Alles over de NIS2-richtlijn en de Cyberbeveiligingswet (2026)

De NIS2-richtlijn (Network and Information Security Directive 2) is de vernieuwde Europese richtlijn die de digitale weerbaarheid van organisaties moet versterken. Deze richtlijn vervangt de oorspronkelijke NIS-richtlijn uit 2016 en stelt hogere, duidelijkere en bredere eisen aan cyberbeveiliging binnen de EU.

In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet. Deze nationale wet zorgt ervoor dat organisaties maatregelen moeten nemen om incidenten te voorkomen, te detecteren en te herstellen.

De eerste NIS-richtlijn bleek niet meer voldoende. De digitalisering is sneller gegaan dan de beveiliging, en dat maakt organisaties kwetsbaar. Met NIS2 wil de Europese Unie onder andere:

• Een hoger basisniveau van beveiliging afdwingen
• Zorgen dat alle lidstaten dezelfde normen hanteren
• Meer sectoren onder het toezicht brengen

Het uiteindelijke doel is dat essentiële processen in onze maatschappij niet uitvallen of worden verstoord door cyberaanvallen.

De NIS2-richtlijn scherpt de bestaande regelgeving aan en breidt de verplichtingen uit. De belangrijkste wijzigingen zijn:

• Meer sectoren onder de richtlijn: Niet alleen kritieke infrastructuren, maar ook digitale platforms en clouddiensten vallen nu onder de regels.
• Strengere sancties: Organisaties die niet voldoen aan de richtlijn kunnen hogere boetes krijgen.
• Meer focus op risicobeheer: Organisaties worden verplicht om continu risico's te identificeren en te beheersen.

De NIS2-richtlijn geldt voor meer organisaties en is van toepassing op belangrijke sectoren zoals:

• Energie
• Transport
• Gezondheidszorg
• Digitale infrastructuur
• Openbare administratie

Ook digitale dienstverleners, zoals online marktplaatsen en zoekmachines vallen onder de richtlijn.

Als jouw organisatie onder NIS2 valt, moet je kunnen laten zien dat je cybersecurity structureel op orde hebt. Dat begint met het kennen van je risico’s: welke systemen zijn kritisch, welke processen zijn kwetsbaar en welke maatregelen zijn nodig om incidenten te voorkomen? Daarnaast vraagt de wet om een planmatige aanpak. Een incidentresponsplan moet klaarstaan, monitoring moet zijn ingericht en bestuurders dragen expliciete verantwoordelijkheid voor het naleven van de verplichtingen. 

Ook de meldplicht verandert. Ernstige cyberincidenten moeten binnen strikte termijnen worden gemeld bij het Nationaal Cyber Security Centrum (NCSC), en bij datalekken ook bij de Autoriteit Persoonsgegevens.

Ja. De richtlijn is EU-breed op 17 oktober 2024 in werking getreden. De richtlijn wordt in Nederland geïmplementeerd via een nationale wet: de Cyberbeveiligingswet. De verwachting is dat deze wet in het tweede kwartaal van 2026 in werking treedt. Omdat het dan niet meer enkel om een richtlijn gaat, maar om een wetgeving, moeten organisaties dan aan verplichtingen rondom cyberbeveiliging voldoen. Al wordt toezicht gefaseerd opgebouwd.

We zitten al in 2026: dit is dus het moment om eventuele achterstanden weg te werken en aantoonbaar te maken dat jouw organisatie voldoet. Zo loop je niet achter de feiten aan, maar ben je klaar voor de nieuwe wetgeving.

Hoe pak je dat aan?
De meeste organisaties beginnen met een nulmeting of gap-analyse. Dat maakt duidelijk waar je nu staat en welke stappen nodig zijn om te voldoen aan NIS2. Soms gaat het om het aanscherpen van beleid, soms om het verbeteren van de monitoring of het opstellen van een incidentresponsplan. Regelmatig spelen ook leveranciersrisico’s een rol, zeker in ketens met grote afhankelijkheden.

Belangrijk is dat je kunt aantonen dat je risico’s kent, maatregelen hebt genomen en deze periodiek evalueert.