Wat houdt de NIS2-richtlijn in?

Stel je voor: jouw bedrijf wordt getroffen door een cyberaanval. Binnen 24 uur moet je dat melden. Ben je daar klaar voor? Veel organisaties nog niet. Daarom komt er strengere wetgeving: de NIS2-richtlijn.

De Europese Unie wil dat vitale en belangrijke sectoren beter zijn beschermd. Daarom gelden de nieuwe regels voor veel meer organisaties dan je denkt. Ook bedrijven die eerder buiten schot bleven, vallen nu onder de NIS2-richtlijn.

In deze blog lees je wat de NIS2-richtlijn precies is, of hij voor jouw organisatie geldt, en wat je nu al moet doen om boetes en reputatieschade te voorkomen.

Geldt NIS2 ook voor jouw organisatie?

NIS2 geldt op basis van sector en omvang. Val je als middelgrote of grote onderneming in een aangewezen sector, dan val je direct in scope. Kleinere organisaties kunnen toch worden aangewezen als hun diensten een hoge maatschappelijke impact hebben.

Lever je aan een organisatie die onder NIS2 valt? Dat maakt je niet automatisch NIS2-plichtig. Je valt alleen rechtstreeks onder NIS2 als je zelf in een aangewezen sector zit of door de overheid bent aangewezen vanwege ketenafhankelijkheid. In de praktijk leggen klanten dan wel contractueel eisen op die aansluiten bij NIS2, zoals risicobeheer, continuïteit en incidentmelding.

Checklist – Val jij onder de NIS2-richtlijn?

Loop deze vragen langs:

• Werk je in een sector als zorg, energie, vervoer, digitale infrastructuur, voedselproductie, drinkwatervoorziening of afvalwaterverwerking?
• Levert jouw organisatie ICT-diensten zoals cloudhosting, domeinnamen of datacenters?
• Heb je meer dan 50 medewerkers of een jaaromzet vanaf 10 miljoen euro?
• Zou uitval van jouw diensten maatschappelijke schade kunnen veroorzaken?

Beantwoord je één of meer vragen met “ja”? Dan is de kans groot dat jouw organisatie onder de NIS2-richtlijn valt.

Twijfel je nog? Op de website van de Rijksinspectie Digitale Infrastructuur (RDI) staat een korte vragenlijst die je helpt bepalen of NIS2 voor jou geldt. Je vindt die test op: rdi.nl/nis2

Wat moet je doen? De 5 verplichtingen uitgelegd

1. Zorgplicht – neem passende beveiligingsmaatregelen

   Je moet kunnen laten zien dat je je digitale processen beschermt. In de praktijk betekent dat dat je risico’s uitzoekt, toegang strak houdt, back-ups klaar hebt staan en software niet laat verouderen. Je wilt ook een seintje krijgen als er ineens veel mislukte logins zijn.

   Welke extra maatregelen nodig zijn, hangt af van wat je doet, hoeveel er op het spel staat en van de partijen waar je mee samenwerkt. Werk je met leveranciers of IT-dienstverleners, dan kijk je óók naar hun beveiliging – de gegevens blijven tenslotte van jou.

   Voorbeeld: Een organisatie in de zorg moet systemen voor patiëntgegevens beveiligen met tweefactorauthenticatie, netwerkverkeer monitoren op afwijkingen en regelmatig testen op kwetsbaarheden.

2. Meldplicht – rapporteer ernstige incidenten binnen 24 uur

   Bij een ernstig cyberincident moet je binnen 24 uur melding doen bij het Nationaal Cyber Security Centrum (NCSC) of het CSIRT. Binnen 72 uur moet je aanvullende informatie aanleveren over het incident, de impact en de genomen maatregelen.

   Voorbeeld: Na een ransomware-aanval meldt een leverancier van cloudopslag het incident bij het CSIRT en informeert ook zijn klanten.

3. Registratieplicht – meld je organisatie bij de toezichthouder

   Organisaties die onder de NIS2-richtlijn vallen, moeten zich registreren bij de toezichthouder. In Nederland is dat de Rijksinspectie Digitale Infrastructuur (RDI). Deze registratie is verplicht en geldt ook voor buitenlandse organisaties die in Nederland digitale diensten leveren.

   Voorbeeld: Een Duitse cloudprovider levert opslagdiensten aan Nederlandse ziekenhuizen. Omdat dit onder digitale infrastructuur valt én de dienstverlening in Nederland plaatsvindt, moet het bedrijf zich registreren bij de RDI.

4. Toezicht – bereid je voor op controle en audits

   De toezichthouder mag controleren of je aan de NIS2-verplichtingen voldoet. Denk aan een audit, een inspectie of een verzoek om informatie. Je moet kunnen aantonen dat je beleid hebt, risico’s beheerst en incidenten afhandelt volgens een vastgestelde procedure.

   Voorbeeld: Een digitaal platform moet kunnen laten zien hoe het kwetsbaarheden opspoort, wie waarvoor verantwoordelijk is, en hoe incidenten worden opgevolgd.

5. Aansprakelijkheid bestuur – bestuurders zijn verantwoordelijk voor naleving

   Bestuurders zijn verplicht om digitale risico’s serieus te nemen en passende maatregelen te laten uitvoeren. Ze moeten begrijpen welke risico’s er spelen binnen hun organisatie en aantoonbaar sturen op cybersecuritybeleid.

   Doen ze dat niet, dan kunnen ze bij een ernstig incident persoonlijk aansprakelijk worden gesteld. Bijvoorbeeld als ze nalaten om regelmatig updates te laten installeren, geen back-upbeleid hebben of bekende kwetsbaarheden niet laten oplossen.

   Voorbeeld: Een bestuurder negeert herhaalde waarschuwingen van de IT-afdeling over verouderde software. Na een datalek blijkt dat er jarenlang geen updates zijn uitgevoerd. In zo’n geval kan de toezichthouder het bedrijf een boete opleggen. Daarnaast kan het bestuur persoonlijk aansprakelijk worden gesteld voor de schade, zeker als blijkt dat risico’s bewust zijn genegeerd.

10 praktische stappen om vandaag al te starten

De NIS2-richtlijn gaat waarschijnlijk in 2025 of 2026 in. Maar wachten is geen optie. De meeste verplichtingen vragen tijd, voorbereiding én betrokkenheid van het bestuur. Met deze tien stappen kun je vandaag al beginnen.

1. Breng je digitale processen en systemen in kaart
   Inventariseer welke systemen essentieel zijn. Denk aan klantportalen, e-mailsystemen, cloudopslag of leverancierssystemen.
2. Voer een risicoanalyse uit
   Breng bedreigingen in beeld, zoals datalekken, ransomware of systeemuitval. Bepaal wat de gevolgen zijn bij uitval.
3. Check je leveranciers en toeleveranciers
   Vraag of zij voldoen aan minimale beveiligingseisen. Leg afspraken over beveiliging en incidentmelding vast in contracten.
4. Stel een intern beveiligingsbeleid op
   Beschrijf welke maatregelen worden genomen, wie verantwoordelijk is, en hoe vaak beleid wordt bijgewerkt.
5. Richt een meldprocedure in voor incidenten
   Leg vast wie een incident moet melden, waar, en binnen welk tijdsbestek.
6. Maak back-ups en test of ze werken
   Maak regelmatig versleutelde back-ups en test of je ze daadwerkelijk kunt herstellen.
7. Train je personeel en bestuur
   Leer medewerkers phishing herkennen. Bestuurders moeten begrijpen wat hun rol is onder NIS2.
8. Implementeer technische basismaatregelen
   Gebruik tweefactorauthenticatie, versleuteling en automatische updates. Monitor op verdachte activiteiten.
9. Documenteer alles
   Houd bij wat je doet. Bij toezicht of audit moet je laten zien hoe je risico’s beheerst.
10. Volg de ontwikkelingen rondom de wetgeving
    De Nederlandse uitwerking van NIS2 heet de Cyberbeveiligingswet. Blijf op de hoogte via RDI of NCSC.

Specifieke aandacht per sector

De NIS2-richtlijn geldt niet voor iedereen op dezelfde manier. Per sector verschillen de risico’s, verplichtingen en mate van toezicht. Hieronder zie je wat NIS2 betekent voor een aantal belangrijke sectoren.

• Overheid
  Overheidsorganisaties moeten hun digitale processen goed beveiligen. Denk aan gemeentelijke IT-systemen, digitale loketten of gegevensuitwisseling.
  Belangrijk: ook leveranciers of samenwerkingsverbanden kunnen onder NIS2 vallen.
• Zorg
  Zorginstellingen beheren gevoelige en cruciale gegevens. Patiëntendossiers, laboratoriumsystemen en medicijndistributie moeten goed beschermd zijn.
  Let op: NIS2 komt bovenop bestaande normen zoals NEN 7510 en de AVG.
• Digitale infrastructuur
  Aanbieders van clouddiensten, datacenters, domeinnamen of internetknooppunten vallen expliciet onder NIS2.
  Voorbeeld: ook buitenlandse partijen die in Nederland diensten leveren vallen onder toezicht.
• Voedselvoorziening
  Grote voedselproducenten of logistieke schakels vallen onder NIS2 als hun uitval maatschappelijke schade veroorzaakt.
  Opmerking: kleine boerenbedrijven vallen meestal buiten de wet.
• MKB in de keten
  Veel MKB’ers vallen niet direct onder NIS2, maar leveren wél aan organisaties die dat doen.
  Voorbeeld: Denk aan IT-dienstverleners of installatiebedrijven die werken voor zorginstellingen of overheden.

Wat is de status van de wet in Nederland?

NIS2 geldt in de EU sinds 16 januari 2023. Lidstaten hadden tot 17 oktober 2024 om dit in hun eigen wet te zetten. In Nederland gebeurt dat met de Cyberbeveiligingswet: de concepttekst ligt er, het proces loopt nog. De invoering volgt op z’n vroegst in 2025, mogelijk later.

Toch is het verstandig om niet te wachten. Veel verplichtingen vergen voorbereidingstijd: denk aan risicoanalyses, leveranciersbeoordeling en het trainen van bestuur en personeel. De toezichthouders verwachten dat organisaties nu al beginnen met de voorbereidingen.

Belangrijk: Bij een incident vóór de officiële ingangsdatum kan de overheid alsnog vragen om uitleg over je beveiligingsbeleid. Je bent dus niet ‘veilig’ zolang de wet formeel nog niet geldt.

Veelgemaakte fouten (en hoe jij ze voorkomt)

Bij de voorbereiding op de NIS2-richtlijn maken organisaties vaak dezelfde denkfouten. Sommige zijn gebaseerd op misverstanden over wetgeving, andere op een overschatting van bestaande maatregelen.

• “We zijn ISO 27001-gecertificeerd, dus we zijn klaar.”
  ISO 27001 is een goede basis, maar de NIS2-richtlijn vraagt meer. Zo ben je verplicht om ernstige incidenten te melden, bestuurders actief te betrekken én specifieke risico’s in je sector en keten mee te nemen. Certificering alleen is dus niet genoeg.
• “De IT-afdeling regelt dit wel.”
  NIS2 is niet alleen een IT-verhaal. Bestuurders zijn persoonlijk verantwoordelijk voor naleving. De organisatie moet op bestuurlijk niveau beleid vaststellen, toezicht houden en ingrijpen waar nodig.
• “We hebben nog tijd genoeg.”
  De wet geldt mogelijk pas vanaf 2025 of later, maar de voorbereiding kost maanden. Risicoanalyse, leverancierstoetsing, beleid schrijven en personeel trainen zijn trajecten die je niet last-minute kunt regelen.
• “We zijn een klein bedrijf, dus dit geldt niet voor ons.”
  Ook kleinere bedrijven kunnen onder de NIS2-richtlijn vallen, zeker als ze leveren aan organisaties die wél onder de wet vallen. Denk aan IT-dienstverleners, hostingpartijen of gespecialiseerde toeleveranciers.
• “We hebben een incident gehad, maar dat lossen we intern wel op.”
  Bij ernstige incidenten geldt een meldplicht. Niet melden kan leiden tot sancties. Bovendien moet je kunnen aantonen dat je incidenten professioneel afhandelt én leert van fouten.

Wat als je niks doet?

De NIS2-richtlijn is geen vrijblijvende set aanbevelingen. Het is harde wetgeving, met concrete verplichtingen en bijbehorende sancties. Niet naleven kan serieuze gevolgen hebben — voor je organisatie én voor het bestuur.

• Boetes: De richtlijn maakt hoge boetes mogelijk bij ernstige nalatigheid. Deze kunnen oplopen tot miljoenen euro’s, afhankelijk van de aard van het incident en de schade. In Nederland worden de exacte bedragen nog bepaald in de nationale wet.
• Reputatieschade: Een datalek of cyberaanval die publiek wordt, kan het vertrouwen van klanten, partners of burgers ernstig beschadigen. Meld je niet of te laat, dan schaadt dat ook je geloofwaardigheid.
• Aansprakelijkheid bestuur: Bestuurders kunnen persoonlijk verantwoordelijk worden gehouden bij grove nalatigheid. Denk aan het negeren van interne waarschuwingen, geen beveiligingsmaatregelen treffen of weigeren te investeren in digitale weerbaarheid.
• Toegenomen toezicht: Organisaties die hun zaken niet op orde hebben, komen onder verscherpt toezicht. Denk aan extra audits, verplichte rapportages of beperkingen op dienstverlening.

Goed om te weten: De toezichthouder kijkt bij een incident niet alleen naar wat er fout ging, maar vooral of je vooraf de juiste stappen hebt gezet.

Begin vandaag nog

De NIS2-richtlijn vraagt om actie, niet om afwachten. De gevolgen van nalatigheid zijn groot, maar de eerste stappen kun je eenvoudig zelf zetten. Begin met een risicoanalyse, beoordeel je leveranciers en stel een meldprocedure op.

Wil je zekerheid? Laat je beleid toetsen of plan een NIS2-scan. Zo weet je waar je staat.