Je bekijkt nu NIS2 richtlijn en de nieuwe Cyberbeveiligingswet

NIS2 richtlijn en de nieuwe Cyberbeveiligingswet

  • Laatste wijziging in bericht:juli 12, 2026
  • Bericht auteur:

De NIS2 richtlijn is een Europese cybersecurityrichtlijn die organisaties in essentiële en belangrijke sectoren verplicht om digitale risico’s beter te beheersen en ernstige incidenten snel te melden.

Sinds 16 januari 2023 geldt de richtlijn op EU-niveau en lidstaten moesten de regels uiterlijk op 17 oktober 2024 omzetten naar nationaal recht. In Nederland wordt dat omgezet via de Cyberbeveiligingswet, die de bestaande Wet beveiliging netwerk- en informatiesystemen moet vervangen. Een storing bij één leverancier kan daardoor gevolgen hebben voor tientallen klanten, zorginstellingen of logistieke ketens.

Dit artikel legt uit wat de NIS2 richtlijn betekent voor Nederlandse organisaties. Je leest wie onder de nieuwe regels kan vallen, welke beveiligings- en meldplichten centraal staan en hoe je praktisch begint met voorbereiding. Ook zie je waar bestuurders, IT-teams en leveranciers nu al op moeten letten.

Wat is de NIS2 richtlijn en wat verandert de Cyberbeveiligingswet?

De NIS2 richtlijn legt minimumeisen vast voor cybersecurity, toezicht en incidentmelding binnen de Europese Unie. In Nederland moet de Cyberbeveiligingswet deze Europese regels omzetten naar nationale verplichtingen, zodat toezichthouders organisaties kunnen registreren, controleren en waar nodig handhaven.

Securityteam bespreekt de NIS2 richtlijn en de Cyberbeveiligingswet in een kantooromgeving

NIS2 staat voor Network and Information Security Directive 2. Deze richtlijn volgt de eerste NIS-richtlijn uit 2016 op, omdat digitale ketens groter en kwetsbaarder zijn geworden. Deze nieuwe versie breidt het aantal sectoren uit van 7 naar 18 sectorcategorieën. Daardoor vallen meer organisaties onder toezicht dan bij de oude regels.

Daarnaast moet de Cyberbeveiligingswet de Europese afspraken concreet maken voor Nederland. Daarin staan onder meer registratie, zorgplichten, meldplichten en toezicht. Ook legt de wet meer verantwoordelijkheid bij bestuurders. Een directie kan cybersecurity dus niet volledig doorschuiven naar de IT-afdeling.

Een herkenbaar scenario maakt dit duidelijk. Bijvoorbeeld, een middelgrote logistieke dienstverlener verwerkt orderdata voor webwinkels, koppelt met vervoerders en gebruikt cloudsoftware voor planning. Als ransomware de planning 48 uur stillegt, raken klanten, vervoerders en eindgebruikers tegelijk geraakt. Onder NIS2 telt niet alleen de eigen schade, maar ook de verstoring in de keten.

Let op: De NIS2 richtlijn werkt niet als een vrijwillige norm. Organisaties die onder het bereik vallen, moeten aantoonbaar passende maatregelen nemen en ernstige incidenten binnen vaste termijnen melden.

Voor wie geldt de NIS2 richtlijn?

Organisaties en sectoren die onder de NIS2 richtlijn kunnen vallen

Categorie

Voorbeelden van organisaties

Belangrijkste aandachtspunten

Essentiële sectoren

Energie, vervoer, zorg, drinkwater

Continuïteit, toezicht, ketenrisico

Digitale infrastructuur

Datacenters, DNS-diensten, cloudproviders

Beschikbaarheid, toegang, logging

Belangrijke sectoren

Post, afvalbeheer, voeding, chemie

Risicobeheer, leveranciers, incidentmelding

Digitale aanbieders

Online marktplaatsen, zoekmachines, platforms

Gebruikersdata, uptime, misbruikdetectie

Middelgrote en grote organisaties

Vaak vanaf 50+ werknemers of financiële drempels rond 10 miljoen euro

Registratie, beleid, bestuurdersrol

Vooral middelgrote en grote organisaties in aangewezen sectoren vallen onder de NIS2 richtlijn. Meestal komt een organisatie in beeld vanaf 50 werknemers of wanneer financiële drempels rond 10 miljoen euro jaaromzet en balanstotaal worden overschreden volgens de Europese mkb-definitie, maar sommige digitale of kritieke aanbieders kunnen ook bij kleinere omvang onder regels vallen.

Serverruimte als voorbeeld van digitale infrastructuur onder de NIS2 richtlijn

Daarbij maakt de richtlijn onderscheid tussen essentiële en belangrijke entiteiten. Essentiële entiteiten zitten in sectoren met grote maatschappelijke impact, zoals energie, transport, bankwezen, gezondheidszorg, drinkwater en digitale infrastructuur. Belangrijke entiteiten vallen in sectoren zoals postdiensten, afvalbeheer, productie, voedsel, chemie en digitale diensten.

Grootte speelt een sterke rol. Grote organisaties hebben 250 of meer werknemers, of overschrijden de financiële grenzen voor middelgrote ondernemingen. Middelgrote organisaties zitten volgens de Europese mkb-definitie grofweg tussen kleine en grote ondernemingen, waarbij 50 werknemers en financiële grenzen rond 10 miljoen euro belangrijke aanknopingspunten zijn. Deze grenzen helpen bepalen of de regels waarschijnlijk gelden.

Toch draait NIS2 niet alleen om aantallen. Ook een kleine beheerder van kritieke digitale infrastructuur kan zeer belangrijk zijn voor de beschikbaarheid van diensten. Daarnaast kan een leverancier geraakt worden via contracten, audits en beveiligingseisen van klanten die direct onder de Cyberbeveiligingswet vallen.

Vuistregel: Als jouw organisatie in een aangewezen sector zit en 50 of meer medewerkers heeft, behandel de NIS2 richtlijn dan als een reële verplichting en start met een scope-analyse.

Welke plichten brengt de NIS2 richtlijn mee?

De NIS2 richtlijn draait om twee kernplichten: organisaties moeten cyberrisico’s actief beheersen en ernstige incidenten tijdig melden. De Cyberbeveiligingswet vertaalt dit naar een zorgplicht, een meldplicht, registratie en bestuurlijke verantwoordelijkheid.

Daarom vraagt de zorgplicht om passende technische, operationele en organisatorische maatregelen. Denk aan risicoanalyses, incidentafhandeling, bedrijfscontinuïteit, back-ups, crisisbeheer, toegangsbeveiliging en beveiliging van leveranciers. Organisaties moeten ook beleid hebben voor versleuteling, multifactor-authenticatie en kwetsbaarhedenbeheer.

Daarnaast kent de meldplicht vaste termijnen. Eerst volgt een vroege waarschuwing binnen 24 uur nadat de organisatie kennis heeft gekregen van een significant incident. Vervolgens volgt een uitgebreidere melding binnen 72 uur. Daarna kan een eindrapport nodig zijn uiterlijk 1 maand na de 72-uursmelding, met oorzaak, gevolgen en genomen maatregelen. Deze termijnen vragen om duidelijke interne afspraken.

Bestuurders krijgen een zichtbare rol. Zij moeten maatregelen goedkeuren, toezicht houden en kennis opbouwen. Daardoor wordt cybersecurity onderdeel van governance, budget en risicomanagement. Alleen een jaarlijkse presentatie van IT is niet genoeg als incidentprocessen, leveranciersafspraken en hersteltests ontbreken.

Cybersecurity onder NIS2 is geen technisch project, maar een bestuurlijke plicht om verstoring, schade en ketenrisico aantoonbaar te beperken.

Een praktijkvoorbeeld helpt. Stel dat een zorgleverancier op maandag om 09.00 uur ontdekt dat aanvallers toegang hadden tot een beheerpaneel. De organisatie moet dan snel bepalen of patiëntenzorg, persoonsgegevens of beschikbaarheid geraakt zijn. Zonder logbestanden over de laatste 30 dagen wordt die beoordeling traag en onzeker.

Beveiligingsmaatregelen die centraal staan

Hierbij raken de belangrijkste beveiligingsmaatregelen onder NIS2 mensen, processen en techniek tegelijk. Een organisatie moet weten welke systemen kritisch zijn, wie toegang heeft en hoe herstel werkt na uitval. Ook moet duidelijk zijn welke leveranciers toegang krijgen tot data of netwerkdelen.

Toegangsbeheer verdient extra aandacht. Ongeautoriseerd meeliften op accounts of netwerktoegang kan klein beginnen, maar later leiden tot datadiefstal of sabotage. Wie dit risico wil begrijpen, kan verder lezen over ongeautoriseerd meeliften op toegang en waarom controle op sessies en rechten nodig blijft.

Kwetsbaarhedenbeheer vraagt daarnaast om discipline. Zo kan een webapplicatie met slechte invoercontrole aanvallers commando’s laten uitvoeren op een server. Zulke fouten vallen onder technische risico’s die je actief moet voorkomen, bijvoorbeeld met codecontrole, patchbeheer en kennis over gevaarlijke servercommando’s via invoervelden.

Meldplicht en bewijsvoering bij de NIS2 richtlijn

Een melding vraagt meer dan een telefoontje. Organisaties moeten kunnen uitleggen wat er gebeurde, welke systemen geraakt zijn, welke maatregelen zijn genomen en welke gevolgen klanten of ketenpartners ondervinden. Logbestanden, tijdlijnen en besluitvorming worden daardoor belangrijk bewijs.

Daarom bevat een bruikbare incidenttijdlijn minimaal 5 elementen: ontdekkingstijd, eerste impact, genomen noodmaatregelen, betrokken systemen en externe partijen. Veel teams oefenen dit niet vooraf. Daardoor ontstaat druk tijdens de eerste 24 uur, precies wanneer de eerste melding onder NIS2 kan spelen.

Veelgemaakte fout: Een organisatie test wel back-ups, maar oefent geen melding. Een hersteltest van 2 uur zegt weinig als niemand weet wie binnen 24 uur mag melden en welke feiten nodig zijn.

Hoe bereid je een organisatie praktisch voor op NIS2?

Je bereidt een organisatie op NIS2 voor door eerst de toepasselijkheid vast te stellen en daarna de grootste risico’s aantoonbaar te verkleinen. Begin met sector, omvang, kritieke processen, leveranciers en incidentprocedures, zodat de voorbereiding niet blijft hangen in losse beveiligingstaken.

Team werkt aan incidentrespons en voorbereiding op de NIS2 richtlijn

Daarom start een praktische voorbereiding met een korte scope-analyse. Breng vast of jouw organisatie in een NIS2-sector valt, hoeveel werknemers er zijn en welke omzet- of balansgrenzen relevant zijn. Leg ook vast welke diensten essentieel zijn voor klanten of burgers. Deze analyse past vaak op 2 tot 4 pagina’s.

Daarna volgt een risicoanalyse. Kies niet meteen voor een zwaar rapport van 80 pagina’s. Start met de belangrijkste processen, zoals productieplanning, klantportalen, financiële systemen, e-mail en identiteitsbeheer. Geef per proces aan welke verstoring ontstaat na 4 uur, 24 uur en 72 uur uitval.

Security awareness blijft nodig, omdat veel incidenten beginnen met misleiding. Een medewerker die een valse factuurmail opent, kan inloggegevens prijsgeven of malware starten. Training werkt beter wanneer voorbeelden herkenbaar zijn, zoals signalen om verdachte e-mail op tijd te herkennen.

  1. Bepaal of de organisatie onder een NIS2-sector valt.

  2. Leg kritieke processen en afhankelijkheden vast.

  3. Controleer toegangsrechten, beheerdersaccounts en multifactor-authenticatie.

  4. Maak een incidentprocedure met rollen, termijnen en contactpunten.

  5. Test back-ups en herstel binnen een afgesproken tijd.

  6. Beoordeel leveranciers met toegang tot systemen of data.

  7. Rapporteer voortgang elk kwartaal aan het bestuur.

Een uitgewerkt tijdpad maakt voorbereiding concreet. In week 1 en 2 bepaal je scope en eigenaarschap. Vervolgens voer je in week 3 tot en met 6 de risicoanalyse uit. Daarna verbeter je in week 7 tot en met 10 toegang, logging en back-ups. Tot slot oefen je in week 11 en 12 een incidentmelding en herstelbesluit.

Een voorbeeld van een eerste 90-dagenaanpak

Bijvoorbeeld: een middelgrote voedselproducent met 120 medewerkers gebruikt productiesystemen, e-mail, een ERP-pakket en 8 externe IT-leveranciers. Daarbij kiest de organisatie een 90-dagenplan met 4 werkstromen: scope, risico, techniek en incidentrespons. Elke werkstroom krijgt één eigenaar en één meetbaar resultaat.

Na 30 dagen ligt er een NIS2-scope en een lijst met 12 kritieke systemen. Binnen 60 dagen zijn beheerdersaccounts gecontroleerd, phishingtraining gestart en back-ups getest. Aan het einde van 90 dagen heeft het crisisteam een oefening gedaan met een 24-uursmelding, 72-uursupdate en concept-eindrapport.

Deze aanpak lost niet alles op. Toch maakt het bestuur zichtbaar welke risico’s blijven bestaan, welke leveranciers extra afspraken nodig hebben en welke investeringen logisch zijn. NIS2 vraagt namelijk niet om perfectie, maar wel om aantoonbaar passend risicobeheer.

Welke rol spelen leveranciers, bestuurders en medewerkers?

Leveranciers, bestuurders en medewerkers bepalen samen of NIS2-voorbereiding werkt. Leveranciers vergroten of verkleinen ketenrisico, bestuurders geven prioriteit en budget, en medewerkers herkennen dagelijkse signalen van misbruik of storing.

Daarom verdienen leveranciers een aparte beoordeling. Veel organisaties gebruiken cloudpakketten, managed service providers en externe ontwikkelaars. Als één leverancier beheerdersrechten heeft, kan een fout of aanval direct meerdere systemen raken. Contracten moeten daarom afspraken bevatten over logging, meldtermijnen, patching, subverwerkers en herstelhulp.

Bestuurders moeten besluiten nemen op basis van risico, niet alleen op basis van technische details. Een directie hoeft geen firewallregels te schrijven. Wel moet zij weten hoeveel kritieke processen afhankelijk zijn van één leverancier, hoe lang herstel duurt en welke incidenten binnen 24 uur gemeld moeten worden.

Medewerkers vormen de eerste lijn bij veel aanvallen. Bij de helpdesk ziet iemand vreemde inlogpogingen. Op finance herkent een medewerker afwijkende betaalverzoeken. Systeembeheerders zien plotselinge rechtenwijzigingen. Training moet daarom rollen volgen, niet alleen algemene e-learning aanbieden.

Malwarebestrijding blijft onderdeel van dit geheel. Geavanceerde malware kan zich diep verbergen en normale controles omzeilen. Bij signalen van blijvende besmetting helpt kennis over hoe je een diep verborgen malwarebesmetting onderzoekt, vooral tijdens incidentrespons.

Praktische aanbevelingen voor de eerste stappen

De beste eerste stap is een korte, eerlijke nulmeting. Vergelijk de huidige situatie met de NIS2-plichten rond risicoanalyse, incidentmelding, toegangsbeheer, back-ups, leveranciers en bestuurlijke rapportage. Maak daarna een verbeterplan met prioriteiten voor 30, 60 en 90 dagen.

Identiteiten en zichtbaarheid

Begin bij identiteiten. Veel aanvallen misbruiken geldige accounts. Controleer daarom beheerdersrechten, gedeelde accounts, oude gebruikers en multifactor-authenticatie. Een lijst met alle beheerdersaccounts geeft vaak binnen 1 dag al bruikbare inzichten. Verwijder rechten die niemand meer kan uitleggen.

Verbeter daarna zichtbaarheid. Zonder logs zie je niet wat er gebeurde. Bewaar beveiligingslogs voor kritieke systemen lang genoeg om incidenten te reconstrueren. Voor veel organisaties is 30 tot 90 dagen een praktisch startpunt. Koppel logbeheer aan incidentrollen, anders blijven waarschuwingen liggen.

Herstel en leveranciersafspraken

Werk vervolgens aan herstel. Een back-up is pas nuttig als herstel getest is. Test minimaal elk kwartaal één kritisch systeem en meet de hersteltijd. Documenteer wie beslist over afsluiten, herstellen en communiceren. Deze beslissingen kosten tijdens een incident vaak meer tijd dan de techniek zelf.

  • Maak een NIS2-register met sector, omvang, diensten en kritieke systemen.

  • Wijs één bestuurlijke eigenaar en één operationele coördinator aan.

  • Leg meldtermijnen van 24 uur, 72 uur en 1 maand vast in het incidentplan.

  • Voer minimaal één incidentoefening per jaar uit.

  • Neem leveranciers met beheerrechten op in een aparte risicolijst.

  • Controleer patches voor internetgerichte systemen wekelijks.

Tip: Start met systemen die vanaf internet bereikbaar zijn. Een ongepatchte VPN-server, mailserver of beheerportaal levert vaak meer direct risico op dan een intern systeem zonder externe toegang.

In onze ervaring werkt NIS2-voorbereiding het best wanneer organisaties klein beginnen, maar consequent blijven meten. Een korte oefening met echte rollen legt sneller zwakke plekken bloot dan een dik beleidsdocument zonder test. Wij zouden eerst scope, toegang en meldproces op orde brengen, voordat we lange volwassenheidstrajecten starten, het team van Virus.NL.

FAQ

Deze veelgestelde vragen vatten de belangrijkste punten rond NIS2, verplichtingen en voorbereiding kort samen.

Is de NIS2 richtlijn al van kracht in Nederland?

De NIS2 richtlijn geldt op EU-niveau sinds 16 januari 2023. Nederland zet de richtlijn om via de Cyberbeveiligingswet. De exacte nationale verplichtingen volgen uit die wet en bijbehorende aanwijzingen, maar organisaties in relevante sectoren kunnen nu al voorbereiden op zorgplicht, meldplicht en toezicht.

Valt een kleine organisatie ook onder NIS2?

Een kleine organisatie valt minder vaak direct onder NIS2, omdat de richtlijn vooral ziet op middelgrote en grote organisaties in aangewezen sectoren. Toch kunnen uitzonderingen gelden voor kritieke digitale diensten. Kleine leveranciers kunnen ook indirect geraakt worden via beveiligingseisen van grotere klanten.

Wat moet een incidentmelding onder NIS2 bevatten?

Een incidentmelding moet duidelijk maken wat er is gebeurd, wanneer het incident is ontdekt, welke systemen of diensten geraakt zijn en welke maatregelen zijn genomen. De eerste waarschuwing kan binnen 24 uur nodig zijn. Een uitgebreidere melding volgt binnen 72 uur, met later mogelijk een eindrapport.

Wie is binnen een organisatie verantwoordelijk voor NIS2?

Het bestuur draagt verantwoordelijkheid voor goedkeuring, toezicht en risicobeheer. IT en security voeren veel maatregelen uit, maar NIS2 maakt cybersecurity ook een bestuurlijk onderwerp. Juridische, inkoop-, communicatie- en operationele teams spelen eveneens een rol bij leveranciers, meldingen en continuïteit.

Conclusie: wat betekent de NIS2 richtlijn nu concreet?

De NIS2 richtlijn maakt cybersecurity voor veel organisaties een formele zorgplicht met duidelijke meldtermijnen en bestuurlijke verantwoordelijkheid. De Cyberbeveiligingswet vertaalt die Europese regels naar Nederlandse verplichtingen, waardoor organisaties hun risico’s, leveranciers en incidentprocessen aantoonbaar moeten beheersen.

De grootste verandering zit niet alleen in techniek. Organisaties moeten laten zien wie verantwoordelijk is, welke processen kritisch zijn, hoe snel herstel kan plaatsvinden en hoe incidenten binnen 24 uur, 72 uur en 1 maand worden opgevolgd. Voorbereiding begint daarom met scope, risicoanalyse, toegangsbeheer en een geoefend meldproces.

Wil je de basis van digitale bescherming verder versterken, begin dan bij malwarepreventie op werkplekken en privéapparaten. Een praktische volgende stap is het vergelijken van gratis antivirusopties voor dagelijkse bescherming, naast beleid, training en incidentvoorbereiding.