← Terug naar Blog
Onderzoek 18 min leestijd

NIS2-compliance: De complete gids voor Europese bedrijven

De Duitse NIS2-omzettingswet is op 5 december 2025 in werking getreden. De BSI-registratiedeadlines komen eraan in maart 2026. Deze gids behandelt alles wat CISO's, IT-directeuren en compliance officers moeten weten: wie moet voldoen, wat de verplichtingen zijn, hoe de boetes eruitzien en hoe u een praktisch compliance-routekaart opbouwt.

160K+
EU-entiteiten binnen scope
€10M
Maximale boete
18
Gedekte sectoren
24u
Incidentmelding

Wat is de NIS2-richtlijn?

ℹ️ Context

De NIS2-richtlijn (Richtlijn (EU) 2022/2555) vervangt de oorspronkelijke NIS-richtlijn van 2016, die algemeen als onvoldoende in reikwijdte en handhaving werd beschouwd. Ze breidt de dekking drastisch uit van ~10.000 entiteiten onder NIS1 naar een geschatte 160.000+ entiteiten in de hele EU.

NIS2 is ontworpen om drie fundamentele zwaktes aan te pakken: inconsistente omzetting in de lidstaten, beperkte reikwijdte die slechts smalle sectoren dekte, en zwakke handhaving met boetes die te laag waren om verandering te bewerkstelligen.

In Duitsland is het NIS2UmsuCG (NIS2-implementatie- en cyberbeveiligingsversterkingswet) op 5 december 2025 in werking getreden. Het BSI is de aangewezen toezichthouder en de registratiedeadlines beginnen op 6 maart 2026.


Wie moet voldoen aan NIS2?

NIS2 is overgestapt van een aanwijzingsgebaseerde benadering naar een omvangdrempelmechanisme. Organisaties vallen automatisch binnen de scope als ze voldoen aan sector- en omvangcriteria.

Bijlage I — Sectoren met hoge kriticiteit (11 sectoren)

SectorVoorbeelden
EnergieElektriciteit, olie, gas, waterstof, stadsverwarming
VervoerLuchtvaart, spoor, water, wegvervoer
BankwezenKredietinstellingen
Financiële marktinfrastructuurHandelsplatformen, centrale tegenpartijen
GezondheidszorgZiekenhuizen, laboratoria, farmaceutica, medische hulpmiddelen
DrinkwaterLevering en distributie
AfvalwaterInzameling, verwijdering, behandeling
Digitale infrastructuurIXP's, DNS, TLD-registers, cloud, datacenters, CDN's
ICT-dienstenbeheer (B2B)MSP's, MSSP's
Openbaar bestuurCentrale overheidsinstanties
RuimtevaartExploitanten van grondinfrastructuur

Bijlage II — Andere kritieke sectoren (7 sectoren)

SectorVoorbeelden
Post- en koeriersdienstenPostdienstverleners
AfvalbeheerInzameling, transport, verwerking
Chemische productieProductie, distributie
VoedselproductieVerwerking, distributie (grootschalig)
IndustrieMedische hulpmiddelen, elektronica, machines, voertuigen
Digitale aanbiedersMarktplaatsen, zoekmachines, sociale netwerken
OnderzoekOnderzoeksorganisaties met significante impact

Omvangdrempels

⚠️ Omvangonafhankelijke dekking

Bepaalde entiteiten vallen ongeacht hun omvang binnen de scope: gekwalificeerde vertrouwensdienstverleners, TLD-registers, DNS-aanbieders, telecommunicatieaanbieders, openbaar bestuur en enige aanbieders van essentiële diensten.


Essentiële vs belangrijke entiteiten

AspectEssentiële entiteitenBelangrijke entiteiten
ToezichtProactief (vooraf)Reactief (achteraf)
Maximale boete€10M of 2% van de wereldwijde omzet€7M of 1,4% van de wereldwijde omzet
AuditsRegelmatig, verplichtBij bewijs van niet-naleving
BeveiligingseisenIdentiekIdentiek

Belangrijk inzicht

De beveiligingsverplichtingen zijn hetzelfde voor beide categorieën. Het verschil zit alleen in de intensiteit van toezicht en de boeteplafonds.


Belangrijkste NIS2-vereisten (Artikel 21)

10 verplichte maatregelen

Tijdlijn incidentmelding

DeadlineVereisteDoel
24 uurVroegtijdige waarschuwing aan CSIRTSignalering dat een significant incident heeft plaatsgevonden
72 uurIncidentmelding met beoordelingErnst, impact, indicatoren van compromittering
1 maandEindrapportOorzaakanalyse, impact, mitigatiemaatregelen

⚠️ Persoonlijke aansprakelijkheid op bestuursniveau

Artikel 20 vereist dat bestuursorganen cyberbeveiligingsmaatregelen goedkeuren, training volgen en persoonlijke verantwoordelijkheid dragen. Onder het Duitse NIS2UmsuCG riskeren bestuurders persoonlijke boetes en mogelijke tijdelijke schorsing van bestuursfuncties. Deze aansprakelijkheid kan niet volledig worden gedelegeerd.


NIS2-boetes en handhaving

€10M
Boete essentiële entiteit
2%
van wereldwijde omzet
€7M
Boete belangrijke entiteit
1,4%
van wereldwijde omzet

Naast boetes kunnen autoriteiten bindende instructies uitvaardigen, stopzetting van activiteiten bevelen, openbare bekendmaking van niet-naleving eisen, certificeringen opschorten en — voor essentiële entiteiten — verantwoordelijke personen tijdelijk verbieden bestuursfuncties uit te oefenen.

⚠️ AVG-niveau boetes voor cyberbeveiliging

Voor een bedrijf met €1 miljard omzet bedraagt de maximale boete voor essentiële entiteiten €20 miljoen. D&O-verzekeringspolissen moeten worden gecontroleerd op dekkingshiaten — persoonlijke aansprakelijkheid kan niet volledig worden verzekerd.


NIS2-tijdlijn: Kritieke data

DatumMijlpaal
27 dec. 2022NIS2 gepubliceerd in het Publicatieblad van de EU
16 jan. 2023NIS2 treedt in werking
17 okt. 2024Omzettingsdeadline voor alle lidstaten
5 dec. 2025Duitsland: NIS2UmsuCG treedt in werking
6 mrt. 2026Duitsland: BSI-registratiedeadline
17 okt. 2027Europese Commissie evalueert werking NIS2

BSI-deadline nadert

De registratie in maart 2026 is nog maar enkele weken weg. Identificeer compliancehiaten voordat u zich registreert.

Start gratis NIS2-scan →

NIS2-compliance stap voor stap

10-stappen compliance-routekaart

ℹ️ ISO 27001 ≠ NIS2-compliance

ISO 27001 biedt een sterke basis, maar NIS2 voegt specifieke eisen toe: verplichte incidentmeldingstermijnen (24u/72u/1 maand), persoonlijke aansprakelijkheid voor het bestuur en gedetailleerde toeleveringsketenbeveiligingsverplichtingen. Certificering alleen garandeert geen compliance.


Hoe KENSAI NIS2-compliance automatiseert

Geautomatiseerde aanvalsoppervlakontdekking

KENSAI scant continu uw externe aanvalsoppervlak — domeinen, subdomeinen, IP's, clouddiensten, blootgestelde API's — en brengt assets in kaart tegen uw NIS2-scope. Realtime inventarisatie van wat u moet beschermen.

CVE-gebaseerde kwetsbaarheidsmapping

Met 332.000+ CVE's identificeert KENSAI bekende kwetsbaarheden en correleert deze met NIS2-vereisten. Elke bevinding wordt geprioriteerd op basis van CVSS-score, NIS2-relevantie en urgentie van herstel op basis van dreigingsinformatie.

NIS2 compliance gap-analyse

AI brengt uw beveiligingshouding in kaart tegen alle vereisten van Artikel 21: compliancescore, gap-rapport, geprioriteerd herstel en bewijsdocumentatie geschikt voor toezichthouders en auditors.

Zichtbaarheid van toeleveringsketenrisico's

Scan de externe infrastructuur van leveranciers om blootgestelde diensten, kwetsbaarheden, certificaatproblemen, DNS-misconfiguraties en datalekgeschiedenis te identificeren — de toeleveringsketenzichtbaarheid die NIS2 vereist.

Prijzen voor NIS2-compliance

Starter: €990/maand — Middelgrote ondernemingen die binnen de NIS2-scope vallen. Professional: €1.490/maand — Complexe infrastructuur en toeleveringsketens. Enterprise: €2.490/maand — Volledige compliance-automatisering met toegewijde ondersteuning.


Veelgestelde vragen: NIS2-compliance

Wat is de NIS2-richtlijn?

De bijgewerkte cyberbeveiligingsverordening van de EU (Richtlijn (EU) 2022/2555) die de oorspronkelijke NIS-richtlijn vervangt. Ze stelt verplichte risicobeheersmaatregelen, incidentmelding en toeleveringsketenbeveiligingseisen vast voor 18 kritieke sectoren.

Wie moet eraan voldoen?

Organisaties in 18 aangewezen sectoren die voldoen aan de drempel voor middelgrote ondernemingen (50+ werknemers of €10M+ omzet) of grote ondernemingen (250+ werknemers of €50M+ omzet). Bepaalde entiteiten zoals DNS-aanbieders en telecombedrijven vallen ongeacht hun omvang onder de richtlijn.

Wat zijn de boetes?

Essentiële entiteiten: tot €10M of 2% van de wereldwijde omzet. Belangrijke entiteiten: tot €7M of 1,4% van de wereldwijde omzet. Plus bindende instructies, openbare bekendmaking, opschorting van certificeringen en persoonlijke aansprakelijkheid van het bestuur.

Wat zijn de vereisten voor incidentmelding?

Drie fasen: vroegtijdige waarschuwing binnen 24 uur, incidentmelding binnen 72 uur, eindrapport binnen 1 maand.

Hoe beïnvloedt NIS2 bestuursleden?

Artikel 20 vereist dat besturen cyberbeveiligingsmaatregelen goedkeuren, training volgen en persoonlijke verantwoordelijkheid dragen. Onder de Duitse wet riskeren bestuurders persoonlijke boetes en mogelijke tijdelijke schorsing.

Geldt NIS2 voor kleine bedrijven?

Over het algemeen niet (onder 50 werknemers / €10M omzet zijn uitgesloten). Uitzonderingen bestaan voor vertrouwensdienstverleners, TLD-registers, DNS-aanbieders en telecombedrijven.

Hoe verhoudt NIS2 zich tot ISO 27001?

Er is aanzienlijke overlap, maar NIS2 voegt verplichte incidentmeldingstermijnen, persoonlijke aansprakelijkheid van het bestuur en gedetailleerde toeleveringsketeneisen toe. ISO 27001-certificering alleen garandeert geen NIS2-compliance.

Hoe werkt NIS2 samen met AVG en DORA?

NIS2 richt zich op netwerk-/systeembeveiliging; AVG op bescherming van persoonsgegevens — beide kunnen van toepassing zijn bij een cyberincident. DORA heeft voorrang voor financiële entiteiten op grond van het lex specialis-beginsel.


Deze gids dient ter informatie en vormt geen juridisch advies. Raadpleeg gekwalificeerde juridische en cyberbeveiligingsprofessionals voor uw specifieke NIS2-verplichtingen.

Begin uw NIS2-compliancetraject

Zie uw compliancehiaten in enkele minuten. AI-gestuurde scanning met ingebouwde NIS2-, AVG- en DORA-mapping.

Start gratis scan →

Beveiliging is niet optioneel.

🗡️ Het KENSAI Team

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home