• Home
  • /
  • Kennisbank
  • /
  • Wat is NIS2: de Europese Cybersecuritywet uitgelegd!
Author Image

Door Dave

april 17, 2026

Wat is NIS2: de Europese Cybersecuritywet uitgelegd!

Cyberaanvallen op ziekenhuizen, energiebedrijven en overheidsinstanties zijn geen uitzonderingen meer. Europa reageerde daarop met een van de meest ingrijpende cybersecuritywetten ooit: de NIS2-richtlijn.

Voor duizenden organisaties in Nederland betekent dit nieuwe verplichtingen, hogere eisen en persoonlijke aansprakelijkheid voor bestuurders. Wat houdt NIS2 precies in, voor wie geldt het en wat moet je er nu al mee? In dit artikel lees je het antwoord.

Wat is de NIS2-richtlijn?

NIS2 is een Europese richtlijn die organisaties in kritieke sectoren verplicht hun digitale beveiliging structureel op orde te hebben. NIS2 staat voor Network and Information Security Directive, versie 2, en is op Europees niveau op 16 januari 2023 in werking getreden als opvolger van de eerste NIS-richtlijn uit 2016.

Het verschil met NIS1 is groot. De eerste richtlijn gold voor een beperkte groep sectoren en had relatief zachte tanden. NIS2 is breder, strenger en heeft veel meer organisaties in het vizier. Het toepassingsgebied is flink uitgebreid, de beveiligingseisen zijn concreter en de boetes bij niet-naleving zijn aanzienlijk hoger.

In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet. Het wetsvoorstel is in juni 2025 ingediend bij de Tweede Kamer en wordt naar verwachting in het tweede kwartaal van 2026 van kracht. Tot die tijd zijn organisaties nog niet wettelijk verplicht om aan de nieuwe eisen te voldoen, maar de Rijksoverheid roept nadrukkelijk op om nu al te beginnen met voorbereidingen.

Hoe begin je met NIS2-compliance?

De eerste stap is bepalen of je organisatie onder NIS2 valt, gevolgd door een nulmeting van je huidige cybersecuritybeleid. De wet is er nog niet, maar organisaties die nu beginnen, staan straks sterk.

  • Bepaal of je onder NIS2 valt.
    Check je sector, je personeelsomvang en je omzet via de doorverwijzingstool van het NCSC. Dat geeft direct duidelijkheid over of de Cyberbeveiligingswet op jouw organisatie van toepassing is.
  • Voer een nulmeting uit.
    Breng in kaart hoe je huidige cybersecuritybeleid eruitziet en waar de grootste gaten zitten ten opzichte van de NIS2-eisen. Werk je al met ISO 27001 of de Baseline Informatiebeveiliging Overheid (BIO)? Dan heb je een goede basis en hoef je minder van nul te beginnen.
  • Wijs een verantwoordelijke aan.
    Zorg dat er iemand op directieniveau eindverantwoordelijk is voor cybersecurity. NIS2 vereist aantoonbare betrokkenheid van het bestuur.
  •  Stel een actieplan op.
    Prioriteer maatregelen op basis van risico en regelgeving en leg vast welke stappen je wanneer neemt.
  • Betrek je leveranciers.
    Informeer ketenpartners over de aankomende eisen en begin gesprekken over gezamenlijke verantwoordelijkheden.

Voor welke organisaties geldt NIS2?

NIS2 geldt voor organisaties in kritieke sectoren met meer dan 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro. De richtlijn maakt daarbij onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten.

Essentiële entiteiten zijn organisaties in sectoren die cruciaal zijn voor de samenleving, zoals energie, drinkwater, transport, gezondheidszorg, bankwezen, digitale infrastructuur en de centrale overheid. Zij vallen onder streng toezicht, zowel vooraf als achteraf. Belangrijke entiteiten, zoals organisaties in de voedingsindustrie, de chemische sector, de postdiensten en de maakindustrie, vallen onder toezicht achteraf. Voor beide categorieën gelden dezelfde verplichtingen, het verschil zit alleen in de intensiteit van het toezicht.

Kleinere organisaties vallen er in principe buiten, tenzij ze een cruciale rol spelen in hun sector. Ook als je als leverancier werkt voor een organisatie die onder NIS2 valt, kun je indirect te maken krijgen met de eisen via de ketenverantwoordelijkheid.

Wat moet je doen om aan NIS2 te voldoen?

Om aan NIS2 te voldoen, moet je organisatie aantoonbaar werk maken van risicobeheersing, incidentmelding, ketenbeveiliging en bestuurlijke betrokkenheid. De belangrijkste verplichtingen zijn:

  • Zorgplicht. Passende technische en organisatorische maatregelen nemen om risico's te beheersen. Denk aan risicoanalyses, toegangsbeleid, versleuteling en continuïteitsplannen.
  • Meldplicht. Significante cyberincidenten moeten binnen 24 uur gemeld worden bij het NCSC, met een uitgebreider rapport binnen 72 uur.
  • Ketenverantwoordelijkheid. Je bent ook verantwoordelijk voor de beveiliging van je toeleveringsketen. Leveranciers en ketenpartners moeten voldoen aan vergelijkbare beveiligingsnormen.
  • Bestuurlijke aansprakelijkheid. Bestuurders zijn persoonlijk verantwoordelijk voor de naleving van NIS2 en moeten aantoonbaar betrokken zijn bij het cybersecuritybeleid.
  • Registratieplicht. Organisaties die onder de wet vallen moeten zich registreren bij de bevoegde autoriteit.

Bij niet-naleving kunnen essentiële entiteiten boetes krijgen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten loopt dat op tot 7 miljoen euro of 1,4% van de omzet.

Wil je meer lezen over hoe cybercriminelen AI misbruiken? Ontdek waarom grote techbedrijven als OpenAI, Microsoft en Google steeds vaker doelwit zijn.

Veelgestelde vragen

Wanneer gaat NIS2 in?

De Europese NIS2-richtlijn is sinds 16 januari 2023 van kracht. In Nederland wordt de richtlijn omgezet via de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. Tot die tijd gelden de verplichtingen officieel nog niet, maar de voorbereiding is nu al noodzakelijk.

Wat is het verschil tussen NIS1 en NIS2?

NIS1 gold voor een beperkte groep sectoren en had minder strenge eisen. NIS2 is breder van opzet, omvat meer sectoren, stelt strengere beveiligingseisen, introduceert persoonlijke aansprakelijkheid voor bestuurders en kent hogere boetes bij niet-naleving.

Wat zijn de boetes bij niet-naleving van NIS2?

Essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten zijn de maximale boetes 7 miljoen euro of 1,4% van de jaaromzet.

Geldt NIS2 ook voor kleine bedrijven?

In principe niet. Organisaties met minder dan 50 medewerkers en een omzet onder de 10 miljoen euro vallen buiten de directe reikwijdte, tenzij ze een kritieke rol spelen in hun sector of leveren aan organisaties die wel onder NIS2 vallen.

Wie is verantwoordelijk voor NIS2 binnen een organisatie?

Het bestuur. NIS2 legt de eindverantwoordelijkheid expliciet bij de directie of het management. Zij moeten aantoonbaar betrokken zijn, een cybersecuritytraining volgen en kunnen persoonlijk aansprakelijk worden gesteld bij ernstige nalatigheid.

 Vorige artikel
Volgende artikel
Author Image

Over de schrijver 

Dave

Hoi, ik ben Dave – schrijver, onderzoeker en nieuwsgierige geest achter AIInsiders.nl. Ik hou me bezig met de manier waarop technologie ons leven verandert, en vooral: hoe we dat een beetje kunnen bijbenen. Van slimme tools tot digitale trends, ik duik graag in de wereld achter de schermen.

Mijn stijl? Lekker helder, soms kritisch, altijd eerlijk. Geen onnodig jargon of overdreven hype, maar praktische inzichten waar je echt iets aan hebt. AI is niet eng of magisch – het is interessant, en ik help je graag om dat te zien.

Meer lezen

24/04/2026 11:59

Wat is MCP: Alle betekenissen en wanneer je het gebruikt!

Je ziet de afkorting MCP steeds vaker voorbij komen. In vacatures, op LinkedIn, in technische documentatie of zelfs binnen marketingteams. Maar wat betekent het eigenlijk? Het lastige lees verder

Wat is MCP: Alle betekenissen en wanneer je het gebruikt!

21/04/2026 15:32

Is Claude AI betrouwbaar? Wat je wel en niet kunt vertrouwen

Is Claude AI betrouwbaar? Claude AI is in veel gevallen een betrouwbare AI-tool, maar niet zonder risico’s. Je kunt het prima gebruiken voor taken zoals lees verder

Is Claude AI betrouwbaar? Wat je wel en niet kunt vertrouwen

21/04/2026 15:30

Wat is Claude Code: Uitleg, werking en toepassingen!

Wat is Claude Code? Claude Code is een manier om Claude AI te gebruiken voor programmeren en technische taken. In plaats van alleen tekst te genereren, lees verder

Wat is Claude Code: Uitleg, werking en toepassingen!

17/04/2026 14:15

Wat is Retrieval-Augmented Generation (RAG)?

AI-modellen weten veel, maar niet alles en zeker niet wat er gisteren is gebeurd of wat er in jouw interne documenten staat. Retrieval-Augmented Generation, afgekort lees verder

Wat is Retrieval-Augmented Generation (RAG)?
>

Ben jij een AI-expert?
Ontdek in 1 minuut of je een voldoende scoort.

Doe de test!