Alles wat u moet weten over de NIS2-richtlijn: op wie het van toepassing is, vereisten, boetes tot €10M, deadlines en hoe u uw organisatie voorbereidt op compliance.
De NIS2-richtlijn (Richtlijn (EU) 2022/2555) vertegenwoordigt de meest ingrijpende herziening van de EU-cyberbeveiligingsregelgeving in tien jaar. Als uw organisatie actief is in Europa, zal deze wetgeving fundamenteel veranderen hoe u cyberbeveiliging benadert — en de boetes voor niet-naleving zijn aanzienlijk.
Deze gids behandelt alles wat u moet weten: wat NIS2 is, op wie het van toepassing is, de specifieke vereisten, deadlines, boetes en een duidelijk routekaart om compliance te bereiken.
De NIS2-richtlijn is het bijgewerkte kader van de Europese Unie om een hoog gemeenschappelijk niveau van cyberbeveiliging in alle lidstaten te waarborgen. Ze vervangt de oorspronkelijke NIS-richtlijn (2016/1148), die breed werd bekritiseerd vanwege inconsistente implementatie en een te beperkte reikwijdte voor het huidige dreigingslandschap.
Aangenomen door het Europees Parlement op 28 november 2022, breidt NIS2 het aantal organisaties dat onder verplichte cyberbeveiligingsverplichtingen valt drastisch uit. De Europese Commissie schatte dat de oorspronkelijke NIS-richtlijn ongeveer 15.000 entiteiten in de EU dekte. Onder NIS2 springt dat aantal naar meer dan 160.000 organisaties — een vertienvoudiging.
De oorspronkelijke NIS-richtlijn liet te veel hiaten:
NIS2 pakt al deze tekortkomingen aan met geharmoniseerde vereisten, uitgebreide reikwijdte en handhavingsmechanismen met echte slagkracht.
NIS2 gebruikt een omvangdrempelregel in combinatie met sectorgebaseerde classificatie. Organisaties worden gecategoriseerd als essentiële entiteiten of belangrijke entiteiten.
Deze sectoren worden als vitaal beschouwd voor het functioneren van de samenleving en de economie:
NIS2 is van toepassing op organisaties in bovengenoemde sectoren die voldoen aan ten minste één van deze drempels:
Belangrijke uitzonderingen: Bepaalde entiteiten vallen ongeacht hun omvang onder de richtlijn, waaronder: - DNS-dienstverleners - TLD-naamregisters - Aanbieders van openbare elektronische communicatienetwerken - Vertrouwensdienstverleners - Enige aanbieders van een dienst in een lidstaat die essentieel is voor maatschappelijke/economische activiteiten
Zelfs als uw organisatie niet rechtstreeks onder NIS2 valt, kunt u worden beïnvloed via toeleveringsketenvereisten. Essentiële en belangrijke entiteiten moeten cyberbeveiligingsrisicobeheersmaatregelen voor hun toeleveringsketens implementeren, wat betekent dat zij compliancevereisten doorschuiven naar leveranciers en partners.
NIS2 Artikel 21 beschrijft tien minimale cyberbeveiligingsrisicobeheersmaatregelen die alle gedekte entiteiten moeten implementeren:
Stel uitgebreid beleid op voor risicoanalyse en beveiliging van informatiesystemen. Dit omvat regelmatige risicobeoordelingen, gedocumenteerd beveiligingsbeleid en een governancekader voor cyberbeveiliging.
Implementeer procedures voor het voorkomen, detecteren en reageren op cyberbeveiligingsincidenten. Dit omvat: - Incidentresponsplannen - Incidentdetectiecapaciteiten - Communicatieprocedures tijdens incidenten
Waarborg operationele veerkracht door middel van: - Back-upbeheer - Rampenherstelplannen - Crisisbeheerprocedures - Regelmatig testen van continuïteitsplannen
Pak beveiligingsrisico's aan in relaties met directe leveranciers en dienstverleners. Voer due diligence uit op cyberbeveiligingspraktijken van leveranciers en neem beveiligingseisen op in contracten.
Implementeer beveiligingsmaatregelen voor de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, inclusief kwetsbaarhedenafhandeling en -openbaarmaking.
Stel beleid en procedures op om de effectiviteit van cyberbeveiligingsrisicobeheersmaatregelen te beoordelen. Regelmatige audits en beoordelingen zijn vereist.
Implementeer cyberhygiënepraktijken en bied regelmatige cyberbeveiligingsbewustzijnstraining voor alle medewerkers, inclusief het management.
Stel beleid en procedures op met betrekking tot het gebruik van cryptografie en, waar passend, versleuteling om gegevens te beschermen tijdens transport en opslag.
Implementeer passend beleid voor toegangscontrole, procedures voor assetbeheer en multi-factorauthenticatie of continue authenticatieoplossingen.
Gebruik beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de organisatie.
NIS2 introduceert een meerfasige incidentmeldingsverplichting die aanzienlijk zwaarder is dan de voorganger:
| Fase | Deadline | Vereiste |
|---|---|---|
| Vroegtijdige waarschuwing | Binnen 24 uur | Meld het CSIRT of de bevoegde autoriteit over een significant incident |
| Incidentmelding | Binnen 72 uur | Geef een eerste beoordeling inclusief ernst, impact en indicatoren van compromittering |
| Tussentijds rapport | Op verzoek | Statusupdate over het incident en responsmaatregelen |
| Eindrapport | Binnen 1 maand | Gedetailleerde beschrijving, oorzaak, mitigatiemaatregelen en grensoverschrijdende impact |
Een significant incident wordt gedefinieerd als een incident dat: - Ernstige operationele verstoring of financieel verlies heeft veroorzaakt of kan veroorzaken - Andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken
De handhavingsbepalingen van NIS2 vormen een grote stap vooruit ten opzichte van de oorspronkelijke richtlijn:
Een van de meest ingrijpende bepalingen van NIS2 is Artikel 20, dat vereist dat: - Bestuursorganen cyberbeveiligingsrisicobeheersmaatregelen goedkeuren - Bestuursorganen toezicht houden op de implementatie van deze maatregelen - Leden van bestuursorganen training volgen in cyberbeveiliging - Het bestuur persoonlijk aansprakelijk kan worden gesteld voor overtredingen
Dit betekent dat cyberbeveiliging niet langer volledig aan de IT-afdeling kan worden gedelegeerd. Bestuursleden en C-level bestuurders dragen directe verantwoordelijkheid.
De richtlijn is in werking getreden op 16 januari 2023 en lidstaten waren verplicht deze vóór 17 oktober 2024 in nationaal recht om te zetten.
Duitsland — Het NIS2-Umsetzungsgesetz (NIS2UmsuCG) was vertraagd maar is naar verwachting van kracht geworden in 2025. Het treft naar schatting 29.000 organisaties in Duitsland alleen — een stijging van ruwweg 2.000 onder de oorspronkelijke KRITIS-regulering. De Duitse implementatie gaat op meerdere gebieden verder dan de minimumvereisten van de richtlijn.
Oostenrijk — Het NISG 2024 (Netz- und Informationssystemsicherheitsgesetz) bevindt zich in een gevorderd stadium. Oostenrijk zal naar verwachting circa 4.000 organisaties dekken.
Zwitserland — Hoewel geen EU-lid, stemt Zwitserland zijn cyberbeveiligingskader af op NIS2-principes. De herziene Informationssicherheitsgesetz (ISG) bevat vergelijkbare eisen, en Zwitserse bedrijven die zakendoen in de EU moeten rechtstreeks aan NIS2 voldoen.
Frankrijk — Frankrijk heeft de richtlijn grotendeels op tijd omgezet, voortbouwend op het reeds robuuste ANSSI-kader.
Nederland — De Wet beveiliging netwerk- en informatiesystemen 2 (Wbni 2) wordt afgerond en breidt de dekking uit naar circa 10.000 Nederlandse organisaties.
Gebruik de bovenstaande sectorlijsten en omvangdrempels om te beoordelen of uw organisatie kwalificeert als essentiële of belangrijke entiteit. Vergeet niet de toeleveringsketenverplichtingen mee te nemen — zelfs als u niet rechtstreeks binnen de scope valt, kunnen uw klanten NIS2-afgestemde beveiligingspraktijken vereisen.
Vergelijk uw huidige cyberbeveiligingshouding met de tien minimale maatregelen in Artikel 21. Identificeer hiaten in: - Risicobeheerprocessen - Incidentdetectie- en responsecapaciteiten - Bedrijfscontinuïteitsplanning - Toeleveringsketenbeveiligingspraktijken - Medewerkersopleidingen en bewustwording
U kunt niet beschermen wat u niet kent. Voer een grondige beoordeling uit van uw externe aanvalsoppervlak, waaronder: - Webapplicaties en API's - Clouddiensten en -infrastructuur - Integraties met derden - Legacy-systemen met internetverbinding
KENSAI biedt geautomatiseerde, AI-gestuurde aanvalsoppervlakscanning die uw volledige externe voetafdruk in kaart brengt en kwetsbaarheden identificeert voordat aanvallers dat doen. In tegenstelling tot traditionele momentopnamebeoordelingen levert KENSAI continue scanning die aansluit bij de NIS2-eis voor doorlopend risicobeheer.
Op basis van uw gap-analyse, implementeer de noodzakelijke technische maatregelen: - Netwerksegmentatie en monitoring - Endpoint detection and response (EDR) - Multi-factorauthenticatie - Versleuteling voor gegevens in transit en opslag - Kwetsbaarheidsbeheer met regelmatige scanning - Webapplicatiefirewalls en API-beveiliging
NIS2 vereist gedocumenteerd beleid en procedures. U heeft minimaal nodig: - Informatiebeveiligingsbeleid - Risicobeoordelingsmethodologie en -rapporten - Incidentresponsplan - Bedrijfscontinuïteits- en rampenherstelplannen - Toeleveringsketenbeveiligingsbeleid - Trainingsregistraties
De 24-uurs vroegtijdige waarschuwingsvereiste betekent dat u nodig heeft: - 24/7 monitoringcapaciteiten (of uitbestede SOC-diensten) - Vooraf gedefinieerde incidentclassificatiecriteria - Communicatiesjablonen voor CSIRT-melding - Aangewezen incidentresponsteam met duidelijke rollen
NIS2 verplicht cyberbeveiligingstraining voor bestuursorganen en personeel. Implementeer: - Regelmatige beveiligingsbewustzijnstraining voor alle medewerkers - Specifieke training voor het bestuur over hun toezichtverantwoordelijkheden - Technische training voor IT- en beveiligingspersoneel - Phishing-simulaties en beveiligingsoefeningen
Beoordeel uw leveranciersrelaties en: - Beoordeel de cyberbeveiligingshouding van kritieke leveranciers - Neem beveiligingseisen op in inkoopprocessen en contracten - Stel informatie-uitwisselingsmechanismen in met belangrijke leveranciers - Monitor de beveiliging van leveranciers doorlopend
Een van de meest effectieve manieren om aan de continue risicobeheersvereisten van NIS2 te voldoen is door middel van geautomatiseerde beveiligingstests. De richtlijn vereist expliciet kwetsbaarhedenafhandeling en regelmatige beoordeling van cyberbeveiligingsmaatregelen — handmatige, jaarlijkse penetratietests zijn niet langer voldoende.
Het geautomatiseerde kwetsbaarheidsscanningplatform van KENSAI stelt organisaties in staat om:
Voor organisaties die zich voorbereiden op NIS2 is geautomatiseerde scanning niet optioneel — het is essentieel om de "passende en evenredige" technische maatregelen aan te tonen die de richtlijn vereist.
Ja. Als uw organisatie diensten verleent binnen de EU of aan EU-gevestigde entiteiten in gedekte sectoren, is NIS2 van toepassing. Niet-EU-bedrijven moeten een vertegenwoordiger in de EU aanwijzen.
NIS2 en AVG zijn complementair. AVG richt zich op bescherming van persoonsgegevens; NIS2 richt zich op cyberbeveiliging van netwerk- en informatiesystemen. Een datalek kan verplichtingen onder beide verordeningen oproepen. NIS2 specificeert zelfs dat AVG-boetes in overweging moeten worden genomen bij het beoordelen van NIS2-sancties.
ISO 27001 biedt een sterke basis, maar betekent niet automatisch NIS2-compliance. NIS2 heeft specifieke eisen (zoals de 24-uurs incidentmelding) die verder gaan dan ISO 27001. Organisaties met ISO 27001-certificering zullen de overgang echter aanzienlijk eenvoudiger vinden.
Zelfs als de nationale omzetting vertraagd is, zijn de vereisten van de richtlijn duidelijk. Organisaties moeten nu beginnen met voorbereiden. Zodra de nationale wet van kracht wordt, kan handhaving onmiddellijk beginnen — er is mogelijk geen overgangsperiode.
NIS2 bevat een lex specialis-bepaling: wanneer sectorspecifieke EU-wetgeving cyberbeveiligingseisen oplegt die ten minste gelijkwaardig zijn aan NIS2, hebben de sectorspecifieke regels voorrang. Voorbeelden zijn DORA voor de financiële sector.
NIS2 is geen ver verwijderd regelgevingsrisico — het is er, en de handhaving wordt in heel Europa opgevoerd. Organisaties die de voorbereiding uitstellen riskeren niet alleen boetes maar ook de reputatie- en operationele schade die gepaard gaat met ontoereikende cyberbeveiliging.
De eisen van de richtlijn zijn uitgebreid maar haalbaar, vooral met de juiste tools en aanpak. Begin met het begrijpen van uw scope, beoordeel uw hiaten en implementeer systematische, continue beveiligingsmaatregelen.
Wacht niet tot de handhavingsacties beginnen. Het AI-gestuurde beveiligingsplatform van KENSAI helpt u kwetsbaarheden te identificeren, uw aanvalsoppervlak te beoordelen en de continue beveiligingsmonitoring aan te tonen die NIS2 vereist.
👉 Krijg uw gratis beveiligingsscan op kensai.app/free-scan — zie uw blootstelling in minuten, niet maanden.
Scan uw infrastructuur op kwetsbaarheden in enkele minuten — geen creditcard vereist.
Start gratis scan →Gepubliceerd door KENSAI Beveiligingsonderzoek — AI-gestuurd cyberbeveiligingsplatform
Get a free security scan of your website in 60 seconds
Free Security Scan →