NIS2 en de Cyberbeveiligingswet

NIS2-cyberbeveiligingswetgeving: wat betekent dit voor jouw organisatie?

Is de NIS2-cyberbeveiligingswetgeving van toepassing op mijn bedrijf? Simpele beslisboom:

1. Je zit in een aangewezen sector
energie | transport | bankwezen | infrastructuur financiële markt | gezondheidszorg | drinkwater | afvalwater | digitale infrastructuur | ICT-dienstverlening | overheid | ruimtevaart | post- en koeriersdiensten | afvalbeheer | chemie | voedsel | productie van bepaalde kritieke goederen | digitale aanbieders zoals online marktplaatsen, zoekmachines en social media platforms. De overheid noemt deze sectoren in de context van “zeer kritieke” en “andere kritieke” sectoren.

2. Je organisatie is groot genoeg
In veel gevallen geldt de drempel van een middelgrote of grote onderneming. Praktisch betekent dat meestal:

  • 50 of meer medewerkers, of
  • meer dan €10 miljoen jaaromzet en/of balanstotaal

Maar let op: sommige organisaties vallen eronder ongeacht omvang, zoals bepaalde overheidsorganisaties of specifieke digitale/essentiële diensten. Voor centrale overheid, provincies, gemeenten, waterschappen en bepaalde openbare lichamen is grootte bijvoorbeeld niet relevant.

3. Je levert een dienst die belangrijk is voor maatschappij of economie
De wet richt zich op organisaties waarvan uitval of verstoring ontwrichtende impact kan hebben op samenleving of economie. Daarbij wordt onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten.

Neem contact op

NIS2 maakt cybersecurity bestuurlijk en aantoonbaar

Cybersecurity is niet langer alleen een technisch IT-onderwerp. Met de komst van de Europese NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet wordt digitale weerbaarheid een bestuurlijke verantwoordelijkheid. Organisaties die onder deze wet vallen, moeten kunnen aantonen dat zij hun cyberrisico’s kennen, passende maatregelen nemen, incidenten tijdig melden en hun leveranciersketen beheersen.

Voor veel organisaties betekent dit een duidelijke verschuiving: van losse beveiligingsmaatregelen naar een aantoonbaar managementsysteem voor cybersecurity, risico’s, processen, verantwoordelijkheden en bewijsvoering.

De Nederlandse Cyberbeveiligingswet implementeert de Europese NIS2-richtlijn in nationale wetgeving. De Tweede Kamer heeft het wetsvoorstel op 15 april 2026 aangenomen. De wet vervangt de bestaande Wet beveiliging netwerk- en informatiesystemen en breidt de verplichtingen uit naar duizenden organisaties in Nederland.

Wat is NIS2?

NIS2 staat voor Network and Information Security Directive 2. Het is een Europese richtlijn die bedoeld is om de digitale weerbaarheid van organisaties en lidstaten te versterken. De richtlijn richt zich op organisaties die belangrijk zijn voor de samenleving, economie of digitale infrastructuur.

Waar de eerste NIS-richtlijn vooral gericht was op een beperkte groep vitale aanbieders, heeft NIS2 een veel bredere reikwijdte. Meer sectoren, meer organisaties en meer leveranciers krijgen te maken met eisen op het gebied van cybersecurity, risicobeheer, governance en incidentmelding.

In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet. Deze wet legt onder andere een zorgplicht, meldplicht en registratieplicht op aan organisaties die onder het toepassingsgebied vallen.

Wat zijn de belangrijkste verplichtingen onder NIS2?

Organisaties die onder de Cyberbeveiligingswet vallen, krijgen te maken met drie kernverplichtingen: zorgplicht, meldplicht en registratieplicht.

1. Zorgplicht: passende cybersecuritymaatregelen nemen

De zorgplicht betekent dat organisaties verplicht zijn om risico’s voor hun netwerk- en informatiesystemen in kaart te brengen en passende maatregelen te nemen. Dit gaat niet alleen over technische beveiliging, maar ook over organisatie, processen, beleid, verantwoordelijkheden en ketenbeheersing.

Denk aan maatregelen zoals:

  • risicoanalyse en risicobehandeling
  • beleid voor informatiebeveiliging
  • toegangsbeheer
  • incidentmanagement
  • back-up en herstel
  • continuïteitsmanagement
  • beveiliging van leveranciers en ketenpartners
  • logging en monitoring
  • bewustwording en training
  • encryptie en veilige communicatie
  • vulnerability management
  • crisismanagement
  • periodieke evaluatie van maatregelen

De wet vraagt dus niet alleen dat je “iets aan security doet”, maar dat je aantoonbaar werkt op basis van risico’s en passende maatregelen. Het NCSC beschrijft dat organisaties verplicht zijn een risicoanalyse uit te voeren en op basis daarvan passende en evenredige maatregelen te nemen voor de beveiliging van netwerk- en informatiesystemen.

2. Meldplicht: ernstige incidenten tijdig melden

Onder NIS2 moeten organisaties ernstige cyberincidenten melden. Dit betekent dat incidenten niet alleen intern moeten worden opgepakt, maar ook tijdig moeten worden gemeld bij de juiste instanties.

Volgens het NCSC moeten organisaties incidenten zo snel mogelijk melden, in ieder geval binnen 24 uur, bij het Computer Security Incident Response Team en de toezichthouder.

Daarvoor moet je organisatie weten:

  • wat een meldingswaardig incident is
  • wie intern verantwoordelijk is voor melding
  • welke informatie verzameld moet worden
  • hoe escalatie verloopt
  • welke externe partijen geïnformeerd moeten worden
  • hoe nazorg, evaluatie en verbeteracties worden vastgelegd

Veel organisaties hebben wel technische incidentrespons, maar nog geen bestuurlijk en juridisch houdbaar meldproces. Juist daar zit vaak het risico.

3. Registratieplicht: inschrijven als entiteit

Organisaties die onder de Cyberbeveiligingswet vallen, moeten zich registreren in het entiteitenregister. In Nederland gebeurt dit via het NCSC. Het NCSC geeft aan dat organisaties die onder de wet vallen wettelijk verplicht zijn zich te registreren in het entiteitenregister.

Registratie is meer dan een administratieve stap. Het maakt duidelijk dat jouw organisatie onder het regime valt en mogelijk wordt aangesloten op sectorale informatievoorziening, ondersteuning en toezicht.

Moet je voor NIS2 gecertificeerd zijn?

Nee. NIS2 is geen certificeringsnorm. Er bestaat geen algemeen verplicht NIS2-certificaat.

Dat is een belangrijk onderscheid. Organisaties hoeven dus niet automatisch ISO 27001-gecertificeerd te zijn om aan NIS2 te voldoen. De wet vraagt vooral dat je kunt aantonen dat je passende maatregelen hebt genomen, risico’s beheerst, incidenten meldt en je organisatie bestuurlijk grip heeft op cybersecurity.

Maar in de praktijk is ISO 27001 certificering wel relevant.

Een norm zoals ISO 27001 helpt om NIS2-verplichtingen gestructureerd in te richten. ISO 27001 biedt een managementsysteem voor informatiebeveiliging, inclusief risicoanalyse, beleid, controls, verantwoordelijkheden, interne audits, management review en continue verbetering.

Daarom is ISO 27001 geen wettelijke NIS2-verplichting, maar wel een sterke kapstok om aantoonbaar te maken dat je cybersecurity volwassen en beheerst is ingericht.

NIS2 versus ISO 27001

NIS2 en ISO 27001 worden vaak door elkaar gehaald, maar ze zijn niet hetzelfde.

NIS2 is wetgeving.
Het bepaalt voor welke organisaties wettelijke verplichtingen gelden rondom cybersecurity, incidentmelding, registratie en governance.

ISO 27001 is een certificeerbare managementsysteemnorm.
Het helpt organisaties om informatiebeveiliging structureel te organiseren, risico’s te beheersen en aantoonbaar te verbeteren.

De combinatie is krachtig:

  • NIS2 bepaalt wat verplicht is
  • ISO 27001 helpt met hoe je het aantoonbaar organiseert
  • ISO Ready helpt met waar je staat, wat ontbreekt en welke acties nodig zijn

Voor organisaties die onder NIS2 vallen of leveren aan NIS2-plichtige klanten, is ISO 27001 vaak de meest praktische route naar aantoonbare beheersing.

Waarom NIS2 ook relevant is voor leveranciers

Een belangrijke impact van NIS2 zit in de keten. Organisaties die onder NIS2 vallen, moeten ook beter sturen op risico’s bij leveranciers en dienstverleners. Daardoor kunnen bedrijven die zelf niet direct onder de wet vallen, toch vragen krijgen van klanten.

Denk aan vragen zoals:

  • Hebben jullie een informatiebeveiligingsbeleid?
  • Is er een incidentresponsproces?
  • Hoe snel melden jullie beveiligingsincidenten?
  • Hoe is toegangsbeheer geregeld?
  • Waar worden klantdata opgeslagen?
  • Welke back-up- en herstelmaatregelen zijn ingericht?
  • Zijn medewerkers getraind op security?
  • Worden leveranciers en subverwerkers beoordeeld?
  • Is er bewijs van maatregelen beschikbaar?
  • Zijn jullie ISO 27001-gecertificeerd of werken jullie volgens een vergelijkbaar framework?

Voor leveranciers wordt cybersecurity daarmee steeds vaker een commerciële voorwaarde. Niet omdat elke leverancier wettelijk NIS2-plichtig is, maar omdat klanten aantoonbare zekerheid nodig hebben over hun keten.

Bestuurlijke verantwoordelijkheid

Een van de belangrijkste veranderingen onder NIS2 is dat cybersecurity nadrukkelijker een verantwoordelijkheid wordt van bestuur en management. Cybersecurity is niet langer iets dat volledig bij IT kan worden neergelegd.

Bestuurders en directieleden moeten begrijpen welke risico’s de organisatie loopt, welke maatregelen zijn genomen, waar kwetsbaarheden zitten en hoe incidenten worden afgehandeld. Dit vraagt om rapportage, besluitvorming en periodieke evaluatie.

In de praktijk betekent dit dat organisaties behoefte hebben aan:

  • duidelijke governance
  • eigenaarschap per risico en maatregel
  • periodieke managementrapportages
  • inzicht in openstaande acties
  • bewijsvoering per maatregel
  • aantoonbare besluitvorming
  • leveranciersoverzicht
  • verbeterplanning
  • audittrail

Zonder deze structuur wordt NIS2 al snel een verzameling losse documenten, spreadsheets en technische maatregelen. Dat is precies waar veel organisaties vastlopen.

Wat moet je concreet regelen?

Een praktische NIS2-aanpak begint niet met dikke rapporten, maar met overzicht. Je wilt snel weten:

  1. Valt mijn organisatie onder NIS2?
  2. Welke verplichtingen zijn relevant?
  3. Welke maatregelen hebben we al?
  4. Welke risico’s zijn onvoldoende beheerst?
  5. Welke acties moeten we prioriteren?
  6. Welke bewijsstukken ontbreken?
  7. Wie is eigenaar van welke maatregel?
  8. Hoe rapporteren we voortgang aan management of directie?
  9. Welke leveranciers vormen een risico?
  10. Kunnen we aantonen dat we in control zijn?

Voor veel organisaties is de uitdaging niet dat er niets is geregeld. Vaak zijn er al maatregelen, policies, tools en afspraken. Het probleem is dat ze versnipperd zijn. De informatie staat in spreadsheets, SharePoint-mappen, e-mails, tickets, losse rapporten en technische systemen.

NIS2 vraagt juist om samenhang en aantoonbaarheid.

Typische valkuilen bij NIS2

Veel organisaties starten te laat of maken NIS2 onnodig complex. De meest voorkomende valkuilen zijn:

1. Denken dat NIS2 alleen een IT-project is
NIS2 raakt bestuur, operatie, leveranciers, juridische processen, HR, communicatie en risicomanagement.

2. Wachten tot de wet volledig is ingegaan
Wie pas start wanneer toezicht actief wordt, loopt achter. Cybersecurity volwassenheid bouw je niet in een paar weken op.

3. Geen duidelijke eigenaar aanwijzen
Zonder eigenaarschap blijven acties hangen tussen IT, compliance, legal en management.

4. Alleen beleid schrijven zonder implementatie
Een policy is geen beheersing. Je moet ook laten zien dat maatregelen werken.

5. Geen bewijs centraal vastleggen
Bij audits, klantvragen of toezicht moet je snel kunnen aantonen wat je hebt ingericht.

6. Leveranciers vergeten
Ketenrisico’s zijn een belangrijk onderdeel van NIS2. Leveranciers moeten dus worden meegenomen in de aanpak.

7. Geen koppeling maken met ISO 27001
Organisaties die toch al werken aan informatiebeveiliging kunnen veel efficiënter zijn door NIS2 te koppelen aan ISO 27001 of een vergelijkbaar managementsysteem.

Hoe ISO Ready helpt bij NIS2

ISO Ready helpt organisaties om NIS2 praktisch, gestructureerd en aantoonbaar aan te pakken. Niet door meer papier te produceren, maar door inzicht, acties, bewijs en voortgang centraal te organiseren.

Met ISO Ready krijg je grip op:

  • NIS2-readiness
  • ISO 27001-volwassenheid
  • risico’s en maatregelen
  • openstaande acties
  • verantwoordelijken
  • bewijsstukken
  • leveranciersrisico’s
  • managementrapportage
  • auditvoorbereiding
  • voortgang richting aantoonbare compliance

ISO Ready vertaalt complexe eisen naar een praktische werkstructuur. Zo zie je snel waar je staat, wat ontbreekt en welke stappen nodig zijn om aantoonbaar beter beveiligd te zijn.

NIS2-readiness scan

Een goede eerste stap is een NIS2-readiness scan. Daarmee breng je in kaart of jouw organisatie waarschijnlijk onder de Cyberbeveiligingswet valt en hoe volwassen je huidige cybersecurity-aanpak is.

Een NIS2-readiness scan kijkt bijvoorbeeld naar:

  • sector en organisatieomvang
  • kritieke dienstverlening
  • afhankelijkheid van digitale systemen
  • bestaande securitymaatregelen
  • risicomanagement
  • incidentmanagement
  • governance
  • leveranciersbeheer
  • continuïteit
  • bewijsvoering
  • aansluiting op ISO 27001

De uitkomst is geen juridisch oordeel, maar een praktisch startpunt. Je krijgt inzicht in je huidige positie, prioriteiten en vervolgstappen.

NIS2 en ISO 27001 combineren

Voor veel organisaties is het logisch om NIS2 niet los te organiseren, maar te koppelen aan ISO 27001. Dat voorkomt dubbel werk en maakt de aanpak beter beheersbaar.

ISO 27001 helpt onder andere met:

  • scopebepaling
  • informatiebeveiligingsbeleid
  • risicoanalyse
  • risicobehandeling
  • controls
  • interne audits
  • management review
  • continue verbetering
  • bewijsvoering
  • certificering

NIS2 voegt daar wettelijke verplichtingen aan toe, zoals registratie, meldplicht, bestuurlijke verantwoordelijkheid en toezicht. Door beide werelden slim te combineren, ontstaat één geïntegreerde aanpak voor cybersecurity en compliance.

Van verplichting naar professioneel voordeel

NIS2 wordt vaak gezien als extra verplichting. Maar goed ingericht kan het ook waarde opleveren.

Organisaties die hun cybersecurity aantoonbaar op orde hebben, versterken hun positie richting klanten, toezichthouders, partners en investeerders. Zeker in B2B-markten wordt aantoonbare beveiliging steeds vaker een voorwaarde om zaken te mogen doen.

NIS2-readiness helpt dus niet alleen om risico’s te beheersen, maar ook om vertrouwen te creëren.

Je laat zien dat je:

  • professioneel omgaat met klantdata
  • incidenten serieus neemt
  • risico’s bestuurlijk beheerst
  • leveranciers kritisch beoordeelt
  • continuïteit borgt
  • aantoonbaar werkt aan verbetering

Dat is waardevol voor compliance, maar ook voor commerciële geloofwaardigheid.

Hoe nu verder met de NIS2-cyberbeveiligingswetgeving

  • ISO Ready helpt je om snel inzicht te krijgen in je huidige status en gericht te werken aan aantoonbare cybersecurity-volwassenheid.
  • Geen losse spreadsheets. Geen onnodige complexiteit. Wel een praktische aanpak waarmee je organisatie zichtbaar in control komt.

Start met de NIS2-readiness scan en ontdek waar jouw organisatie staat.

 

NIS2-cyberbeveiligingswetgeving

Voor wie geldt NIS2-cyberbeveiligingswetgeving?

Niet iedere organisatie valt automatisch onder NIS2-cyberbeveiligingswetgeving. Of jouw organisatie onder de Cyberbeveiligingswet valt, hangt vooral af van drie factoren:

  1. De sector waarin je actief bent
  2. De omvang van je organisatie
  3. De kritieke of belangrijke rol van je dienstverlening

De wet maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten zijn organisaties waarvan uitval grote maatschappelijke of economische impact kan hebben. Belangrijke entiteiten zijn organisaties die ook in kritieke sectoren actief zijn, maar meestal onder een ander toezichtregime vallen.

Sectoren die geraakt kunnen worden zijn onder andere:

  • energie
  • transport
  • bankwezen
  • financiële marktinfrastructuur
  • gezondheidszorg
  • drinkwater
  • afvalwater
  • digitale infrastructuur
  • ICT-dienstverlening
  • overheid
  • ruimtevaart
  • post- en koeriersdiensten
  • afvalbeheer
  • chemie
  • voedsel
  • productie van bepaalde kritieke goederen
  • digitale aanbieders zoals online marktplaatsen, zoekmachines en socialmediaplatforms

De NCTV geeft aan dat aan de hand van sector en omvang wordt bepaald of een organisatie onder de Cyberbeveiligingswet valt. Voor bepaalde overheidsorganisaties gelden aparte regels en is omvang niet altijd bepalend.

Wanneer ben je groot genoeg voor NIS2?

Voor veel organisaties geldt dat zij onder NIS2 kunnen vallen wanneer zij middelgroot of groot zijn. In de praktijk betekent dit vaak:

  • 50 of meer medewerkers, of
  • meer dan €10 miljoen jaaromzet en/of balanstotaal

Maar dit is geen harde simpele regel voor alle situaties. Sommige organisaties vallen onder de wet vanwege hun sector, publieke taak of specifieke rol in een kritieke keten. Daarom is het belangrijk om niet alleen naar omvang te kijken, maar ook naar je dienstverlening, klanten, leverancierspositie en maatschappelijke impact.

Ook organisaties die zelf niet direct onder NIS2 vallen, kunnen er indirect mee te maken krijgen. Leveranciers van NIS2-plichtige organisaties zullen steeds vaker moeten aantonen dat hun eigen cybersecurity op orde is.

FAQ NIS2-cyberbeveiligingswetgeving

Is NIS2 verplicht?

Ja, als jouw organisatie onder de Cyberbeveiligingswet valt. Of dat zo is, hangt af van sector, omvang en de aard van je dienstverlening. Organisaties die onder de wet vallen krijgen te maken met zorgplicht, meldplicht en registratieplicht.

Moet ik een NIS2-certificaat halen?

Nee. Er bestaat geen algemeen verplicht NIS2-certificaat. NIS2 is wetgeving, geen certificeerbare norm. Je moet wel kunnen aantonen dat je passende cybersecuritymaatregelen hebt genomen.

Is ISO 27001 verplicht voor NIS2?

Nee, ISO 27001 is niet automatisch verplicht onder NIS2. Wel is ISO 27001 een sterke en herkenbare manier om informatiebeveiliging aantoonbaar te organiseren.

Wanneer treedt de Cyberbeveiligingswet in werking?

De Tweede Kamer heeft de wetsvoorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten op 15 april 2026 aangenomen. De verdere inwerkingtreding hangt af van het wetgevingsproces, waarbij invoering rond Q2/Q3 2026 wordt genoemd door overheid en sectorpartijen.

Geldt NIS2 ook voor kleine organisaties?

In veel gevallen geldt NIS2 vooral voor middelgrote en grote organisaties in aangewezen sectoren. Maar sommige organisaties kunnen door hun publieke taak, sector of specifieke rol toch onder de wet vallen. Daarnaast kunnen kleine leveranciers indirect geraakt worden via klantvragen.

Wat is het verschil tussen essentiële en belangrijke entiteiten?

Essentiële entiteiten hebben meestal een grotere maatschappelijke of economische impact bij uitval en krijgen te maken met zwaarder toezicht. Belangrijke entiteiten vallen ook onder verplichtingen, maar vaak met een ander toezichtregime.

Wat moet ik als eerste doen?

Begin met vaststellen of je organisatie onder NIS2 valt. Daarna is een readiness scan verstandig om te bepalen welke maatregelen al aanwezig zijn en welke acties prioriteit hebben.

Klaar voor NIS2 Cybersecurity?

NIS2 vraagt om meer dan technische beveiliging. Het vraagt om aantoonbare grip op risico’s, maatregelen, incidenten, leveranciers en verantwoordelijkheden.