NIS2 Richtlijn Nederland 2025: Verplichtingen, Boetes en Stappenplan

Samenvatting: De NIS2-richtlijn verplicht duizenden Nederlandse organisaties in kritieke sectoren tot aantoonbaar cybersecuritybeheer. Boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde omzet. Lees hier wat u moet doen.

Wat is de NIS2-richtlijn?

De NIS2-richtlijn (Network and Information Security Directive 2) is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. De Europese Unie heeft deze vernieuwde wetgeving ingevoerd om de algehele cybersecurity binnen de EU te versterken. Nederland heeft de richtlijn geïmplementeerd via de Cyberbeveiligingswet, die organisaties in kritieke en belangrijke sectoren verplicht tot het nemen van passende beveiligingsmaatregelen.

Waar de oude NIS-richtlijn slechts een beperkt aantal sectoren betrof, breidt NIS2 de reikwijdte aanzienlijk uit. Naar schatting vallen in Nederland meer dan 4.500 organisaties onder de nieuwe wetgeving — een verviervoudiging ten opzichte van de oude situatie.

Welke organisaties vallen onder NIS2?

NIS2 onderscheidt twee categorieën entiteiten:

Essentiële entiteiten

Organisaties in de volgende sectoren met meer dan 250 medewerkers of een jaaromzet van meer dan €50 miljoen:

Energie (elektriciteit, gas, olie, warmte, waterstof)
Transport (luchtvaart, spoor, scheepvaart, wegvervoer)
Bankwezen en financiële marktinfrastructuren
Gezondheidszorg (ziekenhuizen, laboratoria, R&D, farmaceutisch)
Drinkwater en afvalwater
Digitale infrastructuur (DNS, TLD, cloud, datacenters, CDN, TSP)
ICT-dienstverlening aan overheden
Ruimtevaart
Overheidsinstanties

Belangrijke entiteiten

Middelgrote organisaties (50–250 medewerkers, €10–50M omzet) in aanvullende sectoren:

Post- en koeriersdiensten
Afvalstoffenbeheer
Chemische sector
Levensmiddelensector
Maakindustrie (medische apparatuur, computers, elektronisch materieel, voertuigen)
Digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerken)
Onderzoeksinstellingen

Tip: Weet u niet zeker of uw organisatie onder NIS2 valt? Gebruik de Fortivox compliance check of neem contact op voor een gratis quickscan.

Welke verplichtingen gelden er?

NIS2 schrijft voor dat organisaties passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. Concreet betekent dit:

1. Risicobeleid en governance

Vastgesteld beleid voor risicobeoordeling en informatiebeveiliging
Bestuur is direct verantwoordelijk — directie kan persoonlijk aansprakelijk worden gesteld
Jaarlijkse security awareness training voor medewerkers

2. Incidentbeheer

Procedures voor detectie, respons en herstel van incidenten
Significante incidenten moeten binnen 24 uur gemeld worden bij het NCSC of de toezichthouder
Volledig incidentrapport binnen 72 uur
Eindrapportage binnen 1 maand

3. Bedrijfscontinuïteit

Backup-beheer en herstelplannen
Crisismanagement en Business Continuity Planning (BCP)
Getest en gedocumenteerd disaster recovery plan

4. Supply chain beveiliging

Beoordeling van beveiligingspraktijken van leveranciers en dienstverleners
Contractuele verplichtingen voor ICT-leveranciers

5. Technische beveiligingsmaatregelen

Kwetsbaarheidsbeheer en patchbeleid — hiervoor is Fortivox een ideale oplossing
Multi-factor authenticatie (MFA) voor alle kritieke systemen
Encryptie van gegevens in rust en in transit
Netwerksegmentatie en toegangscontrole
Beveiligde communicatie voor noodsituaties

Wat zijn de boetes bij niet-naleving?

NIS2 introduceert aanzienlijk strengere handhaving dan zijn voorganger:

Essentiële entiteiten: maximaal €10 miljoen of 2% van de wereldwijde jaaromzet (wat het hoogst is)
Belangrijke entiteiten: maximaal €7 miljoen of 1,4% van de wereldwijde jaaromzet
Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij ernstige nalatigheid
Toezichthouders kunnen tijdelijk de dienstverlening verbieden

Stappenplan: Hoe wordt u NIS2-compliant?

Compliance bereiken is een proces, geen eenmalige actie. Volg dit stappenplan:

Stap 1: Bepaal of u valt onder NIS2. Analyseer uw sector, omvang en activiteiten.
Stap 2: Voer een nulmeting uit. Waar staat uw organisatie nu op het gebied van cybersecurity?
Stap 3: Stel een risicoanalyse op. Identificeer uw kritieke systemen en de bijbehorende risico's.
Stap 4: Implementeer technische maatregelen. Start met de verplichte onderdelen: MFA, patchmanagement, monitoring.
Stap 5: Documenteer alles. NIS2 vereist aantoonbaarheid. Houd een register bij van maatregelen en incidenten.
Stap 6: Train uw medewerkers. Awareness is een wettelijke vereiste.
Stap 7: Stel meldprocedures in. Zorg dat u klaar bent om binnen 24 uur te melden bij een incident.

Fortivox helpt bij NIS2-compliance: Ons platform biedt realtime CVE-monitoring, kwetsbaarhedenbeheer en automatische NIS2-rapportages. Het Enterprise plan bevat een dedicated analist die u begeleidt bij de volledige implementatie. Neem contact op →

NIS2 en de relatie met andere regelgeving

NIS2 staat niet op zichzelf. Voor veel organisaties overlappen de verplichtingen met andere wet- en regelgeving:

AVG/GDPR: Beide vereisen beveiligingsmaatregelen voor persoonsgegevens. NIS2-compliance versterkt uw AVG-compliance.
ISO 27001: Een ISO 27001-certificering geeft een goede basis voor NIS2-compliance, maar is niet automatisch voldoende.
DORA (Digital Operational Resilience Act): Specifiek voor financiële sector; overlapt grotendeels met NIS2.
CER-richtlijn: Richt zich op fysieke weerbaarheid van kritieke infrastructuur; complementair aan NIS2.

Conclusie

NIS2 is geen papieren tijger. De boetes zijn hoog, de toezichthouders zijn actief en de reikwijdte is breed. Organisaties die nog niet zijn begonnen met hun NIS2-traject, moeten dat nu urgent oppakken. Begin met een nulmeting, stel prioriteiten en implementeer stap voor stap de vereiste maatregelen.

Fortivox ondersteunt u bij elke stap van dit proces — van realtime kwetsbaarheidsmonitoring tot volledige NIS2-compliance rapportages.

NIS2 Richtlijn: Alles wat Nederlandse organisaties moeten weten in 2025