NIS2 Nederland

NIS2 Netherlands

De oorspronkelijke NIS1-Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de EU te versterken. Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 die strengere eisen oplegt en een breder toepassingsgebied hanteert om de weerbaarheid van kritieke infrastructuren tegen cyberaanvallen te vergroten.

De deadline van 17 oktober 2024 om de NIS2-richtlijn om te zetten in nationale wetgeving werd door Nederland niet gehaald. Wel is het wetsontwerp, hierna de Cyberbeveiligingswet, beschikbaar. Volgens de brief van de Minister van Justitie en Veiligheid van 16 juni 2025 aan de voorzitter van de Tweede Kamer der Staten-Generaal, zal de Cyberbeveiligingswet in werking treden in het tweede kwartaal van 2026.

Op deze pagina vindt u alles wat u moet weten over de impact van NIS2 op uw organisatie en hoe u zich kunt voorbereiden op de nieuwe regelgeving.

De inhoud van deze pagina is onder voorbehoud van wijzigingen en wordt bijgewerkt wanneer nodig.

NIS2 entiteiten

Toepassingsgebied van de Nederlandse Cybersecuritywet

De Nederlandse Cyberbeveiligingswet is relevant voor zowel rechtspersonen als natuurlijke personen (samen aangeduid als ‘entiteiten’) die in Nederland geregistreerd zijn en die producten en/of diensten leveren in een EU-land.

De Cyberbeveiligingswet bepaalt expliciet welke publieke en private entiteiten onder de cyberbeveiligingsverplichtingen vallen. Hiervoor wordt een onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Voor het categoriseren van entiteiten wordt rekening gehouden met de aangeboden diensten, de omvang van de entiteit en de vestiging van de entiteit.

In principe valt uw entiteit onder de Nederlandse Cyberbeveiligingswet wanneer:

  • I. Uw organisatie diensten levert binnen een sector die is opgenomen in bijlage I en bijlage II van de Cyberbeveiligingswet;
  • Uw organisatie de drempelwaarden voor middelgrote ondernemingen overschrijdt; en
  • Uw organisatie in Nederland gevestigd is.

Criteria 1: geleverde diensten

In bijlage I en II van de Cyberbeveiligingswet worden de sectoren beschreven die vallen binnen het toepassingsgebied ervan. Het is dan ook van groot belang om uw geleverde diensten aan derden grondig te analyseren per (sub)sector. De vermelde sectoren in de Nederlandse Cyberbeveiligingswet komen overeen met de Europese NIS2-richtlijn.

Bijlage I: Zeer kritieke sectoren

Bijlage II: Andere kritieke sectoren

Energie
• Elektriciteit
• Stadverwarming en -koeling
• Aardolie
• Aardas
• Waterstof		Post- en koeriersdiensten
Vervoer
• Lucht
• Spoort
• Water
• Weg		Afvalstoffenbeheer
Bankwezen

Vervaardiging, productie en distributie van chemische stoffen

Infrastructuur voor de financiële marktProductie, verwerking en distributie van levensmiddelen
GezondheidszorgVervaardiging
• Medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek
• Informaticaproducten en van elektronische en optische producten
• Elektrische apparatuur
• Machines, apparaten en werktuigen, n.e.g.
• Motovoertuigen, aanhangers en opleggers
• Andere transportmiddelen
Drinkwater

Digitale aanbieders

Afvalwater

Onderzoek

Digitale infrastructuur 
Beheer van ICT-diensten (business-to-business) 
Ruimtevaart 

Indien uw organisatie een dienst uit bovenstaand overzicht levert, valt uw organisatie mogelijks binnen het toepassingsgebied van de Cyberbeveiligingswet.

Criteria 2: bedrijfsgrootte

Naast de geleverde diensten, is ook de grootte van de entiteit van belang om na te gaan of uw organisatie binnen het toepassingsgebied van de Cyberbeveiligingswet valt. Klik hier om te bepalen of uw organisatie een kleine, middelgrote, dan wel grote onderneming betreft. In principe dienen middelgrote en grote ondernemingen te voldoen aan de verplichtingen uit de Cyberbeveiligingswet.

Daarnaast is de wet ook van toepassing op volgende specifieke aanbieders, onafhankelijk van de omvang van de entiteit. Volgende entiteiten worden van rechtswege als essentieel beschouwd:

  • Aanbieders van openbare elektronische communicatienetwerken of -diensten
  • Gekwalificeerde aanbieders van vertrouwensdiensten
  • Aanbieders van registers voor topleveldomeinnamen (TLD-registers)
  • DNS-dienstverleners

Bovendien geldt de wet ook voor entiteiten, ongeacht hun omvang, indien hun activiteiten cruciaal zijn voor de samenleving of economie. Dat is het geval als:

  • Zij diensten leveren die essentieel zijn voor kritieke maatschappelijke of economische functies en die niet door andere aanbieders geleverd worden
  • Een verstoring van hun dienstverlening aanzienlijke impact zou hebben op de openbare orde, veiligheid of volksgezondheid
  • Een incident bij hen systeemrisico’s met grensoverschrijdende gevolgen zou kunnen veroorzaken
  • Zij van strategisch of vitaal belang zijn op nationaal of regionaal niveau, bijvoorbeeld vanwege afhankelijkheden in andere sectoren

Criteria 3: gevestigde entiteit in Nederland

In principe kan de Cyberbeveiligingswet enkel van toepassing zijn op entiteiten met een vestiging in Nederland. Echter zijn bij wijze van uitzondering volgende entiteiten onderworpen aan de Nederlandse Cyberbeveiligingswet:

  • Aanbieders van openbare elektronische communicatienetwerken of aanbieders van openbare elektronische-communicatiediensten die hun diensten in Nederland aanbieden;
  • DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten leveren, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, aanbieders van onlinezoekmachines en aanbieders van platforms voor socialenetwerkdiensten, als zij hun hoofdvestiging in Nederland hebben of als ze hun wettelijke vertegenwoordiger voor de EU in Nederland hebben in het geval zij geen vestiging hebben binnen de EU;
  • Overheidsinstanties die door Nederland opgericht zijn.

Naast de 3 bovenstaande criteria dient bij het analyseren van het toepassingsgebied van de Cyberbeveiligingswet rekening gehouden te worden met het feit dat men als niet-NIS2-organisatie alsnog geaffecteerd kan worden door de Cyberbeveiligingswet doordat de nationale autoriteit de entiteit aanmerkt als essentiële of belangrijke entiteit of doordat de niet-NIS2-organisatie behoort tot de toeleveringsketen van een NIS2-organisatie.

Om te bepalen of de NIS2-richtlijn van toepassing is op uw organisatie, kan de zelfevaluatietool gehanteerd worden.

Wat betekent dit voor mijn bedrijf?

1. Registratie

In Nederland zullen organisaties die onder de Cyberbeveiligingswetgeving vallen, als essentiële of belangrijke entiteit, zichzelf moeten registreren in het entiteitenregister. De NIS2-richtlijn is op dit moment nog niet volledig omgezet in nationale wetgeving, echter kan de essentiële en belangrijke entiteit zich reeds registreren bij het Nationaal Cyber Security Centrum (NCSC) door in te loggen op www.mijn.ncsc.nl. De registratieplicht geldt pas vanaf de inwerkingtreding van de Cyberbeveiligingswet, wat naar verwachting in het tweede kwartaal van 2026 is.

Volgende informatie zal door de entiteit dienen te worden aangeleverd via het online registratieplatform:

  • Naam van de organisatie
  • Adres en actuele contactgegevens van de entiteit incl. e-mailadressen en telefoonnummers
  • IP-adresreeksen
  • Sector en subsector
  • Overzicht van EU-lidstaten waar de diensten worden geleverd die binnen het toepassingsgebied van de Cyberbeveiligingswet vallen

Wijzigingen in deze gegevens moeten binnen twee weken na de wijziging worden doorgegeven.

Meer informatie omtrent de registratieplicht vindt u hier.

2. Beheersmaatregelen (Art. 23)

Als uw organisatie gecategoriseerd is als essentiële of belangrijke entiteit, betekent dit dat u verantwoordelijk bent voor het implementeren van passende technische en organisatorische maatregelen om de beveiliging van uw netwerk- en informatiesystemen te waarborgen. Het Digital Trust Center (DTC), die het NCSC zal versterken vanaf 2026, geeft aan dat volgende NIS2-bedrijven minstens volgende zorgplichtmaatregelen dienen te nemen:

  • Risicoanalyse en beveiliging van informatiesystemen
  • Incidentenbeheer
  • Bedrijfscontinuïteit, zoals back-upbeheer en noodherstel, en crisisbeheer
  • Beveiliging van toeleveringsketen
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden
  • Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
  • Cyberhygiëne en opleiding op het gebied van cyberbeveiliging
  • Beleid en procedures over cryptografie en in voorkomend geval encryptie
  • Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa
  • Gebruik van multifactorauthenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing.

Meer informatie omtrent de zorgplichtmaatregelen kan u hier vinden.

De Europese commissie heeft in de uitvoeringsverordening 2024/2690 de bovenstaande minimummaatregelen voor cyberbeveiliging uitgewerkt voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.

3. Rapportageverplichting van significante incidenten (Art. 27-34)

Essentiële en belangrijke entiteiten zijn verplicht het betreffende sectorale Computer Security Incident Response Team (CSIRT) en de bevoegde autoriteit in kennis te stellen wanneer zich een significant incident voordoet. Daarnaast dienen zij ook de ontvangers van hun diensten op de hoogte te brengen indien het significant incident de verlening van de diensten betreffende de (sub)sectoren van bijlage I en II affecteert.

Een incident is significant als het

    • ‘een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken; of
    • andere entiteiten heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.’

Het significante incident wordt door de essentiële of belangrijke entiteit gemeld via het online formulier of via www.mijn.ncsc.nl. Gelet op het feit dat de Cyberbeveiligingswet heden nog niet van kracht is, kunnen er enkel vrijwillige incidentmeldingen ingediend worden. De melding van een incident verloopt volgens volgende procedure:

  1. Onmiddellijk en binnen de 24 uur nadat zij kennis heeft gekregen van het significante incident, dient de entiteit  een vroegtijdige waarschuwing in, met melding van vermoedelijke oorzaak, eventuele grensoverschrijdende gevolgen en contactgegevens van de verantwoordelijke functionaris;
  2. Onmiddellijk en binnen de 72 uur nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentenmelding dat indien van toepassing een informatie update bevat, een initiële beoordeling van het incident, indicatoren voor aantasting en alle beschikbare informatie om grensoverschrijdende gevolgen van het incident te bepalen. Voor aanbieders van vertrouwensdiensten geldt een termijn van 24 uur voor het indienen van een incidentenrapport;
  3. Op verzoek dient de entiteit een tussentijds verslag in;
  4. Uiterlijk 1 maand na de incidentenmelding dient de entiteit een eindverslag in met vermelding van:
    • Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan;
    • Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
    • Toegepaste en lopende risicobeperkende maatregelen;
    • De grensoverschrijdende gevolgen van het incident, indien van toepassing.
  5. Indien het incident nog lopende is een maand na de incidentenmelding, dient de entiteit een voorgangsverslag in en binnen één maand na de afhandeling van incident wordt een eindverslag ingediend.

De Europese commissie heeft in de uitvoeringsverordening 2024/2690 de criteria voor een significant incident bepaald voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor sociale netwerkdiensten, en verleners van vertrouwensdiensten. Deze bijzondere regels hebben voorrang op de nationale regels in het geval van tegenstrijdigheden. 

Tot slot kunnen alle entiteiten, ongeacht  of zij vallen binnen het toepassingsgebied van de Cyberbeveiligingswet vrijwillig (significante) incidenten, cyberdreigingen en bijna-incidenten melden bij het CSIRT.

Meer informatie omtrent het melden van significante cyberincidenten kan u hier vinden.

4. Verplichtingen en verantwoordelijkheden van het management (Art. 26)

De bestuursorganen van essentiële en belangrijke entiteiten zijn verantwoordelijk voor de naleving van de Cyberbeveiligingswet en dienen verschillende verplichtingen na te komen waaronder:

  • Goedkeuren van de beheersmaatregelen voor cyberbeveiliging en toezicht houden op de naleving ervan
  • Volgen van training om over voldoende kennis en vaardigheden te beschikken om risico’s te kunnen identificeren en beheersmaatregelen en de impact ervan op hun diensten te kunnen beoordelen
  • Bijscholen van de werknemers van de entiteit op het gebied van cybersecurity

De bestuursorganen zijn aansprakelijk bij niet-naleving van de Cyberbeveiligingswet.

5. Samenwerken met autoriteiten

Essentiële en belangrijke entiteiten dienen samen te werken met de nationale autoriteiten. Betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, rapporteren van incidenten, samenwerking met de inspectiedienst enzovoort.

Hoe kan ik aantonen dat mijn bedrijf in regel is met de NIS2 wetgeving?

De bevoegde autoriteiten voeren inspecties uit bij essentiële en belangrijke entiteiten op de naleving van de Cyberbeveiligingswet. Daarnaast stelt de Cyberbeveiligingswet dat essentiële entiteiten verplicht kunnen worden periodiek of ad hoc een onafhankelijke beveiligingsaudit te laten uitvoeren. Dit onderstreept het belang van aantoonbare compliance.

De Cyberbeveiligingswet schrijft geen specifieke norm(en) voor, maar verwijst expliciet naar het gebruik van Europese en internationale normen. Een belangrijk voorbeeld hiervan is ISO/IEC 27001. ISO/IEC 27001 is de wereldwijd erkende standaard voor informatiebeveiliging en beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). 

Om een ISO 27001-certicering te kunnen behalen dienen volgende stappen ondernomen te worden: 

  1. Verwerf de nodige kennis over ISO/IEC 27001, door middel van bijvoorbeeld training;
  2. Implementeer het ISO 27001-management systeem conform de normeisen in uw organisatie;
  3. Voer interne audits uit;
  4. Laat het management de resultaten van de interne audit beoordelen en neem indien nodig corrigerende maatregelen. Leg de conclusie over het voldoen aan de eisen vast in de directiebeoordeling; 
  5. Contacteer een geaccrediteerde CAB voor het uitvoeren van een externe audit. 

Indien u meer informatie wenst omtrent certificering, kan u hier een afspraken met een expert maken.

Een praktisch hulpmiddel bij het aantoonbaar maken van NIS2-compliance is het Cbw (NIS2) Control Framework, ontwikkeld door de Auditdienst Rijk (ADR) en het Ministerie van Binnenlandse zaken in samenwerking met de Beroepsorganisatie van IT-Auditors in Nederland (NOREA). Dit framework biedt een gestructureerde aanpak om te beoordelen in welke mate uw organisatie voldoet aan de Cyberbeveiligingswet en het onderliggende Cyberbeveiligingsbesluit. Het framework bevat concrete beheersmaatregelen, die grotendeels aansluiten bij de principes van ISO/IEC 27001, een stappenplan en volwassenheidsniveaus, en kan worden gebruikt als interne evaluatietool of als basis voor audits.

Handhaving en sancties (Art. 68 e.v.)

De bevoegde autoriteit voert inspecties uit op de naleving van de vereisten door NIS2-entiteiten. Hiervoor moet een onderscheid gemaakt worden tussen essentiële en belangrijke entiteiten:

  • Essentiële entiteiten worden zowel proactief (ex-ante) als reactief (ex-post) gecontroleerd, en zijn verplicht regelmatige conformiteitsbeoordelingen te laten uitvoeren.
  • Belangrijke entiteiten worden in principe enkel reactief gecontroleerd, na een incident of bij een vermoeden van niet-naleving van de wet.

De Nederlandse Cyberbeveiligingswet voorziet in specifieke sancties voor entiteiten die de wettelijke bepalingen niet naleven. Deze sancties variëren naargelang de aard en de ernst van de overtreding en zijn onderverdeeld in administratieve maatregelen en administratieve boetes.

Mogelijke administratieve maatregelen die kunnen opgelegd worden zijn onder andere waarschuwingen geven, de entiteit verplichten bepaalde maatregelen te treffen, het schorsen van een certificering of vergunning, het schorsen van leden van het bestuur enzovoort.

Administratieve boetes die kunnen worden opgelegd zijn eveneens wettelijk vastgelegd en kunnen oplopen tot 10.000.000 euro of 2% van de totale wereldwijde jaaromzet van de essentiële en tot 7.000.000 euro of 1,4% van de totale wereldwijde jaaromzet van de belangrijke entiteit. Deze boetes gelden voor inbreuken op de zorgplicht (Art. 23) en de meldplicht (Art. 27-32). Voor overige overtredingen kan een administratieve boete opgelegd worden aan de essentiële of belangrijke entiteit van maximaal 1.000.000 euro.

Tijdlijn

  • 17 oktober 2024: initiële deadline voor EU-lidstaten om NIS2-richtlijn om te zetten in nationale wetgeving
  • Binnen 2 jaar na inwerkingtreding: leden van het bestuur van de essentiële en belangrijke entiteit dienen een cybersecurity opleiding gevolgd te hebben.

Belangrijke deadlines voor cybersecurity entiteiten worden aangevuld zodra meer informatie beschikbaar is.

Bevoegde autoriteiten (Art. 16)

Hoewel de NIS2-richtlijn in Nederland nog niet volledig is omgezet in nationale wetgeving, is er wel al duidelijkheid over welke instanties verantwoordelijk zullen zijn voor de uitvoering en handhaving. Deze bevoegde autoriteiten spelen een cruciale rol in beleid, toezicht, incidentenrespons en internationale coördinatie.

Het Ministerie van Justitie en Veiligheid is verantwoordelijk voor het waarborgen van de veiligheid en rechtsorde in Nederland en speelt een centrale rol bij de implementatie van de NIS2-richtlijn. Het ministerie vertaalt de Europese verplichtingen naar nationale wetgeving via de Cyberbeveiligingswet en coördineert de uitvoering van deze wet in samenwerking met andere ministeries en toezichthouders. Daarbij wijst het bevoegde autoriteiten aan die toezicht houden op de naleving van de regels binnen hun sector en zorgt het voor een effectieve samenwerking en informatie-uitwisseling met de Europese Commissie en andere lidstaten.

Binnen het Ministerie van Justitie en Veiligheid opereert het Nationaal Cyber Security Centrum (NCSC), het kennis- en expertisecentrum van de Nederlandse overheid op het gebied van cybersecurity. Het NCSC speelt een belangrijke rol in de uitvoering van de NIS2-richtlijn. Het fungeert als centraal meldpunt voor significante incidenten en coördineert de respons om schade te beperken en herstel te versnellen. Daarnaast ondersteunt het organisaties die onder de Cyberbeveiligingswet vallen met advies, dreigingsinformatie en praktische richtlijnen om hun digitale weerbaarheid te vergroten. Het centrum werkt nauw samen met sectorale CSIRTs en internationale partners om informatie-uitwisseling en gezamenlijke incidentafhandeling te waarborgen. Tot slot beheert het NCSC het nationale entiteitenregister voor NIS2.

Vanaf 2026 bundelt het NCSC en het Digital Trust Center (DTC), onderdeel van het Ministerie van Economische Zaken, de krachten. In het kader van NIS2 ondersteunt het DTC ondernemingen die niet tot de vitale sectoren behoren met praktische informatie, adviezen en tools om cyberrisico’s te beperken. Het centrum biedt onder meer een zelfevaluatietool waarmee organisaties kunnen bepalen of zij onder de Cyberbeveiligingswet vallen en geeft richtlijnen voor het nemen van zorgplichtmaatregelen. Daarnaast fungeert het DTC als kennisplatform en stimuleert samenwerking tussen bedrijven om gezamenlijk de digitale veiligheid te versterken.

Op de doorverwijsboom kan u een overzicht terugvinden van de verschillende instanties waarbij NIS2-organisaties terecht kunnen met vragen, meldingen of incidenten.