De NIS2-richtlijn komt naar Nederland. Deze Europese cybersecurity-wetgeving gaat duizenden Nederlandse bedrijven - inclusief veel MKB'ers - verplichten tot concrete beveiligingsmaatregelen. De Cyberbeveiligingswet wordt naar verwachting in Q2 2026 van kracht. Valt jouw bedrijf onder NIS2? En wat moet je doen om compliant te zijn?
⚠️ Actuele status (6 april 2026): De Cyberbeveiligingswet is nog in behandeling bij de Tweede Kamer. Stemming staat gepland voor 7 april 2026. Na aanname volgt behandeling door de Eerste Kamer. Verwachte inwerkingtreding: Q2 2026 (vermoedelijk 1 juli 2026). Nederland heeft de EU-deadline van 17 oktober 2024 niet gehaald en heeft een inbreukprocedure van de Europese Commissie ontvangen. Dit is geen reden om niets te doen — juist nu is de tijd om je voor te bereiden.
📋 Wat is NIS2?
NIS2 staat voor Network and Information Security Directive 2. Het is de opvolger van de NIS1-richtlijn uit 2016 en heeft als doel de cybersecurity in Europa te verbeteren.
Het grote verschil met NIS1? NIS2 geldt voor veel meer bedrijven. Waar NIS1 alleen grote infrastructuurbedrijven raakte, vallen nu ook middelgrote en zelfs sommige kleine bedrijven onder de wetgeving.
🎯 Kernpunten NIS2
- ✅ Verplichte cybersecurity-maatregelen voor essentiële en belangrijke sectoren
- ✅ Getrapte meldplicht: vroegtijdige waarschuwing binnen 24 uur, incidentmelding binnen 72 uur, eindverslag binnen 1 maand
- ✅ Persoonlijke aansprakelijkheid voor directie/bestuur
- ✅ Boetes tot €10M/2% (essentiële entiteiten) of €7M/1,4% (belangrijke entiteiten) van wereldwijde omzet
- ✅ Toezicht door RDI (Rijksinspectie Digitale Infrastructuur) en sectorale toezichthouders; NCSC als nationaal CSIRT
🏢 Valt jouw bedrijf onder NIS2?
Of je bedrijf onder NIS2 valt, hangt af van twee factoren: sector en bedrijfsgrootte.
Essentiële sectoren (strengere eisen)
- 🏥 Zorg — ziekenhuizen, apotheken, medische laboratoria
- ⚡ Energie — elektriciteit, gas, olie, waterstof
- 🚰 Drinkwater — productie en distributie
- 🌐 Digitale infrastructuur — internet exchanges, DNS-providers, cloud-diensten
- 🚆 Transport — lucht-, spoor-, water- en wegvervoer
- 🏦 Financiële sector — banken, verzekeraars, beurzen
- 🏛️ Overheid — centrale en lokale overheden
Belangrijke sectoren (minder strenge eisen)
- 📮 Post en koeriers
- 🗑️ Afvalbeheer
- 🧪 Chemie — productie en distributie
- 🍔 Voedselproductie en -distributie
- 🏭 Productie — medische apparatuur, elektronica, machines, voertuigen
- 🌐 Digitale diensten — online marktplaatsen, zoekmachines, sociale media
- 🔬 Onderzoek
Bedrijfsgrootte: middelgroot of groot
Je valt onder NIS2 als je bedrijf middelgroot of groot is volgens EU-definitie (EU-Aanbeveling 2003/361/EG):
| Categorie | Medewerkers | Omzet EN/OF Balanstotaal | NIS2? |
|---|---|---|---|
| Klein | < 50 | < €10M omzet EN/OF < €10M balanstotaal | ❌ Meestal niet* |
| Middelgroot | 50-249 | €10M-€50M omzet EN/OF €10M-€43M balanstotaal | ✅ Ja |
| Groot | ≥ 250 | ≥ €50M omzet EN/OF ≥ €43M balanstotaal | ✅ Ja |
* Let op: Bij de bepaling van bedrijfsgrootte tellen ook gelieerde en partnerondernemingen mee. Een formeel klein bedrijf dat onderdeel is van een grotere groep kan dus toch in scope vallen.
⚠️ Let op: uitzonderingen
Ook kleine bedrijven kunnen onder NIS2 vallen als ze:
- De enige aanbieder zijn van een essentiële dienst in een regio
- Een kritieke rol spelen waarvan uitval significante impact heeft op openbare veiligheid of volksgezondheid
- Werken in zeer gevoelige sectoren — ongeacht grootte altijd in scope: aanbieders van openbare elektronische communicatienetwerken/-diensten, (gekwalificeerde) verleners van vertrouwensdiensten, TLD-registers, DNS-dienstverleners, overheidsorganisaties
- Als kritieke entiteit zijn aangewezen onder de CER-richtlijn
- Door de verantwoordelijke minister zijn aangewezen na een risicobeoordeling
🔒 Welke beveiligingsmaatregelen vereist NIS2?
NIS2 schrijft 10 concrete beveiligingsmaatregelen voor. Hier zijn de belangrijkste:
1. Risicoanalyse en beveiligingsbeleid
Je moet een gedocumenteerde risicoanalyse hebben en een cybersecurity-beleid dat regelmatig wordt geüpdatet.
2. Incident handling
Je moet cybersecurity-incidenten kunnen detecteren, analyseren en oplossen. NIS2 schrijft een getrapte meldingsproces voor:
- Fase 1 — Vroegtijdige waarschuwing (binnen 24 uur): Korte melding dat er mogelijk een incident is. Is er vermoeden van kwaadaardig handelen? Mogelijk grensoverschrijdend effect? Dit is een laagdrempelig "hand opsteken".
- Fase 2 — Incidentmelding (binnen 72 uur): Eerste beoordeling van ernst, impact en — indien beschikbaar — indicators of compromise.
- Fase 3 — Tussentijdse verslagen: Statusupdates op verzoek van CSIRT/toezichthouder.
- Fase 4 — Eindverslag (binnen 1 maand na incidentmelding): Gedetailleerde beschrijving, oorzaak, mitigatiemaatregelen, grensoverschrijdende impact.
3. Business continuity en disaster recovery
Je moet plannen hebben om je diensten snel te herstellen na een cyberaanval. Denk aan backups, redundantie, en herstelplannen.
4. Supply chain security
Je moet de cybersecurity van je leveranciers beoordelen. Als je leverancier wordt gehackt, ben jij verantwoordelijk.
5. Netwerk- en informatiebeveiliging
Dit is waar CleanInternet.nl om de hoek komt kijken. NIS2 vereist (Artikel 21 lid 2):
- ✅ Netwerksegmentatie — scheiding tussen verschillende delen van je netwerk
- ✅ Toegangscontrole — wie heeft toegang tot wat?
- ✅ Multi-factor authenticatie (MFA) — wanneer gepast, of continue-authenticatieoplossingen
- ✅ Cryptografie en encryptie — beleid en procedures, in voorkomend geval encryptie
- ✅ Monitoring en logging van netwerkverkeer
- ✅ Bescherming tegen malware en phishing
- ✅ Vulnerability handling and disclosure — respons op en bekendmaking van kwetsbaarheden
💰 Wat zijn de boetes?
NIS2 maakt onderscheid tussen twee categorieën entiteiten met verschillende boeteplafonds (Artikel 34):
Essentiële entiteiten
Maximaal €10 miljoen OF 2% van de wereldwijde jaaromzet (het hoogste van de twee)
Belangrijke entiteiten
Maximaal €7 miljoen OF 1,4% van de wereldwijde jaaromzet (het hoogste van de twee)
Let op: Dit zijn minimummaximums — lidstaten mogen hogere plafonds hanteren. Daarnaast kunnen lidstaten aanvullend periodieke dwangsommen opleggen (Artikel 34 lid 6).
Daarnaast kan de directie persoonlijk aansprakelijk worden gesteld. Dit is nieuw en maakt NIS2 veel serieuzer dan NIS1.
✅ Hoe wordt je NIS2-compliant?
NIS2-compliance bereiken is geen eenmalige actie, maar een continu proces. Hier is een stappenplan:
📝 Stappenplan NIS2-compliance
- Bepaal of je onder NIS2 valt — check sector en bedrijfsgrootte
- Voer een risicoanalyse uit — identificeer je kwetsbaarheden
- Implementeer technische maatregelen — netwerk-beveiliging, MFA, encryptie
- Stel beleid en procedures op — documenteer je cybersecurity-aanpak
- Train je personeel — cybersecurity-awareness voor iedereen
- Implementeer monitoring — detecteer incidenten snel
- Test je incident response — oefen met scenario's
- Beoordeel je supply chain — check de security van leveranciers
- Documenteer alles — bewijs van compliance voor toezichthouders
- Review en update regelmatig — cybersecurity is nooit "af"
🌐 Hoe CleanInternet.nl helpt met NIS2-compliance
CleanInternet.nl dekt meerdere NIS2-vereisten in één oplossing. Belangrijk: CleanInternet.nl is geen complete NIS2-oplossing (je hebt ook beleid, training, backups, etc. nodig), maar het dekt wel de technische netwerk-beveiligingseisen die voor veel bedrijven het moeilijkst te implementeren zijn.
👮 Toezicht en handhaving
De Cyberbeveiligingswet kent een gedecentraliseerde toezichtstructuur met acht toezichthouders:
Coördinerend toezichthouder
RDI (Rijksinspectie Digitale Infrastructuur) — voorheen Agentschap Telecom
Verantwoordelijk voor: energie, digitale infrastructuur, ICT-dienstverlening, overheid, ruimtevaart, post/koeriersdiensten, maakindustrie, digitale aanbieders, onderzoek
Sectorale toezichthouders
- ILT — transport, drinkwater, afvalwater, chemie, afvalbeheer, waterschappen
- DNB — bankwezen
- AFM — financiële marktinfrastructuur
- IGJ — gezondheidszorg
- NVWA — voedselproductie en -distributie
- ANVS — nucleaire sector
- AP — privacy-aspecten
Nationaal CSIRT (Computer Security Incident Response Team)
NCSC (Nationaal Cyber Security Centrum) — meldpunt en ondersteuning, géén handhavende toezichthouder. Registratie en melding via mijn.ncsc.nl
⏰ Tijdlijn: wanneer moet je compliant zijn?
🗓️ NIS2-tijdlijn Nederland
| 16 januari 2023 | NIS2-richtlijn treedt in werking op EU-niveau |
| 17 oktober 2024 | EU-deadline voor implementatie — Nederland haalt deze niet |
| 7 mei 2025 | Europese Commissie start inbreukprocedure tegen Nederland |
| 4 juni 2025 | Wetsvoorstel Cyberbeveiligingswet ingediend bij Tweede Kamer |
| 23 maart 2026 | Wetgevingsoverleg in Tweede Kamer |
| 7 april 2026 | Stemming Tweede Kamer (gepland) |
| Q2 2026 | Verwachte inwerkingtreding na behandeling Eerste Kamer (streefdatum: 1 juli 2026) |
⚠️ Nederland loopt vertraging op, maar dat is geen reden om niets te doen. Juist nu is de tijd om je voor te bereiden. Na inwerkingtreding gelden de verplichtingen direct — er is geen overgangstermijn voorzien. Handhaving zal waarschijnlijk beginnen met een aanloopperiode gericht op voorlichting en compliance-ondersteuning.
✅ Conclusie: NIS2 is serieus, maar haalbaar
NIS2 klinkt intimiderend, maar het is uiteindelijk gezond verstand: bescherm je netwerk, train je personeel, en wees voorbereid op incidenten.
Voor veel MKB-bedrijven is de grootste uitdaging de technische implementatie van netwerk-beveiliging. Daar kan CleanInternet.nl helpen: een kant-en-klare oplossing die voldoet aan NIS2-eisen voor netwerk-beveiliging, zonder dat je zelf een security-team hoeft op te bouwen.
