digitaalgezag
Cybersecurity

NIS2: geldt het voor jouw bedrijf en wat moet je regelen?

RDRedactie Digitaalgezag Laatst bijgewerkt: juni 2026

NIS2 is een Europese richtlijn die de eisen aan cybersecurity flink aanscherpt, en die voor veel meer bedrijven gaat gelden dan de voorganger. Voor ondernemers roept het vooral vragen op: geldt dit voor mij, wat moet ik dan doen, en wat gebeurt er als ik niets doe? De informatie erover is vaak juridisch en moeilijk te doorgronden, terwijl je gewoon wilt weten waar je aan toe bent.

In dit artikel leggen we NIS2 uit in begrijpelijke taal: wat het is, voor wie het in grote lijnen geldt, en wat de kern van de verplichtingen is. Belangrijk vooraf: dit artikel geeft algemene uitleg, geen juridisch advies. De exacte toepassing op jouw specifieke situatie, en de precieze stand van de Nederlandse implementatie, controleer je bij een gespecialiseerde bron of adviseur. Regelgeving verandert, dus baseer beslissingen altijd op de actuele officiële informatie.

Wat NIS2 is

NIS2 staat voor de tweede versie van de Network and Information Security-richtlijn, een Europese set regels die de digitale weerbaarheid van bedrijven en organisaties moet vergroten. Het is de opvolger van de eerste NIS-richtlijn, en de belangrijkste verandering is dat NIS2 voor veel meer sectoren en bedrijven geldt dan zijn voorganger.

Het doel van NIS2 is dat organisaties die belangrijk zijn voor de samenleving en de economie, hun cybersecurity op orde hebben en incidenten melden. De richtlijn legt daarvoor een aantal verplichtingen op rond risicobeheer, maatregelen en meldingen.

Een Europese richtlijn moet door elke lidstaat in nationale wetgeving worden omgezet. Dat betekent dat de precieze invulling en de exacte ingangsdatum in Nederland kunnen afwijken en in de tijd kunnen schuiven. Houd daarom de officiële Nederlandse bronnen aan voor de actuele stand van zaken.

Voor wie geldt het, in grote lijnen?

Dit is de vraag die de meeste ondernemers hebben, en het eerlijke antwoord is: het hangt af van je sector en je omvang, en de details vergen een zorgvuldige toets. In grote lijnen richt NIS2 zich op organisaties in sectoren die als belangrijk of essentieel worden gezien voor de samenleving, boven een bepaalde omvang.

Het gaat onder meer om sectoren als energie, vervoer, water, gezondheidszorg, digitale infrastructuur, overheidsdiensten, en bepaalde delen van de productie en levering van goederen en diensten. Of jouw specifieke bedrijf eronder valt, hangt af van de precieze sectorindeling en de omvangsdrempels, en juist daar zit de nuance die je niet op basis van een algemeen artikel kunt beslissen.

Daarom: zie dit artikel als een eerste oriëntatie. Of NIS2 op jou van toepassing is, en wat dat precies betekent, bepaal je aan de hand van de officiële criteria of met hulp van een adviseur die naar jouw situatie kan kijken.

Een belangrijk aandachtspunt: de keten

Ook als NIS2 niet rechtstreeks voor jouw bedrijf geldt, kun je er indirect mee te maken krijgen. Organisaties die wél onder NIS2 vallen, moeten namelijk ook naar de beveiliging van hun leveranciers en partners kijken. Als jij levert aan zo'n organisatie, kan die eisen aan jouw beveiliging gaan stellen, omdat ze hun eigen keten moeten beheersen.

Dat betekent dat NIS2 in de praktijk een bredere werking heeft dan alleen de bedrijven die er direct onder vallen. Goede basisbeveiliging wordt zo steeds vaker een voorwaarde om zaken te doen, ook voor kleinere bedrijven die formeel buiten de richtlijn vallen.

De kern van de verplichtingen

Zonder in juridische details te treden, draait NIS2 in essentie om een aantal thema's die voor goede cybersecurity sowieso verstandig zijn.

Risicobeheer. Je moet de risico's voor je digitale omgeving in kaart brengen en passende maatregelen nemen om die te beheersen.

Beveiligingsmaatregelen. Het treffen van technische en organisatorische maatregelen om je systemen en gegevens te beschermen, veel daarvan overlapt met de basismaatregelen die we in dit dossier behandelen.

Incidenten melden. Het tijdig melden van significante beveiligingsincidenten bij de bevoegde instantie.

Verantwoordelijkheid bij de leiding. NIS2 legt nadruk op de verantwoordelijkheid van het bestuur voor cybersecurity, het is niet langer iets om volledig aan de IT-afdeling over te laten.

Het mooie is dat een bedrijf dat de basis uit dit dossier op orde heeft, tweefactorauthenticatie, goede back-ups, risicobewustzijn, gedegen toegangsbeheer, al een heel eind op weg is naar wat NIS2 in de geest vraagt.

Wat je nu verstandig kunt doen

Of NIS2 nu wel of niet rechtstreeks voor je geldt, een paar stappen zijn sowieso verstandig.

Zoek uit of het voor je geldt. Bepaal aan de hand van de officiële criteria, of met een adviseur, of jouw bedrijf onder NIS2 valt. Dit is de basis voor al het andere.

Breng je beveiliging op orde. De basismaatregelen uit dit dossier zijn waardevol ongeacht NIS2, en vormen de kern van wat de richtlijn vraagt. Begin daar.

Houd de keten in de gaten. Als je levert aan grotere of essentiële organisaties, verwacht dat ze eisen aan je beveiliging gaan stellen. Vooroplopen is dan een voordeel.

Volg de actuele ontwikkelingen. Omdat de Nederlandse implementatie kan veranderen, is het verstandig de officiële bronnen te volgen of een adviseur te raadplegen voor de actuele verplichtingen en data.

Veelgestelde vragen

Wat is NIS2 in het kort?

NIS2 is een Europese richtlijn die de eisen aan cybersecurity aanscherpt en voor meer sectoren en bedrijven geldt dan de voorganger. Het verplicht organisaties die belangrijk zijn voor samenleving en economie om hun digitale weerbaarheid op orde te hebben, risico's te beheersen en incidenten te melden. Elke EU-lidstaat zet de richtlijn om in nationale wetgeving, dus de precieze invulling in Nederland kun je het best bij officiële bronnen controleren.

Geldt NIS2 voor mijn bedrijf?

Dat hangt af van je sector en omvang, en de exacte toets vergt zorgvuldigheid. NIS2 richt zich op organisaties in sectoren die als belangrijk of essentieel gelden, boven bepaalde omvangsdrempels. Of jouw specifieke bedrijf eronder valt, kun je niet op basis van een algemeen artikel beslissen; controleer de officiële criteria of raadpleeg een adviseur die naar jouw situatie kijkt.

Wat als NIS2 niet direct voor mij geldt?

Dan kun je er nog steeds indirect mee te maken krijgen. Organisaties die wel onder NIS2 vallen, moeten ook naar de beveiliging van hun leveranciers kijken. Lever je aan zo'n organisatie, dan kan die eisen aan jouw beveiliging stellen. Goede basisbeveiliging wordt zo steeds vaker een voorwaarde om zaken te doen, ook voor bedrijven die formeel buiten de richtlijn vallen.

Wat moet ik in grote lijnen regelen voor NIS2?

De kern draait om risicobeheer, het treffen van beveiligingsmaatregelen, het melden van significante incidenten, en verantwoordelijkheid bij de bedrijfsleiding. Veel daarvan overlapt met de basismaatregelen voor goede cybersecurity: tweefactorauthenticatie, back-ups, toegangsbeheer en risicobewustzijn. Een bedrijf dat die basis op orde heeft, is al een heel eind op weg.

Is dit artikel juridisch advies?

Nee. Dit artikel geeft algemene uitleg om je te oriënteren, geen juridisch advies dat is toegesneden op jouw situatie. De exacte toepassing van NIS2, de actuele stand van de Nederlandse implementatie en de precieze verplichtingen voor jouw bedrijf controleer je bij een officiële bron of een gespecialiseerde adviseur. Regelgeving verandert, dus baseer beslissingen altijd op actuele, officiële informatie.

---