Skip to main content
NIS2 - je kunt niet zomaar een vinkje zetten

NIS2 – meer dan een vinkje zetten

De digitale wereld wordt er niet eenvoudiger op. Cyberaanvallen worden slimmer, sneller en schadelijker. Overheden reageren daarop met strengere regels. Een van de grootste veranderingen heet NIS2: de Europese richtlijn die organisaties verplicht om hun digitale weerbaarheid op orde te brengen.

Maar hoe werkt dat precies? En wat betekent dit voor bedrijven in Nederland die de komende jaren met nieuwe verplichtingen te maken krijgen?

De kern van NIS2

NIS2 is eind 2022 vastgesteld door de Europese Unie. Lidstaten moesten de richtlijn uiterlijk 17 oktober 2024 omzetten in nationale wetgeving. Vanaf 18 oktober 2024 geldt de richtlijn formeel in de EU. In de praktijk: pas als Nederland de regels heeft omgezet in een eigen wet, zijn ze hier ook echt afdwingbaar.

NIS2 gaat veel verder dan de eerdere versie (NIS1). Waar eerst alleen een kleine groep “essentiële aanbieders” onder de wet viel, wordt de kring nu veel groter. Denk aan de zorg, cloudproviders, logistiek, digitale dienstverleners en een deel van het mkb. De gedachte daarachter is simpel: steeds meer sectoren zijn zo afhankelijk van digitale systemen dat een incident grote maatschappelijke gevolgen kan hebben.

De verplichtingen? Kort samengevat:

  • aantoonbaar risicobeheer
  • registratieplicht
  • en  meldplicht bij ernstige incidenten.

Bovendien bevat NIS2 een duidelijke en expliciete verantwoordelijkheid voor de hele leveranciersketen.

 

De Nederlandse planning: vertraagd en onzeker

Nederland had NIS2 in oktober 2024 moeten hebben omgezet. Dat is niet gelukt. De reden: ingewikkelde wetgevingstrajecten en politieke vertraging.

Juni 2025 – het wetsvoorstel voor de Cyberbeveiligingswet (Cbw) ligt bij de Tweede Kamer.
Eind 2025 – optimistisch scenario voor invoering.
Eerste helft 2026 – verwachting voor daadwerkelijke inwerkingtreding.

Dit betekent dat organisaties in Nederland nog niet juridisch verplicht zijn, maar dat verandert snel. Wachten tot de wet er is, is riskant: de voorbereiding kost tijd en toezicht komt onherroepelijk dichterbij.

Tijdlijn NIS2

December 2022 – Europese Unie stelt de NIS2-richtlijn vast.
17 oktober 2024 – Deadline voor omzetting naar nationale wetgeving.
18 oktober 2024 – NIS2 treedt formeel in werking in de EU.
Juni 2025 – Wetsvoorstel Cyberbeveiligingswet ingediend bij de Tweede Kamer.
2026 (eerste helft) – Verwachte daadwerkelijke inwerkingtreding van de Cyberbeveiligingswet.


Amvb: de details die ertoe doen

Een wet geeft de grote lijnen. De Algemene Maatregelen van Bestuur (Amvb) vullen die in. Daarin komt te staan welke sectoren precies welke regels krijgen, hoe snel incidenten gemeld moeten worden en welke rapportagevormen gelden. Het lastige is dat dit per sector kan verschillen. Een ziekenhuis kent andere risico’s dan een telecomprovider. Juist daarom is de Amvb bepalend: hier staat straks zwart op wit waar je aan moet voldoen.

Sectorale normen als houvast

Naast de wet en de Amvb zijn er normen per branche. Voor de overheid is er de BIO, voor de zorg de NEN7510. Zulke kaders geven concreet invulling aan de vage formulering “adequate maatregelen”. Organisaties gebruiken ze niet alleen om compliant te worden, maar ook als basis voor audits en certificering.

ISO27001 als fundament

Onder vrijwel alle sectorale normen ligt dezelfde basis: ISO27001, de internationale standaard voor informatiebeveiliging. Wie ISO27001 al toepast, staat dus niet met lege handen. Het helpt bij risicobeheer en continue verbetering. Maar ISO27001 dekt niet alles. NIS2 legt meer nadruk op bestuursverantwoordelijkheid, meldplicht en leveranciersmanagement. Zie het dus als fundament, niet als eindstation.

Wat betekent dit concreet?

Elke organisatie moet zichzelf drie vragen stellen:

  1. Val ik onder NIS2?
    Dat hangt af van sector, omvang en rol in de samenleving.
  2. Waar sta ik nu?
    Een nulmeting maakt duidelijk hoe volwassen je beveiliging al is.
  3. Hoe vul ik de gaten op?
    Dit vraagt om geld, tijd en vooral betrokkenheid van bestuurders.
     

Kritische noot

Veel organisaties zien NIS2 als “nog een vinklijstje”. Dat is een gevaarlijke misvatting. Cyberaanvallen zijn dagelijkse realiteit. Denk aan ransomware in ziekenhuizen of DDoS-aanvallen op gemeenten – voorbeelden die breed in het nieuws zijn geweest.

Een ander risico: vooral kleinere organisaties krijgen moeite met de lasten. Zonder ondersteuning van brancheorganisaties of overheid dreigt er een papieren werkelijkheid te ontstaan.

Voorbereiden in de praktijk – acht stappen

  1. Inventariseer je verplichtingen
    Bepaal of je onder NIS2 valt en welke normenkaders voor jouw sector gelden. Dat is de basis voor elke volgende stap.

  2. Doe een gap-analyse
    Vergelijk je huidige maatregelen met de eisen van NIS2 en ISO27001. Zo zie je precies waar de gaten zitten.

  3. Zorg dat bestuurders aan tafel zitten
    Bestuurders zijn eindverantwoordelijk. Hun betrokkenheid is nodig om beslissingen en budget rond te krijgen.

  4. Verplichte bestuurderstraining
    NIS2 schrijft voor dat bestuurders voldoende kennis moeten hebben. Training helpt om hun rol te begrijpen en risico’s te beoordelen.

  5. Kijk naar je leveranciers
    De keten telt mee. Stel eisen aan je leveranciers en leg afspraken contractueel vast om gezamenlijke risico’s te beperken.

  6. Oefen met incidentrespons
    Theorie is mooi, maar werkt pas als je het test. Door crisisscenario’s te oefenen ontdek je hoe goed je meldprocessen en communicatie zijn.

  7. Versterk documentatie en bewijsvoering
    Toezichthouders zullen bewijs vragen. Zorg dat beleid, processen en registraties klaarstaan – niet achteraf bij elkaar gesprokkeld.

  8. Begin op tijd
    Implementatie kost maanden, soms jaren. Wachten tot de wet in werking is, kan je duur komen te staan.
     

En nu?

NIS2 draait niet om papieren compliance, maar om echte digitale weerbaarheid. De EU en straks de Nederlandse overheid zetten hiermee de toon: cybersecurity is een kerntaak, geen bijzaak. De vraag is dus niet óf je te maken krijgt met een cyberincident, maar wanneer. Hoe voorbereid ben jij? Wat doe jij er nu aan?

Heb je hulp nodig? 

Neem contact op