← Terug naar blog
compliance Gepubliceerd op 20 februari 2026 Door AxisNetworks Team

NIS2-richtlijn: wat betekent het voor jouw bedrijf?

De NIS2-richtlijn is van kracht en heeft grote gevolgen voor duizenden Nederlandse organisaties. Wij leggen uit wat de richtlijn inhoudt, wie er onder valt en hoe je compliant wordt.

Wat is de NIS2-richtlijn?

De Network and Information Security 2-richtlijn (NIS2) is een Europese wetgeving die organisaties verplicht om serieuze maatregelen te treffen op het gebied van cybersecurity. De richtlijn is een uitbreiding van de oorspronkelijke NIS-richtlijn uit 2016 en heeft een veel bredere scope: meer sectoren, meer bedrijven en strengere verplichtingen.

Het doel van NIS2 is duidelijk: Europa weerbaarder maken tegen cyberdreigingen. De snel groeiende afhankelijkheid van digitale systemen vraagt om een gecoördineerde aanpak.

Wie valt er onder NIS2?

NIS2 maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten:

Essentiële sectoren (hogere eisen)

  • Energie (elektriciteit, gas, olie, warmte)
  • Transport (lucht, rail, water, weg)
  • Bankwezen en financiële marktinfrastructuur
  • Gezondheidszorg
  • Drinkwater en afvalwater
  • Digitale infrastructuur (datacenters, cloud, DNS)
  • ICT-dienstverlening (beheerde diensten)
  • Ruimtevaart
  • Overheid

Belangrijke sectoren (iets lichtere eisen)

  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Chemische sector
  • Voedingsmiddelenindustrie
  • Fabrikanten van medische hulpmiddelen, elektronica, machines
  • Digitale aanbieders (marktplaatsen, zoekmachines, sociale netwerken)
  • Onderzoeksinstellingen

Vuistregel: Val je in een van deze sectoren én heb je meer dan 50 medewerkers of meer dan €10 miljoen omzet? Dan is de kans groot dat NIS2 op jou van toepassing is.

Wat zijn de verplichtingen?

NIS2 stelt concrete eisen op vier gebieden:

1. Risicobeheersmaatregelen

Je moet een actief beleid voeren voor het identificeren en beheersen van cybersecurityrisico's. Dit omvat:

  • Risicoanalyses en beveiligingsbeleid
  • Incidentafhandeling en bedrijfscontinuïteit
  • Beveiliging van de toeleveringsketen
  • Veilige ontwikkeling en onderhoud van systemen
  • Multi-factor authenticatie en encryptie

2. Meldplicht bij incidenten

Significante cyberincidenten moeten gemeld worden bij het nationale CSIRT (in Nederland: NCSC of Digital Trust Center):

  • Binnen 24 uur: eerste melding
  • Binnen 72 uur: uitgebreidere melding
  • Binnen 1 maand: eindrapportage

3. Bestuurlijke verantwoordelijkheid

Het bestuur (directie/RvB) is persoonlijk verantwoordelijk voor naleving. Bestuurders kunnen aansprakelijk worden gesteld bij nalatigheid. Dit is een fundamentele verandering ten opzichte van eerdere wetgeving.

4. Ketenaansprakelijkheid

Je bent ook verantwoordelijk voor de cybersecurity van je toeleveranciers en partners. Dit betekent dat je due diligence moet uitvoeren op derde partijen.

Wat zijn de sancties bij niet-naleving?

De boetes zijn aanzienlijk:

  • Essentiële entiteiten: tot €10 miljoen of 2% van de wereldwijde jaaromzet
  • Belangrijke entiteiten: tot €7 miljoen of 1,4% van de wereldwijde jaaromzet

Daarnaast kan de toezichthouder tijdelijke beperkingen opleggen aan bedrijfsactiviteiten.

Hoe word je NIS2-compliant?

Stap 1: Bepaal of NIS2 op jou van toepassing is

Analyseer je sector, omvang en digitale afhankelijkheden. Twijfel je? Neem contact op met een specialist.

Stap 2: Voer een nulmeting uit

Breng je huidige beveiligingsniveau in kaart. Waar staan we nu en waar moeten we naartoe?

Stap 3: Stel een risicomanagementframework op

Implementeer een gestructureerde aanpak voor het identificeren, beoordelen en beheersen van risico's.

Stap 4: Implementeer technische maatregelen

Denk aan: firewalls, endpoint protection, SIEM, multi-factor authenticatie, encryptie en patchmanagement.

Stap 5: Zorg voor bewustwording en training

Je medewerkers zijn de eerste verdedigingslinie. Investeer in security awareness training.

Stap 6: Stel incidentresponsprocedures op

Zorg dat je weet wat je moet doen als het misgaat. Wie doet wat, hoe meld je een incident?

Stap 7: Documenteer alles

Compliance vereist aantoonbaarheid. Zorg voor goede documentatie van beleid, procedures en maatregelen.

Hoe helpt AxisNetworks?

Bij AxisNetworks begeleiden we organisaties door het volledige NIS2-traject:

  • NIS2 Gap-analyse: we brengen in kaart waar je nu staat en wat er nog moet gebeuren
  • Risicoanalyse en dreigingsmodellering: gestructureerde beoordeling van jouw specifieke risico's
  • Implementatie van technische maatregelen: van SIEM tot MFA en encryptie
  • Compliance documentatie: beleidsopstelling en auditrapporten
  • Security awareness training: bewustwordingstrainingen voor jouw medewerkers
  • Continue monitoring: 24/7 bewaking van jouw omgeving

Wil je weten of jouw organisatie NIS2-compliant is? Neem vandaag nog contact met ons op voor een vrijblijvende quickscan.

Het AxisNetworks Team

Tags: nis2 compliance cybersecurity regelgeving
← Terug naar blog