Normen uitgelegd
Alle Categorieën
Laatst bijgewerkt: 18 februari 2026

NIS2 uitgelegd: de nieuwe cybersecurity wet

Je hebt er vast over gehoord: NIS2. Maar wat is het precies? En geldt het voor jouw organisatie? In dit artikel leggen we alles uit wat je moet weten.

Wat is NIS2?

NIS2 staat voor "Network and Information Security Directive 2". Het is een Europese wet (richtlijn) die regels stelt voor cybersecurity. De "2" betekent dat het een update is van de eerste NIS-richtlijn uit 2016.

In gewone taal: NIS2 verplicht bepaalde organisaties om hun digitale beveiliging goed te regelen en dit te kunnen bewijzen.

Waarom is NIS2 er gekomen?

De digitale wereld verandert snel. Cyberaanvallen worden steeds geavanceerder. Ransomware, phishing, DDoS-aanvallen - ze raken steeds meer organisaties. De eerste NIS-richtlijn bleek niet streng genoeg. Daarom kwam de Europese Unie met NIS2.

Wie valt er onder NIS2?

NIS2 geldt voor twee categorieën organisaties:

Essentiële entiteiten

Dit zijn organisaties die heel belangrijk zijn voor de samenleving:

  • Energiebedrijven (elektriciteit, gas, olie)
  • Vervoersbedrijven (treinen, vliegtuigen, schepen)
  • Banken en financiële instellingen
  • Ziekenhuizen en grote zorginstellingen
  • Drinkwaterbedrijven
  • Digitale infrastructuur (datacenters, internetproviders)

Belangrijke entiteiten

Dit zijn organisaties die ook belangrijk zijn, maar net iets minder kritiek:

  • Post- en koeriersdiensten
  • Afvalverwerkers
  • Voedselproducenten
  • Chemische bedrijven
  • Productiebedrijven
  • Digitale dienstverleners

Let op: De grootte van je organisatie speelt ook mee. Kleine bedrijven (minder dan 50 medewerkers) vallen vaak niet onder NIS2.

Wat moet je doen voor NIS2?

De wet stelt een aantal concrete eisen:

1. Risicobeheer

Je moet een risicobeoordeling maken. Welke digitale risico's loop je? En hoe ga je die aanpakken?

2. Beveiligingsmaatregelen

Je moet passende maatregelen nemen. Denk aan:

  • Goede wachtwoorden en tweefactorauthenticatie
  • Updates en patches tijdig installeren
  • Backups maken
  • Toegang beperken tot wie het nodig heeft

3. Incidenten melden

Als er een ernstig cyberincident plaatsvindt, moet je dit binnen 24 uur melden bij de toezichthouder.

4. Supply chain security

Je moet ook kijken naar je leveranciers. Zijn zij veilig? Want als zij gehackt worden, kun jij ook slachtoffer worden.

5. Bestuurlijke verantwoordelijkheid

De directie of het bestuur moet aantoonbaar betrokken zijn bij cybersecurity. Ze moeten trainingen volgen en kunnen worden aangesproken bij problemen.

Wat zijn de straffen?

Als je niet voldoet aan NIS2, kunnen er boetes worden opgelegd:

  • Essentiële entiteiten: tot 10 miljoen euro of 2% van de jaaromzet
  • Belangrijke entiteiten: tot 7 miljoen euro of 1,4% van de jaaromzet

Bovendien kunnen bestuurders persoonlijk aansprakelijk worden gesteld.

Wanneer gaat NIS2 in?

NIS2 is al van kracht sinds oktober 2024. Organisaties hadden tot die datum om te voldoen aan de eisen. Als je nog niet begonnen bent, is het dus hoog tijd!

Hoe helpt ComplyGuide?

ComplyGuide bevat alle NIS2-eisen vertaald naar concrete taken. Je kunt:

  • Zien welke maatregelen je moet nemen
  • Taken toewijzen aan collega's
  • Bewijs verzamelen voor elke eis
  • Rapporten maken voor auditors

Bekijk de NIS2-module

Was dit artikel nuttig?

Contact support