Bijpraten Blogs Wat is de NIS2-richtlijn? Alles wat je moet weten

Wat is de NIS2-richtlijn? Alles wat je moet weten

De NIS2-richtlijn is de nieuwe Europese cybersecuritywet. En dat betekent strengere cybersecurity-eisen voor vele organisaties. In deze blog lees je wat NIS2 is, voor wie het geldt en wat je moet doen om compliant te zijn? Om ervoor te zorgen dat je niet voor verrassingen komt te staan, hebben wij de belangrijkste vragen over NIS2 voor je op een rijtje gezet. 

Auteur
RoelExclaimer

Roel Helleman

Commercieel Directeur

Leestijd

3 minuten

Diensten / categorie
Veilig werken
Publicatiedatum

17 juni 2025

1. Wat is de NIS2-richtlijn?

De NIS2-richtlijn is de nieuwe Europese wet voor cybersecurity. Die wet stelt strengere eisen aan organisaties in onder andere zorg, IT, energie en transport. Het doel? Organisaties beter beschermen tegen cyberdreigingen. De NIS2-richtlijn geldt voor meer sectoren, dus de kans is groot dat jouw bedrijf er ook onder valt. Als je binnen een essentiële sector werkt, heeft dit impact op jouw bedrijfsvoering. 

2. Wanneer gaat de NIS2-richtlijn in?

De eerder aangekondigde planning is aangepast: de wetsvoorstellen gaan niet in het derde kwartaal van 2025 in, zoals eerst de bedoeling was. De nieuwe streefdatum is nu het tweede kwartaal van 2026. Dan moeten zowel de Cyberbeveiligingswet als de Wet weerbaarheid kritieke entiteiten van kracht worden. Reden voor de vertraging: het implementatietraject is groot en behoorlijk complex door de Europese richtlijnen waarop de wetten zijn gebaseerd. Meer informatie over de inwerkingtreding van de Cyberbeveiligingswet lees je op NCTV.

Update: 17 juni 2025

3. Waarom is de NIS2-richtlijn er?

Cyberaanvallen zijn aan de orde van de dag. En ze raken steeds vaker essentiële diensten. Denk aan ziekenhuizen, energiebedrijven of internetproviders. De EU wil dat deze organisaties hun basisbeveiliging op orde hebben. Geen vrijblijvend advies dus, zoals ISO27001, maar verplichte regels. Dat is wat NIS2 is: een harde wet om digitale veiligheid op te schalen.

4. Voor wie geldt de NIS2-richtlijn?

Meer bedrijven dan je denkt vallen onder deze wet. NIS2 geldt voor twee groepen:

  • Zeer kritieke sectoren zoals energie, vervoer, gezondheidszorg en drinkwatervoorziening. 
  • Kritieke sectoren zoals postdiensten, digitale diensten, afvalbeheer en productie van medisch apparatuur.

Ook middelgrote bedrijven (vanaf 50 medewerkers of 10 miljoen omzet) binnen deze sectoren moeten aan de regels voldoen. 

Twijfel je of jouw organisatie onder NIS2 valt? Bekijk de flowchart of bekijk deze gedetailleerde sector overzichten: 

5. Wat moet je regelen om NIS2 compliant te zijn?

Als jouw organisatie onder NIS2 valt, gelden er drie hoofdverplichtingen:

  • Zorgplicht: je moet passende technische en organisatorische maatregelen nemen om je systemen te beveiligen.
  • Meldplicht: je bent verplicht om ernstige cyberincidenten binnen 24 uur te melden bij het CSIRT.
  • Bewijsplicht: jje moet kunnen aantonen dat je organisatie ‘in control’ is.

    6. Hoe bereid je je voor op NIS2?

    Start op tijd. Dit zijn de stappen die je nú al kunt zetten:

    • Voer een risicoanalyse uit: breng in kaart welke cyberrisico's je loopt en welke systemen kwetsbaar zijn.
    • Train je personeel: Phishing simulaties en security awareness trainingen maken medewerkers alerter.
    • Stel een incident responsplan op: zorg dat je weet wat je doet als het misgaat en iedereen dat weet.
    • Toon compliance aan met het NIS2 Quality Mark: dit keurmerk laat opdrachtgevers zien dat je cybersecurity serieus neemt. Hier een link naar hun webinars & documenten.

    Lees hier wat de Digitale Overheid hierover zegt!

    FAQ: meest gestelde vragen over NIS2

    Wat is de NIS2-richtlijn?

    De NIS2-richtlijn is een Europese wet die organisaties verplicht om hun cybersecurity op orde te hebben. De richtlijn vervangt de eerdere NIS-wet en geldt voor meer sectoren, met strengere regels. Het doel is om vitale diensten, zoals zorg, energie en IT beter te beschermen tegen cyberaanvallen.

    Wanneer treedt de NIS2-richtlijn in werking?

    De eerder aangekondigde planning is aangepast: de wetsvoorstellen gaan niet in het derde kwartaal van 2025 in, zoals eerst de bedoeling was. De nieuwe streefdatum is nu het tweede kwartaal van 2026. Dan moeten zowel de Cyberbeveiligingswet als de Wet weerbaarheid kritieke entiteiten van kracht worden.

    Voor welke bedrijven geldt de NIS2-richtlijn?

    De NIS2-richtlijn geldt voor organisaties in kritieke en zeer kritieke sectoren. Denk aan energie, gezondheidszorg, transport, financiële dienstverlening en digitale infrastructuur. Ook middelgrote bedrijven (vanaf 50 medewerkers of €10 miljoen omzet) binnen deze sectoren vallen onder de regels.

    Wat zijn de eisen van de NIS2-richtlijn?

    Bedrijven die onder NIS2 vallen, moeten:

    • Cyberrisico’s actief beheren (zorgplicht);

    • Ernstige incidenten binnen 24 uur melden (meldplicht);

    • Kunnen aantonen dat zij passende maatregelen hebben genomen (bewijsplicht).

    Wie niet voldoet, loopt risico op hoge boetes en reputatieschade.

    Hoe kun je je voorbereiden op NIS2-compliance?

    Je bereidt je voor door:

    • Een risicoanalyse te doen;

    • Personeel te trainen in cyberveiligheid;

    • Een incident responseplan op te stellen;

    • Je processen en systemen aan te passen aan de NIS2-eisen.

    Vroeg beginnen is slim, want implementatie kost tijd en afstemming.

    Wat is de NIS2 Quality Mark en waarom is het nuttig?

    Het NIS2 Quality Mark is een keurmerk dat laat zien dat je organisatie serieus werk maakt van cybersecurity en voldoet aan de eisen van opdrachtgevers. Met dit keurmerk toon je aan dat je voorbereid bent op NIS2 en vergroot je je betrouwbaarheid in aanbestedingen en samenwerkingen.

    Jouw organisatie beveiligen? Wij kunnen je helpen!

    Graag! Wie kan ik spreken?Stel jezelf eerst maar eens voorGeef me meer. Ik wil diensten zienOrganiseren jullie ook kennissessies?