Main Menu
Abonneren
Main Menu
Zoeken
Mr. OnlineVan onze kennispartnersNIS2-richtlijn: dit betekent het voor uw organisatie
Partnerbijdrage van

Boels Zanders Advocaten

NIS2-richtlijn: dit betekent het voor uw organisatie

  • Laatst aangepast op: 13 januari 2026

NIS2-richtlijn: dit betekent het voor uw organisatie

De NIS2-richtlijn is sinds 16 januari 2023 van kracht binnen de Europese Unie. Deze richtlijn verplicht duizenden organisaties tot strengere cybersecuritymaatregelen. Deze richtlijn zal in Nederland worden geïmplementeerd in de Cyberbeveiligingswet en de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangen. De Cyberbeveiligingswet zal naar verwachting dit jaar in werking treden. De Rijksoverheid adviseert organisaties om zich voor te bereiden op deze nieuwe wetgeving.

Sectoren: Ondernemingen, Onderwijs, Gezondheidszorg

Expertises: Compliance en integriteit, Intellectueel eigendom en IT

Mensen: Monique Schreurs, Silvia Vinken, Britt Westerlink

Wat is de NIS2-richtlijn?

De NIS2-richtlijn is Europese regelgeving die als doel heeft om de digitale weerbaarheid van kritieke diensten te vergroten. De EU wil daarmee beter voorbereid zijn op toenemende cyberdreigingen en de continuïteit van essentiële voorzieningen, zoals bijvoorbeeld de luchtvaart en drinkwaterlevering, waarborgen. De richtlijn bevat verschillende zorgplichten voor organisaties onder het toepassingsbereik vallen.

Welke organisaties vallen onder de NIS2-richtlijn?

Organisaties vallen automatisch onder de NIS2-richtlijn (en daarmee onder de Cyberbeveiligingswet) wanneer zij actief zijn in de aangewezen sectoren en als ‘essentiële’ of ‘belangrijke’ entiteit zijn aan te merken.

De sectoren waar de Cyberbeveiligingswet op van toepassing is betreffen onder meer de onderstaande sectoren:

  • Energie
  • Transport
  • Beheer van ICT-diensten
  • Overheid
  • Gezondheidszorg
  • Levensmiddelen
  • Drinkwater

Daarnaast gelden omvangscriteria:

  1. Essentiële entiteiten hebben minimaal 250 medewerkers of een jaaromzet groter dan €50 miljoen en een balanstotaal meer dan €43 miljoen.
  2. Belangrijke entiteiten hebben minimaal 50 medewerkers of een jaaromzet en balanstotaal meer dan €10 miljoen.

Micro- en kleine ondernemingen vallen in beginsel niet onder de NIS2-richtlijn, tenzij zij specifieke diensten leveren zoals domeinnaamregistratiediensten of openbare elektronische communicatiediensten. Ook kunnen zij alsnog worden aangewezen door de minister van hun sector. Hiervan zullen de desbetreffende ondernemingen bericht krijgen.

Hoe kunnen organisaties zich voorbereiden op de NIS2-richtlijn?

Hoewel de Cyberbeveiligingswet waarschijnlijk pas in het tweede kwartaal van 2026 in werking treedt, adviseert de overheid organisaties om zich voor te bereiden. De wet verplicht organisaties om passende maatregelen te nemen om hun digitale veiligheid te waarborgen. Dat begint met het uitvoeren van risicoanalyses. Op basis daarvan moeten technische en organisatorische beveiligingsmaatregelen worden getroffen. Het zorgen voor voldoende beveiliging van toeleveringsketens is daarvan een belangrijk onderdeel.

Ook moeten organisaties procedures inrichten om beveiligingsincidenten tijdig te herkennen en hierop te reageren. Als er zich een ernstig incident voordoet dat de dienstverlening kan verstoren, geldt er tevens een meldplicht. Zo’n incident moet zo snel mogelijk, en uiterlijk binnen 24 uur, worden gemeld bij het CSIRT (Computer Security Incident Response Team) en bij de toezichthouder. Welke instanties voor welke organisaties zijn aangewezen, is afhankelijk van de sector.

Tot slot geldt een registratieplicht: organisaties die onder de wet vallen, moeten zich inschrijven in het entiteitenregister van het Nationaal Cyber Security Centrum.

Wilt u weten wat de NIS2-richtlijn concreet betekent voor uw organisatie? Neem dan contact op met Monique Schreurs of Silvia Vinken.

Delen:

NIS2-richtlijn: dit betekent het voor uw organisatie

De NIS2-richtlijn is sinds 16 januari 2023 van kracht binnen de Europese Unie. Deze richtlijn verplicht duizenden organisaties tot strengere cybersecuritymaatregelen. Deze richtlijn zal in Nederland worden geïmplementeerd in de Cyberbeveiligingswet en de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangen. De Cyberbeveiligingswet zal naar verwachting dit jaar in werking treden. De Rijksoverheid adviseert organisaties om zich voor te bereiden op deze nieuwe wetgeving.

Sectoren: Ondernemingen, Onderwijs, Gezondheidszorg

Expertises: Compliance en integriteit, Intellectueel eigendom en IT

Mensen: Monique Schreurs, Silvia Vinken, Britt Westerlink

Wat is de NIS2-richtlijn?

De NIS2-richtlijn is Europese regelgeving die als doel heeft om de digitale weerbaarheid van kritieke diensten te vergroten. De EU wil daarmee beter voorbereid zijn op toenemende cyberdreigingen en de continuïteit van essentiële voorzieningen, zoals bijvoorbeeld de luchtvaart en drinkwaterlevering, waarborgen. De richtlijn bevat verschillende zorgplichten voor organisaties onder het toepassingsbereik vallen.

Welke organisaties vallen onder de NIS2-richtlijn?

Organisaties vallen automatisch onder de NIS2-richtlijn (en daarmee onder de Cyberbeveiligingswet) wanneer zij actief zijn in de aangewezen sectoren en als ‘essentiële’ of ‘belangrijke’ entiteit zijn aan te merken.

De sectoren waar de Cyberbeveiligingswet op van toepassing is betreffen onder meer de onderstaande sectoren:

  • Energie
  • Transport
  • Beheer van ICT-diensten
  • Overheid
  • Gezondheidszorg
  • Levensmiddelen
  • Drinkwater

Daarnaast gelden omvangscriteria:

  1. Essentiële entiteiten hebben minimaal 250 medewerkers of een jaaromzet groter dan €50 miljoen en een balanstotaal meer dan €43 miljoen.
  2. Belangrijke entiteiten hebben minimaal 50 medewerkers of een jaaromzet en balanstotaal meer dan €10 miljoen.

Micro- en kleine ondernemingen vallen in beginsel niet onder de NIS2-richtlijn, tenzij zij specifieke diensten leveren zoals domeinnaamregistratiediensten of openbare elektronische communicatiediensten. Ook kunnen zij alsnog worden aangewezen door de minister van hun sector. Hiervan zullen de desbetreffende ondernemingen bericht krijgen.

Hoe kunnen organisaties zich voorbereiden op de NIS2-richtlijn?

Hoewel de Cyberbeveiligingswet waarschijnlijk pas in het tweede kwartaal van 2026 in werking treedt, adviseert de overheid organisaties om zich voor te bereiden. De wet verplicht organisaties om passende maatregelen te nemen om hun digitale veiligheid te waarborgen. Dat begint met het uitvoeren van risicoanalyses. Op basis daarvan moeten technische en organisatorische beveiligingsmaatregelen worden getroffen. Het zorgen voor voldoende beveiliging van toeleveringsketens is daarvan een belangrijk onderdeel.

Ook moeten organisaties procedures inrichten om beveiligingsincidenten tijdig te herkennen en hierop te reageren. Als er zich een ernstig incident voordoet dat de dienstverlening kan verstoren, geldt er tevens een meldplicht. Zo’n incident moet zo snel mogelijk, en uiterlijk binnen 24 uur, worden gemeld bij het CSIRT (Computer Security Incident Response Team) en bij de toezichthouder. Welke instanties voor welke organisaties zijn aangewezen, is afhankelijk van de sector.

Tot slot geldt een registratieplicht: organisaties die onder de wet vallen, moeten zich inschrijven in het entiteitenregister van het Nationaal Cyber Security Centrum.

Wilt u weten wat de NIS2-richtlijn concreet betekent voor uw organisatie? Neem dan contact op met Monique Schreurs of Silvia Vinken.

Delen:

Foto van Webmeester

Webmeester

Bekijk alle berichten

Boels Zanders Advocaten

Boels Zanders biedt ondernemers en organisaties extra kracht en kennis bij het realiseren van hun doelen. Met een enorme passie voor ons eigen vak…
Meer informatie

Meer berichten van partner

Andere interessante artikelen uit dit thema:

Scroll naar boven