Geldt NIS2 ook voor kleine bedrijven?

In principe geldt NIS2 voor middelgrote en grote entiteiten in de aangewezen sectoren. Kleinere organisaties vallen er toch onder als zij bijvoorbeeld de enige aanbieder van een essentiële dienst in een lidstaat zijn, als hun uitval een significant grensoverschrijdend risico zou veroorzaken, of als zij actief zijn als aanbieder van openbare elektronische communicatiediensten of als verlener van vertrouwensdiensten.

Welke sectoren vallen onder NIS2?

NIS2 dekt 18 kritieke sectoren. Naast de sectoren die al onder NIS1 vielen — energie, transport, zorg, financiën, waterbeheer en digitale infrastructuur — zijn er sectoren bijgekomen: openbare elektronische communicatie, aanvullende digitale diensten (waaronder sociale platforms), afval- en afvalwaterbeheer, vervaardiging van kritieke producten, post- en koeriersdiensten, overheidsinstanties op centraal en regionaal niveau, en de ruimtevaartsector.

Wat houdt de meldplicht precies in?

Entiteiten die onder NIS2 vallen, moeten significante incidenten melden bij de bevoegde nationale autoriteit. Een incident geldt als significant wanneer het aanzienlijke verstoring of schade kan veroorzaken.

Wat betekent bestuurdersaansprakelijkheid onder NIS2?

De richtlijn introduceert aansprakelijkheid van het topmanagement wanneer een organisatie de vereiste risicobeheermaatregelen niet naleeft. Dit is bedoeld om cyberbeveiliging op bestuursniveau te verankeren.

Wanneer moest NIS2 in nationaal recht zijn omgezet?

Lidstaten hadden tot 17 oktober 2024 om NIS2 in nationaal recht om te zetten. Vanaf 18 oktober 2024 is NIS1 ingetrokken en vervangen door NIS2.

← Terug naar het overzicht

Bevestigd7 juni 2026AI-gegenereerd

NIS2: wat de EU-cyberwet van uw organisatie vraagt

De NIS2-richtlijn (Richtlijn (EU) 2022/2555) verplicht middelgrote en grote organisaties in 18 kritieke sectoren tot steviger cyberbeveiliging, meldplicht bij incidenten en bestuurdersaansprakelijkheid. Lidstaten hadden tot 17 oktober 2024 om de wet om te zetten in nationaal recht.

Kernpunten

NIS2 is de EU-richtlijn die een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Unie wil garanderen en de vroegere NIS1-richtlijn vervangt.
Middelgrote en grote entiteiten in 18 kritieke sectoren — van energie en zorg tot overheid en ruimtevaart — vallen onder de wet; in bepaalde gevallen ook kleinere organisaties.
Kernverplichtingen zijn: risicobeheer, meldplicht bij significante incidenten, en aansprakelijkheid van het topmanagement bij niet-naleving.
De omzettingstermijn voor lidstaten verstreek op 17 oktober 2024; op 20 januari 2026 stelde de Commissie gerichte wijzigingen voor om de naleving te vereenvoudigen.

NIS2 in het kort

NIS2 — voluit Richtlijn (EU) 2022/2555 — is de EU-wet die de cyberbeveiliging van netwerk- en informatiesystemen in kritieke sectoren op een hoger en uniform niveau brengt. De richtlijn trad in januari 2023 in werking en verving per 18 oktober 2024 haar voorganger NIS1 (Richtlijn 2016/1148).

De wet geldt in beginsel voor middelgrote en grote entiteiten (conform de EU-definitie van middelgrote ondernemingen) die actief zijn in de sectoren genoemd in de bijlagen van de richtlijn. In bepaalde gevallen — zoals wanneer een entiteit de enige aanbieder van een essentiële dienst in een lidstaat is, of wanneer verstoring een significant grensoverschrijdend risico zou veroorzaken — gelden de verplichtingen ongeacht de bedrijfsomvang.

Vier kernverplichtingen

Risicobeheer — organisaties moeten passende technische en organisatorische maatregelen nemen om cyberrisico's te beheersen, inclusief beveiliging van de toeleveringsketen.
Meldplicht — significante incidenten (die aanzienlijke verstoring of schade kunnen veroorzaken) moeten gemeld worden bij de bevoegde nationale autoriteit.
Bestuurdersaansprakelijkheid — het topmanagement is aansprakelijk bij niet-naleving van de risicobeheermaatregelen; dit brengt cyberveiligheid expliciet naar de bestuurstafel.
Toezicht en handhaving — lidstaten zijn verplicht tot supervisie en handhaving; er zijn ook vrijwillige peer reviews voorzien.

Wat betekent dit voor de BeNeLux?

Nederland en België moesten NIS2 uiterlijk 17 oktober 2024 omzetten in nationaal recht. Voor organisaties in beide landen betekent dit dat de sectorale reikwijdte breder is dan onder NIS1: naast energie, transport, zorg, financiën, waterbeheer en digitale infrastructuur vallen nu ook publieke elektronische communicatie, afval- en afvalwaterbeheer, vervaardiging van kritieke producten, post- en koeriersdiensten, centrale en regionale overheidsinstanties en de ruimtevaartsector onder de wet. Beslissers doen er goed aan na te gaan of hun organisatie als 'essentiële' of 'belangrijke' entiteit is aangemerkt, welke nationale autoriteit toezicht houdt, en of de interne risicobeheer- en meldprocessen voldoen aan de richtlijneisen.

Achtergrond: van NIS1 naar NIS2

NIS1 (2016) was de eerste brede EU-wetgeving voor cyberbeveiliging van netwerk- en informatiesystemen. In december 2020 stelde de Europese Commissie een herziening voor, omdat de dreigingen waren gegroeid en de oorspronkelijke richtlijn een te beperkt toepassingsgebied had. Het resultaat was NIS2, aangenomen op 14 december 2022 en gepubliceerd in het EU-Publicatieblad op 27 december 2022.

Uitgebreide sectorale reikwijdte

Naast de sectoren die al onder NIS1 vielen (energie, transport, zorg, financiën, waterbeheer en digitale infrastructuur) omvat NIS2 ook:

Aanbieders van openbare elektronische communicatienetwerken en -diensten
Aanvullende digitale diensten (waaronder sociale platforms)
Afval- en afvalwaterbeheer
Vervaardiging van kritieke producten
Post- en koeriersdiensten
Overheidsinstanties op centraal en regionaal niveau
De ruimtevaartsector

Europese samenwerkingsstructuren

De richtlijn verplicht lidstaten tot het opzetten of aanwijzen van CSIRTs (Computer Security Incident Response Teams) die informatie over cyberdreigingen uitwisselen en bij incidenten bijstand verlenen. Voor grootschalige incidenten en crises is het EU-CyCLONe-netwerk (European Cyber Crisis Liaison Organisation Network) in het leven geroepen, dat gecoördineerd crisisbeheer ondersteunt. De NIS-samenwerkingsgroep — bestaande uit lidstaten, de Europese Commissie en het EU-agentschap voor cyberbeveiliging (ENISA) — publiceert niet-bindende richtsnoeren ter ondersteuning van de uitvoering.

Geplande vereenvoudiging (2026)

Op 20 januari 2026 stelde de Commissie gerichte wijzigingen op NIS2 voor als onderdeel van een cyberbeveiligingspakket. Die wijzigingen zijn bedoeld om de juridische helderheid te vergroten en de nalevingslast te verlichten — met name voor de naar schatting 28.700 bedrijven, waaronder 6.200 micro- en kleine ondernemingen, die door de huidige regels worden geraakt.

Nationale strategieplicht

Elke lidstaat is verplicht een nationale cyberbeveiligingsstrategie vast te stellen. Die strategie moet beleid omvatten voor beveiliging van de toeleveringsketen, beheer van kwetsbaarheden en bewustwording en opleiding op het gebied van cyberbeveiliging. Lidstaten moeten daarnaast een lijst van aanbieders van essentiële diensten opstellen en regelmatig bijwerken.

Veelgestelde vragen

Geldt NIS2 ook voor kleine bedrijven?: In principe geldt NIS2 voor middelgrote en grote entiteiten in de aangewezen sectoren. Kleinere organisaties vallen er toch onder als zij bijvoorbeeld de enige aanbieder van een essentiële dienst in een lidstaat zijn, als hun uitval een significant grensoverschrijdend risico zou veroorzaken, of als zij actief zijn als aanbieder van openbare elektronische communicatiediensten of als verlener van vertrouwensdiensten.
Welke sectoren vallen onder NIS2?: NIS2 dekt 18 kritieke sectoren. Naast de sectoren die al onder NIS1 vielen — energie, transport, zorg, financiën, waterbeheer en digitale infrastructuur — zijn er sectoren bijgekomen: openbare elektronische communicatie, aanvullende digitale diensten (waaronder sociale platforms), afval- en afvalwaterbeheer, vervaardiging van kritieke producten, post- en koeriersdiensten, overheidsinstanties op centraal en regionaal niveau, en de ruimtevaartsector.
Wat houdt de meldplicht precies in?: Entiteiten die onder NIS2 vallen, moeten significante incidenten melden bij de bevoegde nationale autoriteit. Een incident geldt als significant wanneer het aanzienlijke verstoring of schade kan veroorzaken.
Wat betekent bestuurdersaansprakelijkheid onder NIS2?: De richtlijn introduceert aansprakelijkheid van het topmanagement wanneer een organisatie de vereiste risicobeheermaatregelen niet naleeft. Dit is bedoeld om cyberbeveiliging op bestuursniveau te verankeren.
Wanneer moest NIS2 in nationaal recht zijn omgezet?: Lidstaten hadden tot 17 oktober 2024 om NIS2 in nationaal recht om te zetten. Vanaf 18 oktober 2024 is NIS1 ingetrokken en vervangen door NIS2.