Wat is NIS2 en waarom is het relevant voor mijn bedrijf?

<p data-pm-slice="1 1 []">NIS2 is de Europese richtlijn voor netwerk- en informatiesystemenbeveiliging. Het is relevant omdat het de informatiebeveiliging in verschillende sectoren versterkt om cyberdreigingen te voorkomen en beheren.</p> Lees meer

Zijn mijn verantwoordelijkheden onder NIS2 afhankelijk van de grootte van mijn bedrijf?

<p data-pm-slice="1 1 []">Nee, NIS2 is van toepassing op organisaties van alle groottes. De verplichtingen variëren afhankelijk van het belang van je entiteit voor de nationale infrastructuur en economische weerbaarheid.</p> Lees meer

Valt jouw organisatie onder de NIS2-richtlijn?

NIS2 komt eraan en jij moet weten of jouw organisatie daaronder valt. Deze Europese richtlijn verplicht lidstaten om strengere beveiligingsmaatregelen door te voeren voor organisaties die vallen onder de categorie essentiële entiteiten of belangrijke entiteiten. Denk aan sectoren als energie, vervoer, zorg, maar ook bepaalde digitale diensten. De richtlijn is bedoeld om de nationale veiligheid, digitale infrastructuur en openbare veiligheid te beschermen tegen zowel digitale als fysieke dreigingen.

Inhoudsopgave

Wat is NIS2 en waarom is het belangrijk?
Essentiële en belangrijke entiteiten: hoor jij erbij?
Wat schrijft de NIS2-richtlijn precies voor?
Wat betekent dit voor de Nederlandse wetgeving?
Welke sectoren en organisaties worden geraakt in 2025?
Wat moet je als werkgever nu doen?
Conclusie
Veel gestelde vragen

Wat is NIS2 en waarom is het belangrijk?

De NIS2-richtlijn is een Europese afspraak die strengere eisen stelt aan de digitale weerbaarheid van organisaties. De richtlijn vervangt de huidige wet beveiliging netwerk en informatiesystemen en wordt opgenomen in de nationale wetgeving. Hiermee wil de Europese Unie voorkomen dat cyberaanvallen of verstoringen de nationale veiligheid of openbare veiligheid in gevaar brengen.

Voor jou als werkgever betekent dit dat je mogelijk moet voldoen aan strengere beveiligingsnormen. Zeker als je organisatie onderdeel is van de kritieke infrastructuur of opereert in sectoren die impact hebben op de digitale infrastructuur van Nederland.

Wat betekent NIS2 voor jouw organisatie?

Val je onder de essentiële entiteiten of ben je aangemerkt als een van de belangrijke entiteiten? Dan ben je verplicht om je digitale processen te versterken, incidenten te melden en risico’s structureel te beheersen. De richtlijn schrijft bovendien dat je niet alleen digitale maar ook fysieke dreigingen moet meenemen in je risicobeoordeling.

De nederlandse wetgeving schrijft voor dat toezicht straks uitgevoerd wordt door de Rijksinspectie Digitale Infrastructuur. Overtreed je de regels, dan loop je kans op boetes of sancties.

Essentiële en belangrijke entiteiten: hoor jij erbij?

De NIS2-richtlijn deelt organisaties op in essentiële entiteiten en belangrijke entiteiten. Val je in zo’n groep, dan wordt jouw bedrijf automatisch onder de nationale wetgeving gebracht die de binnenlandse zaken binnenkort publiceert. Het doel is helder: de nationale veiligheid en de digitale infrastructuur beschermen. Een aantal nieuwe sectoren komt erbij; controleer dus tijdig of jouw organisatie erbij hoort.

Wie vallen onder de essentiële entiteiten?

Volgende sectoren: energie, drinkwater, vervoer, gezondheidszorg en digitale infrastructuur.
Ook kritieke entiteiten zoals grote datacenters en telecomoperators.
Publieke instellingen: lokale overheden, gemeenschappelijke regelingen en zelfstandige bestuursorganen die een vitale rol spelen.
De nieuwe Wet weerbaarheid kritieke entiteiten sluit hierop aan en vraagt om snelle implementatie.

Wat zijn belangrijke entiteiten?

Bedrijven uit andere sectoren—denk aan voedsel, post, elektronica en chemie—vallen onder bepaalde sectoren met lichtere eisen. Toch moet je je economische weerbaarheid aantonen, voldoen aan strengere beveiligingsnormen en direct actie komen beveiligen bij incidenten. De Rijksoverheid adviseert organisaties om procedures op te stellen en zo strafbare feiten te voorkomen.

hoor jij bij de nis2?

Wat schrijft de NIS2-richtlijn precies voor?

De NIS2-richtlijn legt vast hoe je jouw organisatie moet voorbereiden op continu veranderende risico’s. De richtlijn bevat verplichte processen om meldingen niet achteraf plaatsvindt maar direct te doen, zodat de Rijksinspectie Digitale Infrastructuur snel kan optreden. Daarnaast vervangt NIS2 de oude wet beveiliging netwerk en sluit aan op de bredere critical entities resilience directive.

Strengere beveiligingsnormen voor netwerk en systemen

Voer periodieke risicoanalyses uit om informatiesystemen [die] bedreigen tijdig te detecteren.
Toon je economische weerbaarheid aan met aantoonbare procedures voor herstel.
Koppel je maatregelen aan de nieuwe nationale wetgeving én de bestaande nederlandse wetgeving voor de digitale infrastructuur.

Digitale én fysieke dreigingen aanpakken

Naast cyberrisico’s moet je plannen klaar hebben voor fysieke dreigingen die de nationale veiligheid of openbare veiligheid kunnen verstoren. Dat geldt voor critical entities in de volgende sectoren (energie, zorg, vervoer, telecom) én organisaties uit andere branches die onder de wet beveiliging worden geplaatst. Door nu actie komen beveiligen, verklein je de kans op boetes en schade.

Wat betekent dit voor de Nederlandse wetgeving?

De Europese Unie verplicht alle Europese lidstaten om de NIS2-richtlijn direct op te nemen in hun nationale wetgeving. In Nederland gebeurt dat via wijzigingen in de huidige Wet beveiliging netwerk en informatiesystemen en een bredere Wet beveiliging. Onder leiding van Binnenlandse Zaken komt er nieuwe wetgeving die zowel essentiële entiteiten als belangrijke entiteiten onder strengere beveiligingsnormen plaatst om de digitale infrastructuur en de openbare veiligheid te beschermen.

Hoe wordt de richtlijn omgezet?

Het wetsvoorstel wordt gepubliceerd en getoetst aan bestaande Nederlandse wetgeving.
Na goedkeuring volgt een korte overgangsperiode voordat handhaving start.
De Rijksinspectie Digitale Infrastructuur controleert naleving en kan sancties opleggen.

Wet weerbaarheid kritieke entiteiten (Wwke)

Parallel introduceert de overheid de Wet weerbaarheid kritieke entiteiten, de nationale uitwerking van de Critical Entities Resilience Directive. Deze wet richt zich op kritieke entiteiten en verplicht maatregelen tegen fysieke dreigingen naast cyberrisico’s. Samen vormen beide wetten één robuust kader voor vitale diensten.

Welke sectoren en organisaties worden geraakt in 2025?

De NIS2-richtlijn breidt het aantal verplicht deelnemende sectoren flink uit. Naast bekende vitale sectoren vallen nu ook andere sectoren onder de nieuwe regels, waaronder afvalbeheer, postdiensten, levensmiddelenproductie en ruimtevaart. Ook digitale dienstverleners en hostingbedrijven worden meegenomen in de lijst met bepaalde sectoren.

Wie moet zich voorbereiden?

Als jouw organisatie deel uitmaakt van de volgende sectoren, moet je rekening houden met de wet beveiliging netwerk én de nieuwe verplichtingen vanuit de nationale wetgeving:

Lokale overheden die publieke dienstverlening ondersteunen
Gemeenschappelijke regelingen met vitale taken
Zelfstandige bestuursorganen met invloed op de infrastructuur
Leveranciers van IT- of telecomdiensten binnen de EU

Je organisatie kan bovendien als kritieke entiteit worden aangemerkt, ook als je daar eerder niet onder viel. De rijksoverheid adviseert organisaties daarom actief te controleren of ze onder de richtlijn vallen. Wachten tot handhaving begint is geen optie, zeker niet wanneer het risico op strafbare feiten toeneemt.

nis2

Wat moet je als werkgever nu doen?

De NIS2-richtlijn verplicht je om niet af te wachten, maar direct maatregelen te nemen. Of je nu onder de essentiële entiteiten valt of onder de belangrijke entiteiten: voorbereiding is verplicht. De nationale wetgeving laat geen ruimte voor twijfel — de verantwoordelijkheid ligt bij jou.

Stap 1: Inventariseer of jouw organisatie valt onder de richtlijn

Controleer of je organisatie voorkomt in de lijst met bepaalde sectoren. Denk aan transport, energie, zorg, voedselketen, of aanbieders van digitale diensten. Vergeet ook je rol in de keten niet: ook toeleveranciers kunnen als kritieke entiteiten worden gezien.

Stap 2: Verhoog je economische weerbaarheid en beveiliging

Zorg voor een duidelijke aanpak om fysieke dreigingen en digitale risico’s aan te pakken. Richt een incidentresponsplan in, en voer risicoanalyses uit op je informatiesystemen.

Stap 3: Werk samen met de Rijksinspectie Digitale Infrastructuur

Deze instantie houdt toezicht en ondersteunt organisaties bij het naleven van de regels. Bij signalen van risico’s moet je actie komen beveiligen.

Stap 4: Voorkom risico’s en strafbare feiten

Zorg dat je personeel alert is, processen geborgd zijn en dat je documentatie op orde is. Niet naleven van de richtlijn kan leiden tot onderzoek en sancties, ook bij indirecte betrokkenheid.

Conclusie

De invoering van NIS2 is geen ver-van-je-bed-show, maar directe verplichting. De rijksoverheid adviseert organisaties om vóór inwerkingtreding te toetsen of ze onder de essentiële entiteiten of belangrijke entiteiten vallen. Die toetsing is geen momentopname: je moet structureel kunnen aantonen dat je voldoet aan de nieuwe eisen in de nationale wetgeving.

Bewustwording binnen je organisatie

Zorg dat management en IT-afdeling op één lijn zitten. Achteraf plaatsvindt-denken is verleden tijd. Incidenten moeten direct worden gemeld en adequaat worden afgehandeld. Maak compliance onderdeel van je bedrijfsvoering, zeker als je valt onder kritieke entiteiten of opereert in bepaalde sectoren.

Veel gestelde vragen

De NIS2-richtlijn onderscheidt twee hoofdgroepen: essentiële entiteiten en belangrijke entiteiten. Binnen deze groepen vallen verschillende sectoren:

Essentiële entiteiten (verplicht met zwaardere eisen):
- Energie (elektriciteit, olie, gas)
- Drinkwater en afvalwater
- Transport (lucht, spoor, weg, maritiem)
- Digitale infrastructuur (DNS, datacenters, cloudproviders)
- Gezondheidszorg
- Overheidsinstanties (o.a. gemeenten, zelfstandige bestuursorganen)
Belangrijke entiteiten (minder zwaar gereguleerd):
- Voedselproductie en distributie
- Chemische sector
- Post- en koeriersdiensten
- Productie van kritieke producten (medicijnen, chips, elektronica)
- Digitale dienstverleners (zoals webhosting)
- Afvalbeheer
- Ruimtevaart
De NIS2-wet is de Nederlandse vertaling van de NIS2-richtlijn van de Europese Unie. Deze wet verplicht organisaties in vitale en gevoelige sectoren om hun digitale én fysieke beveiliging op orde te hebben. De wet:
- Breidt het aantal sectoren uit t.o.v. de oude NIS1-richtlijn,
- Introduceert strengere beveiligingsnormen,
- Verplicht melding van incidenten,
- Legt toezicht bij o.a. de Rijksinspectie Digitale Infrastructuur.
De registratieplicht voor NIS2 gaat naar verwachting in per oktober 2024. Organisaties die onder de wet vallen, moeten zich vanaf dan registreren bij de toezichthouder. De exacte datum wordt nog definitief vastgesteld bij de inwerkingtreding van de wetgeving.

Let op: registratie is verplicht, ook als je organisatie al bestaande beveiligingsmaatregelen heeft. Zonder registratie loop je risico op boetes of toezichtmaatregelen.

Personeelsplanning en urenregistratie software!

Eenvoudige personeelsplanning
Overzichtelijke urenregistratie
Makkelijke verlofregistratie

Gratis uitproberen Demo aanvragen

Geschreven door:

Lajea van der Willik

Dankzij mijn uitgebreide ervaring binnen HR, specialiseer ik mij in het vertalen van complexe HR-thema's naar toegankelijke en toepasbare content. Als deskundige in contentmarketing, ondersteun ik organisaties bij het optimaliseren van hun personeelsstrategieën en het inspireren van hun teams. Het is mijn missie om lezers te voorzien van de kennis die ze nodig hebben om hun werkomgeving te verbeteren.

Disclaimer

Let op: de informatie op onze website is bedoeld voor algemene informatieve doeleinden en niet als bindend advies. De informatie op onze website kan niet worden beschouwd als vervanging voor juridisch en bindend advies voor een specifieke situatie. Ondanks onze research, bieden wij geen garantie voor de nauwkeurigheid, volledigheid en actualiteit van de informatie op onze website. Wij zijn niet aansprakelijk voor enige schade of verlies dat voortvloeit uit het gebruik van de informatie op onze website.