De Duitse NIS2-omzettingswet is op 5 december 2025 in werking getreden. De BSI-registratiedeadlines komen eraan in maart 2026. Deze gids behandelt alles wat CISO's, IT-directeuren en compliance officers moeten weten: wie moet voldoen, wat de verplichtingen zijn, hoe de boetes eruitzien en hoe u een praktisch compliance-routekaart opbouwt.
De NIS2-richtlijn (Richtlijn (EU) 2022/2555) vervangt de oorspronkelijke NIS-richtlijn van 2016, die algemeen als onvoldoende in reikwijdte en handhaving werd beschouwd. Ze breidt de dekking drastisch uit van ~10.000 entiteiten onder NIS1 naar een geschatte 160.000+ entiteiten in de hele EU.
NIS2 is ontworpen om drie fundamentele zwaktes aan te pakken: inconsistente omzetting in de lidstaten, beperkte reikwijdte die slechts smalle sectoren dekte, en zwakke handhaving met boetes die te laag waren om verandering te bewerkstelligen.
In Duitsland is het NIS2UmsuCG (NIS2-implementatie- en cyberbeveiligingsversterkingswet) op 5 december 2025 in werking getreden. Het BSI is de aangewezen toezichthouder en de registratiedeadlines beginnen op 6 maart 2026.
NIS2 is overgestapt van een aanwijzingsgebaseerde benadering naar een omvangdrempelmechanisme. Organisaties vallen automatisch binnen de scope als ze voldoen aan sector- en omvangcriteria.
| Sector | Voorbeelden |
|---|---|
| Energie | Elektriciteit, olie, gas, waterstof, stadsverwarming |
| Vervoer | Luchtvaart, spoor, water, wegvervoer |
| Bankwezen | Kredietinstellingen |
| Financiële marktinfrastructuur | Handelsplatformen, centrale tegenpartijen |
| Gezondheidszorg | Ziekenhuizen, laboratoria, farmaceutica, medische hulpmiddelen |
| Drinkwater | Levering en distributie |
| Afvalwater | Inzameling, verwijdering, behandeling |
| Digitale infrastructuur | IXP's, DNS, TLD-registers, cloud, datacenters, CDN's |
| ICT-dienstenbeheer (B2B) | MSP's, MSSP's |
| Openbaar bestuur | Centrale overheidsinstanties |
| Ruimtevaart | Exploitanten van grondinfrastructuur |
| Sector | Voorbeelden |
|---|---|
| Post- en koeriersdiensten | Postdienstverleners |
| Afvalbeheer | Inzameling, transport, verwerking |
| Chemische productie | Productie, distributie |
| Voedselproductie | Verwerking, distributie (grootschalig) |
| Industrie | Medische hulpmiddelen, elektronica, machines, voertuigen |
| Digitale aanbieders | Marktplaatsen, zoekmachines, sociale netwerken |
| Onderzoek | Onderzoeksorganisaties met significante impact |
Bepaalde entiteiten vallen ongeacht hun omvang binnen de scope: gekwalificeerde vertrouwensdienstverleners, TLD-registers, DNS-aanbieders, telecommunicatieaanbieders, openbaar bestuur en enige aanbieders van essentiële diensten.
| Aspect | Essentiële entiteiten | Belangrijke entiteiten |
|---|---|---|
| Toezicht | Proactief (vooraf) | Reactief (achteraf) |
| Maximale boete | €10M of 2% van de wereldwijde omzet | €7M of 1,4% van de wereldwijde omzet |
| Audits | Regelmatig, verplicht | Bij bewijs van niet-naleving |
| Beveiligingseisen | Identiek | Identiek |
De beveiligingsverplichtingen zijn hetzelfde voor beide categorieën. Het verschil zit alleen in de intensiteit van toezicht en de boeteplafonds.
| Deadline | Vereiste | Doel |
|---|---|---|
| 24 uur | Vroegtijdige waarschuwing aan CSIRT | Signalering dat een significant incident heeft plaatsgevonden |
| 72 uur | Incidentmelding met beoordeling | Ernst, impact, indicatoren van compromittering |
| 1 maand | Eindrapport | Oorzaakanalyse, impact, mitigatiemaatregelen |
Artikel 20 vereist dat bestuursorganen cyberbeveiligingsmaatregelen goedkeuren, training volgen en persoonlijke verantwoordelijkheid dragen. Onder het Duitse NIS2UmsuCG riskeren bestuurders persoonlijke boetes en mogelijke tijdelijke schorsing van bestuursfuncties. Deze aansprakelijkheid kan niet volledig worden gedelegeerd.
Naast boetes kunnen autoriteiten bindende instructies uitvaardigen, stopzetting van activiteiten bevelen, openbare bekendmaking van niet-naleving eisen, certificeringen opschorten en — voor essentiële entiteiten — verantwoordelijke personen tijdelijk verbieden bestuursfuncties uit te oefenen.
Voor een bedrijf met €1 miljard omzet bedraagt de maximale boete voor essentiële entiteiten €20 miljoen. D&O-verzekeringspolissen moeten worden gecontroleerd op dekkingshiaten — persoonlijke aansprakelijkheid kan niet volledig worden verzekerd.
| Datum | Mijlpaal |
|---|---|
| 27 dec. 2022 | NIS2 gepubliceerd in het Publicatieblad van de EU |
| 16 jan. 2023 | NIS2 treedt in werking |
| 17 okt. 2024 | Omzettingsdeadline voor alle lidstaten |
| 5 dec. 2025 | Duitsland: NIS2UmsuCG treedt in werking |
| 6 mrt. 2026 | Duitsland: BSI-registratiedeadline |
| 17 okt. 2027 | Europese Commissie evalueert werking NIS2 |
De registratie in maart 2026 is nog maar enkele weken weg. Identificeer compliancehiaten voordat u zich registreert.
Start gratis NIS2-scan →ISO 27001 biedt een sterke basis, maar NIS2 voegt specifieke eisen toe: verplichte incidentmeldingstermijnen (24u/72u/1 maand), persoonlijke aansprakelijkheid voor het bestuur en gedetailleerde toeleveringsketenbeveiligingsverplichtingen. Certificering alleen garandeert geen compliance.
KENSAI scant continu uw externe aanvalsoppervlak — domeinen, subdomeinen, IP's, clouddiensten, blootgestelde API's — en brengt assets in kaart tegen uw NIS2-scope. Realtime inventarisatie van wat u moet beschermen.
Met 332.000+ CVE's identificeert KENSAI bekende kwetsbaarheden en correleert deze met NIS2-vereisten. Elke bevinding wordt geprioriteerd op basis van CVSS-score, NIS2-relevantie en urgentie van herstel op basis van dreigingsinformatie.
AI brengt uw beveiligingshouding in kaart tegen alle vereisten van Artikel 21: compliancescore, gap-rapport, geprioriteerd herstel en bewijsdocumentatie geschikt voor toezichthouders en auditors.
Scan de externe infrastructuur van leveranciers om blootgestelde diensten, kwetsbaarheden, certificaatproblemen, DNS-misconfiguraties en datalekgeschiedenis te identificeren — de toeleveringsketenzichtbaarheid die NIS2 vereist.
Starter: €990/maand — Middelgrote ondernemingen die binnen de NIS2-scope vallen. Professional: €1.490/maand — Complexe infrastructuur en toeleveringsketens. Enterprise: €2.490/maand — Volledige compliance-automatisering met toegewijde ondersteuning.
De bijgewerkte cyberbeveiligingsverordening van de EU (Richtlijn (EU) 2022/2555) die de oorspronkelijke NIS-richtlijn vervangt. Ze stelt verplichte risicobeheersmaatregelen, incidentmelding en toeleveringsketenbeveiligingseisen vast voor 18 kritieke sectoren.
Organisaties in 18 aangewezen sectoren die voldoen aan de drempel voor middelgrote ondernemingen (50+ werknemers of €10M+ omzet) of grote ondernemingen (250+ werknemers of €50M+ omzet). Bepaalde entiteiten zoals DNS-aanbieders en telecombedrijven vallen ongeacht hun omvang onder de richtlijn.
Essentiële entiteiten: tot €10M of 2% van de wereldwijde omzet. Belangrijke entiteiten: tot €7M of 1,4% van de wereldwijde omzet. Plus bindende instructies, openbare bekendmaking, opschorting van certificeringen en persoonlijke aansprakelijkheid van het bestuur.
Drie fasen: vroegtijdige waarschuwing binnen 24 uur, incidentmelding binnen 72 uur, eindrapport binnen 1 maand.
Artikel 20 vereist dat besturen cyberbeveiligingsmaatregelen goedkeuren, training volgen en persoonlijke verantwoordelijkheid dragen. Onder de Duitse wet riskeren bestuurders persoonlijke boetes en mogelijke tijdelijke schorsing.
Over het algemeen niet (onder 50 werknemers / €10M omzet zijn uitgesloten). Uitzonderingen bestaan voor vertrouwensdienstverleners, TLD-registers, DNS-aanbieders en telecombedrijven.
Er is aanzienlijke overlap, maar NIS2 voegt verplichte incidentmeldingstermijnen, persoonlijke aansprakelijkheid van het bestuur en gedetailleerde toeleveringsketeneisen toe. ISO 27001-certificering alleen garandeert geen NIS2-compliance.
NIS2 richt zich op netwerk-/systeembeveiliging; AVG op bescherming van persoonsgegevens — beide kunnen van toepassing zijn bij een cyberincident. DORA heeft voorrang voor financiële entiteiten op grond van het lex specialis-beginsel.
Deze gids dient ter informatie en vormt geen juridisch advies. Raadpleeg gekwalificeerde juridische en cyberbeveiligingsprofessionals voor uw specifieke NIS2-verplichtingen.
Zie uw compliancehiaten in enkele minuten. AI-gestuurde scanning met ingebouwde NIS2-, AVG- en DORA-mapping.
Start gratis scan →Beveiliging is niet optioneel.
🗡️ Het KENSAI Team
Get a free security scan of your website in 60 seconds
Free Security Scan →