De NIS2-richtlijn: alles wat jij moet weten over de nieuwe cyberbeveiligingswet (cbw)

Ontdek de NIS2-richtlijn, de impact op jouw organisatie en de Nederlandse Cyberbeveiligingswet (Cbw). Bereid je voor op strengere cyberbeveiligingseisen en voorkom boetes.

De digitale wereld waarin we leven, biedt talloze voordelen, maar brengt ook aanzienlijke risico’s met zich mee. Cyberaanvallen worden steeds geavanceerder en de impact ervan op bedrijven, overheden en de maatschappij als geheel is enorm. Om deze groeiende dreiging het hoofd te bieden, heeft de Europese Unie de NIS2-richtlijn (Directive 2022/2555) in het leven geroepen. Deze richtlijn is een cruciale stap om de cybersecuritystandaarden binnen de hele EU aanzienlijk te verhogen en de digitale, fysieke en economische weerbaarheid van lidstaten te versterken.

NIS2 vervangt de eerdere NIS1-richtlijn (2016/1148) en bouwt voort op de lessen die daaruit zijn getrokken. Het doel is duidelijk: een uniform juridisch kader creëren, nationale cybercapaciteiten versterken en een proactieve, collaboratieve aanpak van cyberrisico’s bevorderen. In Nederland krijgt deze richtlijn vorm via de Cyberbeveiligingswet (Cbw). Tegelijkertijd richt de complementaire Critical Entities Resilience (CER)-richtlijn zich op fysieke bedreigingen van kritieke infrastructuren, waardoor een holistische benadering van veerkracht wordt gewaarborgd.

Als organisatie is het van essentieel belang dat jij de implicaties van NIS2 begrijpt en je tijdig voorbereidt. Hoewel de Nederlandse Cbw naar verwachting pas medio 2026 van kracht wordt, is wachten geen optie. Lees verder om alles te ontdekken wat jij moet weten over NIS2 en de Cbw, en waarom nu handelen cruciaal is voor jouw digitale veiligheid en compliance.

Wat is de NIS2-richtlijn precies?

De NIS2-richtlijn is in essentie een herziening en uitbreiding van de oorspronkelijke Network and Information Security (NIS)-richtlijn. Deze richtlijn stelt bindende maatregelen vast voor lidstaten om hun algehele niveau van cyberbeveiliging te verbeteren. Het is ontworpen om een hogere mate van gemeenschappelijke cyberbeveiliging te bereiken in de gehele Unie.

NIS2 legt de lat hoger door:

• Een bredere reikwijdte: Veel meer sectoren en organisaties vallen nu onder de richtlijn.
• Strengere eisen: Er zijn duidelijkere en robuustere regels voor risicobeheer en incidentrapportage.
• Bestuursaansprakelijkheid: Topmanagement wordt direct verantwoordelijk gehouden voor cybersecurity.
• Europese samenwerking: De richtlijn stimuleert grensoverschrijdende uitwisseling van informatie en coördinatie bij incidenten.

Het uiteindelijke doel is om de weerbaarheid tegen cyberdreigingen te vergroten en de stabiliteit van de digitale economie en maatschappij in de EU te waarborgen.

De uitgebreide reikwijdte van NIS2: wie wordt getroffen?

Een van de meest significante veranderingen van NIS2 ten opzichte van NIS1 is de enorme uitbreiding van de reikwijdte. Waar NIS1 zich richtte op zeven ‘vitale sectoren’, omvat NIS2 nu maar liefst 18 kritieke sectoren en categorieën entiteiten. Jouw organisatie valt onder de richtlijn als je als “essentiële entiteit” of “belangrijke entiteit” wordt geclassificeerd.

Essentiële en belangrijke entiteiten

Organisaties worden ingedeeld op basis van hun omvang en het belang van de diensten die zij leveren voor de maatschappij en economie.

• Essentiële entiteiten: Dit zijn grote organisaties die diensten leveren die van cruciaal belang zijn voor het functioneren van de maatschappij, zoals energiebedrijven, ziekenhuizen en transportondernemingen. Zij vallen onder een strenger toezichtsregime.
• Belangrijke entiteiten: Dit zijn middelgrote en grote ondernemingen in andere kritieke sectoren die een belangrijke rol spelen, maar niet per se van vitaal belang zijn voor het behoud van kritieke maatschappelijke of economische activiteiten. Zij vallen onder een lichter toezichtsregime, vaak reactief.

De uitgebreide lijst van sectoren

NIS2 breidt de dekking uit naar nieuwe gebieden, waaronder:

• Energie: Elektriciteit, olie, gas, waterstof, stadsverwarming.
• Vervoer: Luchtvaart, spoor, water, wegvervoer.
• Bankwezen en financiële marktinfrastructuren.
• Gezondheidszorg: Zorgverleners, farmaceutische bedrijven, medische hulpmiddelen.
• Drinkwater en afvalwater.
• Digitale infrastructuur: Internetknooppunten, DNS-serviceproviders, TLD-naamregisterhouders.
• Digitale diensten: Cloud computing-diensten, online marktplaatsen, online zoekmachines, sociale mediaplatforms.
• Beheer van ICT-diensten (B2B).
• Openbare elektronische communicatienetwerken en -diensten.
• Productie van kritieke producten: Farmaceutische producten, medische hulpmiddelen, chemische stoffen, computers en elektronische producten, machines, motorvoertuigen, trailers en opleggers, andere transportmiddelen.
• Post- en koeriersdiensten.
• Afvalbeheer.
• Voedselproductie, -verwerking en -distributie.
• Ruimtevaart.
• Centrale en regionale overheid.

Dit betekent dat veel meer organisaties dan voorheen zich moeten voorbereiden op de nieuwe regels.

Jouw verplichtingen onder de NIS2-richtlijn (en de nederlandse cbw)

NIS2 introduceert een reeks verplichtingen die de cyberweerbaarheid van organisaties fundamenteel moeten veranderen. Deze verplichtingen worden in Nederland nationaal vastgelegd in de Cyberbeveiligingswet (Cbw).

Bestuursaansprakelijkheid: cybersecurity op directieniveau

Een van de meest baanbrekende aspecten van NIS2 is de expliciete introductie van bestuursaansprakelijkheid. Cybersecurity is niet langer een puur technische IT-kwestie, maar wordt verheven tot een strategische governance-prioriteit. Dit betekent dat:

• Leden van het topmanagement (bestuurders, directie) verantwoordelijk worden gehouden voor het beheer van cyberbeveiligingsrisico’s binnen hun organisatie.
• Zij verplicht zijn om toezicht te houden op de implementatie van cyberbeveiligingsmaatregelen.
• Zij trainingen moeten volgen om voldoende inzicht te hebben in cyberrisico’s en de impact ervan.

Dit dwingt organisaties om cybersecurity een vaste plek te geven op de agenda van de directiekamer en er voldoende middelen voor vrij te maken.

Kernverplichtingen voor organisaties

Organisaties die onder de reikwijdte van de Cbw (NIS2) vallen, krijgen de volgende kernverplichtingen:

• Registratieplicht: Je bent wettelijk verplicht om jouw organisatie te registreren in een nationaal entiteitenregister. Dit zorgt voor overzicht en maakt toezicht mogelijk.
• Incidentrapportage: Significante cyberincidenten moeten zo snel mogelijk worden gerapporteerd aan het relevante Computer Security Incident Response Team (CSIRT) en de toezichthoudende autoriteit. De eerste melding moet binnen 24 uur na kennisname plaatsvinden, gevolgd door een gedetailleerdere melding en een eindrapportage. Dit is een versnelling ten opzichte van NIS1.
• Risicobeheer en beveiligingsmaatregelen: Jouw organisatie moet een grondige risicoanalyse uitvoeren en passende, proportionele technische en organisatorische beveiligingsmaatregelen implementeren voor jouw netwerk- en informatiesystemen. Dit omvat, maar is niet beperkt tot:
  • Beleid voor risicoanalyse en informatiebeveiliging.
  • Incidentbeheer (detectie, analyse, inperking, herstel).
  • Bedrijfscontinuïteit en crisisbeheer (back-up en herstel).
  • Beveiliging van de toeleveringsketen.
  • Beveiliging van netwerk- en informatiesystemen (netwerksegmentatie, kwetsbaarheidsscans).
  • Toegangsbeheer (identiteits- en toegangsbeheer, multi-factor authenticatie - MFA).
  • Gebruik van cryptografie en encryptie.
  • Beveiliging van HR, beleid inzake toegangscontrole, assetmanagement.
  • Beveiligingstraining en bewustmakingscampagnes.

Deze maatregelen moeten proactief en dynamisch zijn, en regelmatig worden herzien om gelijke tred te houden met de evoluerende dreigingslandschappen.

De nederlandse implementatie: de cyberbeveiligingswet (cbw)

Hoewel de EU-deadline voor lidstaten om NIS2 in nationale wetgeving om te zetten 17 oktober 2024 was, volgt Nederland een eigen, iets vertraagd, pad. De Nederlandse Cyberbeveiligingswet (Cbw), die NIS2 implementeert, zal naar verwachting rond Q2 2026 of 1 juli 2026 in werking treden. Deze wet zal de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangen en verder aanscherpen.

Deze vertraging betekent echter geen uitstel van voorbereiding. De kernprincipes en verplichtingen van NIS2 zijn vaststaand. Zodra de Cbw van kracht wordt, zullen de eisen direct van toepassing zijn op de getroffen organisaties.

Waarom nu al beginnen met voorbereiden?

“Wacht niet met de voorbereidingen op de NIS2-richtlijn”, adviseert Astrid Oosenbrug, Public Affairs & CSR Officer bij ESET Nederland. “Hoewel nationale wetten kunnen variëren omdat NIS2 een richtlijn is, blijven de kernprincipes consistent. Compliance is onmiddellijk verplicht bij nationale inwerkingtreding, waardoor een vroege voorbereiding onmisbaar is.”

De urgentie van proactieve actie

Uitstel van voorbereiding is geen optie en kan ernstige gevolgen hebben.

• Beperking van bestaande cyberrisico’s: Door nu te beginnen, kan jij zwakke plekken in jouw huidige beveiligingshouding identificeren en aanpakken, nog voordat de wet van kracht wordt. Dit verlaagt jouw risico op incidenten aanzienlijk.
• Tijdige compliance: Het opzetten van een robuust cybersecuritykader, het implementeren van nieuwe maatregelen en het trainen van personeel kost tijd. Door vroeg te beginnen, voorkom je last-minute stress en de kans op non-compliance.
• Concurrentievoordeel: Organisaties die proactief zijn, bouwen een sterker veiligheidsprofiel op, wat het vertrouwen van klanten en partners kan vergroten.

Gevolgen van non-compliance

Het niet voldoen aan de NIS2-eisen kan leiden tot aanzienlijke sancties:

• Boetes: Er kunnen aanzienlijke boetes worden opgelegd, tot wel €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en tot €7 miljoen of 1,4% voor belangrijke entiteiten.
• Sancties en verscherpt toezicht: Naast boetes kunnen toezichthouders andere maatregelen opleggen, zoals het verplichten van bepaalde beveiligingsmaatregelen of het instellen van verscherpt toezicht.
• Reputatieschade: Een incident of een melding van non-compliance kan ernstige schade toebrengen aan jouw reputatie en het vertrouwen van klanten en stakeholders.
• Operationele verstoringen: Zonder adequate maatregelen loop je een groter risico op operationele verstoringen door cyberaanvallen.

Het naleven van NIS2 is dus niet alleen een wettelijke plicht, maar een noodzakelijke investering in de continuïteit en reputatie van jouw organisatie.

Een geïntegreerd europees cybersecurity ecosysteem

NIS2 gaat verder dan individuele organisaties en lidstaten door een geïntegreerd Europees cybersecurity ecosysteem te bevorderen. Dit gebeurt via verschillende samenwerkingsstructuren:

• CSIRT-netwerk: Dit netwerk faciliteert de snelle uitwisseling van informatie over cyberdreigingen en maakt gecoördineerde respons op incidenten mogelijk.
• EU-CyCLONe: Het European Cyber Crisis Liaison Organisation Network is opgericht om grootschalige cyberbeveiligingsincidenten of -crises effectief te beheren over de hele EU.
• NIS-samenwerkingsgroep: Dit platform voor strategische samenwerking en informatie-uitwisseling tussen EU-lidstaten, de Europese Commissie en ENISA (het EU-agentschap voor cyberbeveiliging) publiceert ook niet-bindende richtlijnen om organisaties te helpen.

Deze samenwerkingsverbanden zorgen voor een gecoördineerde aanpak tegen transnationale cyberdreigingen en versterken de collectieve cyberweerbaarheid van de EU. Daarnaast draagt de NIS2-richtlijn bij aan een holistische veerkrachtstrategie door te focussen op digitale risico’s, terwijl de aanvullende CER-richtlijn zich richt op fysieke bedreigingen zoals terrorisme, sabotage en natuurrampen, en zo een veelzijdige aanpak voor de bescherming van kritieke entiteiten waarborgt.

Recente ontwikkelingen en de toekomst van europese cyberbeveiliging

De Europese Commissie is continu bezig met het verbeteren en verfijnen van het cybersecuritybeleid. Zo werden in januari 2026 al gerichte wijzigingen in NIS2 voorgesteld om de juridische duidelijkheid te vergroten en de compliance voor een breed scala aan bedrijven, inclusief kleine en middelgrote ondernemingen (kmo’s), te stroomlijnen.

Ook recentere initiatieven tonen de dynamiek op dit gebied:

• Cyber Resilience Act (CRA): In februari/maart 2026 publiceert de Europese Commissie conceptrichtlijnen ter feedback om bedrijven te helpen bij de toepassing van de Cyber Resilience Act (CRA), die zich richt op de cyberbeveiliging van digitale producten.
• EURO-3C project: Een €75 miljoen EURO-3C project is aangekondigd om Europa’s eerste grootschalige gefedereerde Telco-Edge-Cloud infrastructuur te ontwikkelen, ondersteund door Horizon Europe. Dit onderstreept de investeringen in robuuste digitale infrastructuren.
• EU toolbox voor ICT-toeleveringsketens: Er is een EU-toolbox aangenomen voor het beveiligen van ICT-toeleveringsketens, met als doel cyberbeveiligingsrisico’s te identificeren, te beoordelen en te mitigeren. Dit is cruciaal, aangezien supply chain aanvallen een steeds grotere dreiging vormen.

Deze initiatieven tonen aan dat het landschap van cyberbeveiligingswetgeving en -strategieën voortdurend in beweging is, met een focus op continue verbetering en aanpassing aan nieuwe dreigingen.

Conclusie: jouw pad naar NIS2-compliance

De NIS2-richtlijn en de daaruit voortvloeiende Cyberbeveiligingswet (Cbw) vertegenwoordigen een ingrijpende verschuiving in hoe organisaties in de EU met cyberbeveiliging moeten omgaan. Het is niet langer een optionele investering of een louter technische aangelegenheid, maar een fundamentele bedrijfsfunctie die integraal onderdeel moet zijn van jouw operationele processen, beleid en directiebestuur.

Om succesvol te navigeren in dit nieuwe landschap, moet jij:

• Cybersecurity internaliseren: Maak er een kernonderdeel van jouw bedrijfsstrategie van.
• Een risicogebaseerde aanpak hanteren: Voer continue risicobeoordelingen uit en implementeer proportionele beveiligingsmaatregelen.
• Een robuust cybersecuritykader opzetten: Ontwikkel en implementeer beleid, procedures en technologieën voor preventie, detectie en respons.
• Incidentrespons plannen: Zorg voor effectieve detectie- en responsplannen voor cyberincidenten.
• Een cultuur van bewustzijn creëren: Investeer in training en bewustwording voor alle medewerkers, van directie tot de werkvloer.
• Beginnen met voorbereiden: Gezien de Nederlandse implementatietijdlijn en de zwaarte van de verplichtingen, is nu het moment om actie te ondernemen.

De noodzaak om due diligence aan te tonen en de potentiële boetes voor non-compliance maken vroege betrokkenheid bij de NIS2-eisen absoluut cruciaal. Samenwerken met ervaren cybersecurity-oplossingsproviders en juridische adviseurs gespecialiseerd in cyberrecht kan jou de kritieke ondersteuning bieden die nodig is om dit complexe regelgevende landschap te doorgronden en de algehele digitale veerkracht van jouw organisatie te versterken. Jouw investering in compliance vandaag is de bescherming van jouw bedrijf morgen.