Wat betekent de NIS2-richtlijn voor jouw organisatie?

De NIS2-richtlijn is Europese wetgeving die organisaties met een essentiële of belangrijke maatschappelijke rol verplicht om hun cyberweerbaarheid structureel te versterken. Met deze aangescherpte normen voor beveiliging, risicobeheer en incidentmelding wil de EU het digitale fundament van vitale sectoren beter beschermen.

Lees meer

Meer weten? Download het NIS2 Cheatsheet

Wil je precies weten of NIS2 op jouw organisatie van toepassing is, welke verplichtingen gelden en hoe je je nu kunt voorbereiden? Download onze NIS2 Cheat Sheet voor een overzichtelijke uitleg van alle regels, verplichtingen en tijdlijnen.

Nis2 cheatsheet

Wat is de NIS2-richtlijn?

NIS2 is de vernieuwde Europese richtlijn voor netwerk- en informatiesystemen. Het doel: de digitale weerbaarheid in de EU flink verhogen. De NIS2-richtlijn verplicht organisaties om strengere beveiligingsmaatregelen te nemen en sneller incidenten te melden. Daardoor raakt NIS2 veel meer sectoren en bedrijven dan de eerdere NIS-wetgeving.

Wie valt onder NIS2?

De richtlijn maakt onderscheid tussen essentiële en belangrijke entiteiten. Denk aan sectoren als energie, vervoer, gezondheidszorg, digitale infrastructuur, productie, chemie, onderzoek en meer. Niet alleen grote organisaties, maar ook middelgrote bedrijven kunnen onder NIS2 vallen.

Veel ondernemers vragen zich dus terecht af: Valt mijn bedrijf onder NIS2? De kans is groot dat het antwoord “ja” is, zeker wanneer je actief bent in een van de aangewezen kritieke of zeer kritieke sectoren.

Welke boetes gelden onder NIS2?

NIS2 kent stevige sancties:

Voor essentiële entiteiten: tot €10 miljoen of 2% van de jaaromzet
Voor belangrijke entiteiten: tot €7 miljoen of 1,4% van de jaaromzet

Wanneer gaat de NIS2- richtlijn in?

De Nederlandse Cyberbeveiligingswet, de implementatie van NIS2, wordt verwacht in Q3 2025, hoewel de overheid al heeft aangegeven de oorspronkelijke deadline niet te halen. Organisaties doen er verstandig aan nu al te beginnen met voorbereiden.

De belangrijkste verplichtingen uit NIS2

NIS2 introduceert drie hoofdverplichtingen en één aanvullende bestuurdersverplichting:

1. Registratieplicht

Organisaties moeten zich actief registreren bij de bevoegde autoriteit en o.a. KVK-gegevens en IP-adressen doorgeven.

2. Meldplicht bij incidenten

Bij een (mogelijk) significant cybersecurity-incident moet een organisatie snel handelen:

Binnen 24 uur melden
Binnen 72 uur eerste analyse
Binnen 1 maand een eindrapport met oorzaak en maatregelen

3. Zorgplicht: cybersecuritymaatregelen

Onder NIS2 wordt een breed pakket aan beveiligingsmaatregelen verplicht, waaronder:

Risicoanalyses
Incidentrespons
Beveiliging van de toeleveringsketen
Continuïteitsplannen
Cyberhygiëne en medewerkersopleiding
MFA en veilige communicatie
Cryptografiebeleid

Governance: verantwoordelijkheid van bestuurders

Bestuurders moeten actief betrokken zijn bij cyberbeveiliging, adequate kennis opdoen en kunnen zelfs persoonlijk aansprakelijk worden gesteld.

Meer over de NIS2-richtlijn

Security compliance | Blog | NIS2

NIS2 krijgt vorm: wat organisaties nu moeten weten over de nieuwe Cyberbeveiligingswet

Melanie van Leeuwen | 26 november 2025

Security compliance | Zorg & ICT | Blog | NIS2

NIS2: hoe een ISMS helpt om zorgplicht aantoonbaar te maken.

Gert-Jan Turnhout | 12 augustus 2025

Security compliance | Zorg & ICT | Blog | NIS2

NIS2 en de zorgplicht: Neem op tijd de hinderNIS

Koen Bulthuis | 22 mei 2025

Bekijk al onze artikelen

Bekijk het overzicht

Meer informatie ontvangen?

Laat een bericht achter via het formulier. Een van onze juridisch adviseurs neemt dan contact met je op.

Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.