en procedures tekortschieten ten opzichte van de eisen die NIS2 stelt
  • Ontwikkel een implementatieplan voor het invoeren van nieuwe cybermaatregelen en procedures, op basis van prioriteiten en verantwoordelijkheden binnen de organisatie
  • Zorg ervoor dat het bestuur van de organisatie op de hoogte is van hun verantwoordelijkheden en breng cybersecurity onder de aandacht als agendapunt
  • Implementeer en documenteer de te nemen maatregelen
  • Zorg voor regelmatige evaluaties en verbeteringen van de cybersecurity binnen de organisatie

Let op: valt een organisatie niet direct onder NIS2, dan kunnen de verplichtingen alsnog doorwerken via opdrachtgevers die wél onder NIS2 vallen.

Conclusie

De NIS2-richtlijn markeert een belangrijke verschuiving in het Europese cyberbeveiligingslandschap. De reikwijdte, strengere eisen en hogere boetes maken duidelijk dat cybersecurity geen IT-vraagstuk meer is, maar een strategische bedrijfsprioriteit.

Organisaties die nu investeren in hun cyberweerbaarheid, voldoen niet alleen aan wettelijke verplichtingen maar versterken ook hun reputatie, bedrijfscontinuïteit en het vertrouwen van klanten en partners. In een tijd waarin cyberaanvallen steeds geavanceerder worden, is proactief handelen essentieel.

Vragen over de NIS2-richtlijn?

Het bepalen of jouw organisatie onder de reikwijdte van NIS2 valt en welke concrete maatregelen vereist zijn, kan complex zijn. Het team van Halsten staat klaar om te adviseren bij de implementatie en naleving van de NIS2-richtlijn.

Neem gerust contact met ons op:

EU Digital Decade
Allard Koers
allard.koers@halsten.nl


Céline Teeuwen
celine.teeuwen@halsten.nl


Andrea Cuijpers
andrea.cuijpers@halsten.nl


Linde Lotte van de Ven
lindelotte.vandeven@halsten.nl

Andere artikelen

halsten divider copy 6
Alle nieuws & events
halsten divider copy 6