NIS2: nieuwe regels voor digitale weerbaarheid

Wie zijn wijNieuws, events en publicatiesNieuws

NIS2 en Cyberbeveiligingswet in Nederland

20 mei 2026
Tags Financial services Publieke & sociale sector Real estate Technologie, media & telecommunicatie +5
NIS2 en Cyberbeveiligingswet: wat betekent dit voor uw organisatie?

Cyberaanvallen en datalekken verschijnen bijna dagelijks in het nieuws. De Europese Unie heeft daarom de NIS2‑richtlijn ingevoerd: nieuwe regels voor digitale weerbaarheid die organisaties verplichten hun cybersecurity structureel te verbeteren.

In Nederland wordt deze richtlijn vertaald naar de Cyberbeveiligingswet, die de huidige Wbni gaat vervangen. Deze wet treedt naar verwachting op 1 juli 2026 in werking.

De vraag is niet langer óf cybersecurity belangrijk is, maar hoe uw organisatie hier invulling aan geeft. In dit artikel leest u wat NIS2 inhoudt, op wie de richtlijn van toepassing is en welke stappen u kunt nemen.

Wat is NIS2?

De NIS2‑richtlijn (Network and Information Security Directive) is een Europese wetgeving die de cybersecurity binnen de EU aanzienlijk moet versterken. Deze richtlijn is een uitbreiding van de oorspronkelijke NIS‑richtlijn uit 2016, met een bredere reikwijdte en strengere eisen.

Belangrijkste kenmerken van NIS2

  • EU‑brede baseline voor cybersecurity Organisaties moeten voldoen aan een minimaal beveiligingsniveau binnen alle lidstaten.
  • Breder toepassingsbereik – Meer sectoren en organisaties vallen onder de richtlijn dan bij NIS1.
  • Strengere eisen – Verhoogde verplichtingen op het gebied van risicomanagement, governance, incidentmelding en beveiliging.
  • Omzetting in nationale wetgeving – In Nederland gebeurt dit via de Cyberbeveiligingswet, inclusief toezicht en handhaving.

Op wie is NIS2 van toepassing?

NIS2 onderscheidt twee typen organisaties:

  • Essentiële entiteiten, met strenger toezicht.
  • Belangrijke entiteiten, met vergelijkbare verplichtingen.

Sectoren onder NIS2

De richtlijn geldt onder andere voor organisaties in de volgende sectoren:

  • Energie en nutsvoorzieningen.
  • Transport en logistiek.
  • Zorg.
  • Drinkwater en afvalbeheer.
  • Digitale infrastructuur en telecom.
  • Publieke sector en overheidsdiensten.
  • Voedsel en landbouw.
  • Maakindustrie en onderzoek.

Omvangcriteria

NIS2 richt zich voornamelijk op middelgrote en grote organisaties. Als vuistregel geldt dat uw organisatie waarschijnlijk onder NIS2 valt wanneer u:

  • 50 of meer medewerkers heeft, of
  • Een jaaromzet van €10 miljoen of hoger realiseert

De uiteindelijke beoordeling hangt af van sector, activiteiten en rol in de keten.

Ook organisaties die niet direct onder NIS2 vallen, kunnen ermee te maken krijgen doordat grotere partijen eisen stellen aan hun leveranciers en partners.

Wat vraagt NIS2 van organisaties?

NIS2 vereist een structurele en risicogedreven aanpak van cybersecurity. Het gaat niet om het afvinken van compliance‑eisen, maar om het integreren van security in de volledige bedrijfsvoering.

Governance en verantwoordelijkheid

  • Cybersecurity wordt een verantwoordelijkheid van directie en bestuur.
  • Besluitvorming over security vindt plaats op strategisch niveau.
  • Organisaties moeten een securitygerichte cultuur ontwikkelen.

Risicomanagement en beveiliging

  • Inrichting van een samenhangend cybersecuritybeleid.
  • Continue identificatie en beheersing van risico’s.
  • Implementatie van ‘state of the art’ maatregelen.

De zwaarte van de maatregelen is afhankelijk van de risico’s en de kritikaliteit van processen.

Incidentmanagement en meldplicht

Bij significante incidenten geldt een gefaseerde meldplicht:

  • Eerste melding binnen 24 uur.
  • Vervolgrapport binnen 72 uur.
  • Eindrapport circa 30 dagen later.

Dit draagt bij aan snelle respons en betere samenwerking.

Ketenbeveiliging en leveranciersmanagement

Organisaties moeten:

  • Risico’s in de keten actief beheren.
  • Beveiligingseisen contractueel vastleggen.
  • Aantonen dat leveranciers aan deze eisen voldoen.

Alleen vragenlijsten zijn onvoldoende; actieve controle en monitoring zijn vereist.

Waarom nu starten met NIS2‑compliance?

De Cyberbeveiligingswet treedt naar verwachting op 1 juli 2026 in werking. Voor veel organisaties is dit dichterbij dan het lijkt, gezien de benodigde voorbereidingstijd.

Belang van tijdige voorbereiding

Implementatie vraagt tijd
Het ontwikkelen van beleid, aanpassen van processen en implementeren van technologie is een meerjarig traject.

Toenemend toezicht en sancties
Na invoering kunnen toezichthouders boetes en andere maatregelen opleggen bij non‑compliance.

Versterken van cyberweerbaarheid
Investeringen in cybersecurity dragen direct bij aan bedrijfscontinuïteit en risicobeheersing.

Concurrentievoordeel
Organisaties die hun digitale veiligheid aantoonbaar op orde hebben, versterken hun positie in de markt.

NIS2‑compliance gaat daarom verder dan wetgeving en draagt bij aan een toekomstbestendige organisatie.

Hulp nodig bij NIS2?

Nieuwe regelgeving zoals NIS2 kan complex zijn. Forvis Mazars ondersteunt organisaties bij het verkrijgen van inzicht en het nemen van de juiste stappen richting compliance.

Wilt u weten of NIS2 van toepassing is op uw organisatie, welke impact dit heeft op bestuur, processen en IT en hoe u effectief kunt starten met implementatie? Forvis Mazars staat voor u klaar met praktische ondersteuning en inhoudelijke expertise.

Meer informatie?

Contact

+31 (0)88 277 15 00
Maak kennis met onze medewerkers
Onze vestigingen
Of gebruik ons contactformulier