Compliance

NIS2 in Nederland: Cyberbeveiligingswet 2025

NIS2 Nederland Cyberbeveiligingswet: omzetting 2025, sectoren, RDI toezicht, boetes 10 M EUR. Praktische gids 2026.

Also available in:no·Italiano

In één zin. De NIS2-richtlijn is in Nederland omgezet via de Cyberbeveiligingswet (Cbw, in werking sinds 2025) — een fundamentele uitbreiding van het cyberbeveiligingsregime dat duizenden Nederlandse organisaties uit 18 sectoren onder direct toezicht plaatst, met boetes tot 10 miljoen EUR of 2% wereldwijde omzet.

Belangrijkste punten

  • NIS2-richtlijn 2022/2555, omgezetting deadline 17 oktober 2024.
  • Nederland: Cyberbeveiligingswet (Cbw), gefaseerd 2025.
  • Toezicht: RDI (Rijksinspectie Digitale Infrastructuur).
  • 18 sectoren, essentiële (EE) en belangrijke (BE) entiteiten.
  • Bestuurdersaansprakelijkheid (Cbw art. 12).
  • Boetes tot 10 M EUR / 2% omzet (EE) en 7 M EUR / 1,4% (BE).

1. Van NIS1 naar NIS2

NIS1 (Richtlijn 2016/1148) had beperkte scope: aanbieders essentiële diensten (energie, transport, banking, healthcare) en digitale diensten (search, cloud, marketplace). In Nederland geïmplementeerd via Wet beveiliging netwerk- en informatiesystemen (Wbni, 2018).

De NIS2-richtlijn 2022/2555 (EUR-Lex) van 14 december 2022 breidt fors uit:

  • 18 sectoren (was 7).
  • Drempel meestal 50+ medewerkers of 10+ M EUR omzet.
  • Strikter incident reporting (24/72/30 uur fasering).
  • Bestuurdersaansprakelijkheid.
  • Hogere boetes.

2. Cyberbeveiligingswet (Cbw)

Nederlandse omzetting NIS2. Gefaseerde inwerkingtreding 2025 (oorspronkelijke deadline 17 oktober 2024 niet gehaald). Structuur:

  • Hoofdstuk 1: definities, scope.
  • Hoofdstuk 2: aanwijzing entiteiten.
  • Hoofdstuk 3: beveiligingsverplichtingen.
  • Hoofdstuk 4: meldplicht incidenten.
  • Hoofdstuk 5: toezicht en handhaving.
  • Hoofdstuk 6: sancties.

3. Sectoren in NIS2 / Cbw

Essentiële sectoren (bijlage I):

  • Energie (elektriciteit, gas, olie, waterstof, district heating).
  • Transport (lucht, spoor, water, weg).
  • Bankwezen.
  • Financiële markten.
  • Gezondheidszorg.
  • Drinkwater.
  • Afvalwater.
  • Digitale infrastructuur (DNS, TLD, datacenter, CDN, cloud, trust services).
  • ICT-dienstenbeheer (B2B).
  • Overheid.
  • Ruimtevaart.

Belangrijke sectoren (bijlage II):

  • Post- en koeriersdiensten.
  • Afvalstoffenbeheer.
  • Productie/distributie chemicaliën.
  • Productie/distributie voedsel.
  • Vervaardiging medische hulpmiddelen, computers, elektronica, machines, motorvoertuigen.
  • Digitale aanbieders (online marktplaatsen, zoekmachines, social media).
  • Onderzoek.

4. Entiteitscategorieën

Categorie Drempel Boete max
Essentiële entiteit (EE) Bijlage I, ≥250 werknemers OF >50M omzet of balans >43M 10 M EUR / 2% omzet
Belangrijke entiteit (BE) Bijlage I/II, ≥50 werknemers OF >10M omzet/balans 7 M EUR / 1,4% omzet

Kleinere organisaties vallen meestal buiten. Uitzonderingen voor specifieke kritische diensten ongeacht omvang (DNS, registry, trust services).

5. Beveiligingsverplichtingen (Cbw art. 7)

NIS2 art. 21 vereist passende technische, operationele en organisatorische maatregelen, in elk geval:

  • a) Beleid risicoanalyse en informatiebeveiliging.
  • b) Incident handling.
  • c) Bedrijfscontinuïteit (back-ups, disaster recovery, crisis management).
  • d) Supply chain security.
  • e) Beveiliging bij verwerving, ontwikkeling, onderhoud netwerk- en informatiesystemen.
  • f) Beleid en procedures voor evaluatie effectiviteit beveiligingsmaatregelen.
  • g) Basale cyberhygiëne en training.
  • h) Beleid en procedures voor cryptografie en encryptie.
  • i) Personeelsbeveiliging, toegangscontrole en asset management.
  • j) Multi-factor authenticatie of continue authenticatie, beveiligde communicatie.

6. Incident meldplicht (Cbw art. 9)

Gefaseerd meldingsregime bij significant incident:

  • 24 uur: early warning aan CSIRT (vermoeden criminele of grensoverschrijdende aard).
  • 72 uur: incident notification met initiële beoordeling.
  • 30 dagen: final report met root cause, mitigatie, impact.

Verschil met de AVG-datalekmelding van artikel 33 (eveneens 72 uur): NIS2 gaat over alle significante incidenten, niet alleen persoonsgegevens. Bij overlap (datalek én cyberincident): beide meldingen. Het EU-agentschap ENISA publiceert technische richtsnoeren bij NIS2.

7. Toezicht: RDI

Rijksinspectie Digitale Infrastructuur (voorheen Agentschap Telecom) is hoofdtoezichthouder voor private sector. Voor specifieke sectoren aanvullend:

  • DNB: bankwezen, financiële markten.
  • IGJ: gezondheidszorg.
  • ILT: vervoer.
  • NCSC: nationaal CSIRT en kennishub.

RDI heeft bevoegdheden: audits, inspecties, security scans, ad-hoc audits, informatievorderingen.

8. Bestuurdersaansprakelijkheid (Cbw art. 12)

NIS2 introduceert directe bestuursverantwoordelijkheid:

  • Bestuur moet beveiligingsmaatregelen goedkeuren.
  • Bestuur ziet toe op implementatie.
  • Verplichte training cyberveiligheid bestuur.
  • Persoonlijke aansprakelijkheid bij grove schending.

Bestuurder kan op grond Cbw art. 12 (NIS2 art. 20 lid 1) persoonlijk worden gesanctioneerd, tijdelijke schorsing managementfunctie mogelijk.

9. Boetestelsel

Entiteit Maximum
Essentiële entiteit 10 M EUR of 2% wereldwijde omzet
Belangrijke entiteit 7 M EUR of 1,4% wereldwijde omzet
Bestuurder persoonlijk Afhankelijk overtreding

Bevoegdheden RDI: corrigerende maatregelen, dwangsommen, boete, schorsing managementfunctie (EE), publicatie sanctie.

10. Samenloop AVG en Cbw

NIS2/Cbw en AVG complementair:

Aspect AVG Cbw/NIS2
Scope Persoonsgegevens Cyberveiligheid algemeen
Toezicht AP RDI + sectoraal
Meldtermijn 72u datalek 24u early + 72u + 30d
Beveiliging Art. 32 Art. 7 (uitgebreider)
Sancties 20M / 4% 10M / 2% (EE)

Cyberincident met datalek = beide meldingen aan beide toezichthouders.

11. Supply chain security

NIS2 introduceert ketenbenadering. Entiteiten moeten cyberrisico’s van directe leveranciers en dienstverleners adresseren:

  • Leveranciersassessment.
  • Contractuele beveiligingsclausules.
  • Monitoring incidenten bij leveranciers.
  • Coördinated vulnerability disclosure.

Praktisch: SBOM (Software Bill of Materials), vendor risk management, attest van beveiliging (SOC 2, ISO 27001).

12. Praktische integratie met AVG art. 32

NIS2 art. 21 en AVG art. 32 hebben overlappende eisen op TOM-niveau. Voor entiteiten onder beide regimes praktisch:

Maatregel NIS2 vereiste AVG art. 32 dekking
Encryptie Art. 21.2.h Art. 32 lid 1 sub a
MFA + access control Art. 21.2.i + j Art. 32 lid 1 sub b
Logging + monitoring Art. 21.2.f Art. 32 lid 1 sub b
Backup + DR Art. 21.2.c Art. 32 lid 1 sub c
Incident response Art. 21.2.b Art. 32 + art. 33
Pentesting + audit Art. 21.2.f Art. 32 lid 1 sub d
Awareness training Art. 21.2.g Art. 32 + art. 5
Supply chain Art. 21.2.d Art. 28 (DPA)

Een ISO 27001-conform ISMS dekt grotendeels beide kaders. Aanvullingen voor NIS2: bestuursgoedkeuring, supply chain assessment, 24-uur early warning aan CSIRT. Zie AVG Art. 32 beveiliging voor AVG-context.

13. Sectorale toezichthouders Cbw

Sector Primair toezicht Aanvullend
Energie RDI ACM, SodM
Transport ILT RDI
Bankwezen DNB RDI
Financiële markten DNB / AFM RDI
Gezondheidszorg IGJ RDI
Drinkwater ILT RDI
Digitale infrastructuur RDI
Overheid RDI (na centrale aanmelding)
Onderzoek RDI OCW

Bij onduidelijkheid kwalificatie: RDI fungeert als loket. Aanmelding via aparte NIS2-portal verplicht voor alle EE en BE entiteiten. Niet-aanmelden = zelfstandige overtreding.

14. Compliance-roadmap NIS2 / Cbw

  1. Bepaal kwalificatie (EE, BE, geen).
  2. Aanmelden bij RDI (verplicht).
  3. Gap-analyse versus NIS2 art. 21.
  4. Bestuurstraining en goedkeuring beleid.
  5. Risk assessment + treatment plan.
  6. Implementeer 10 verplichte maatregelen.
  7. Supply chain assessment.
  8. Incident response plan + 24/72-uurs proces.
  9. Audit + certificering (ISO 27001 als basis).
  10. Periodieke evaluatie + bestuursrapportage.

FAQ

Wanneer is mijn organisatie onder NIS2 in Nederland?

Indien actief in sector bijlage I of II (Cbw bijlagen) EN drempel 50+ medewerkers OF 10M+ omzet/balans bereikt. Specifieke kritische diensten (DNS, TLD, registry) ongeacht omvang.

Wie is toezichthouder NIS2 in Nederland?

RDI (Rijksinspectie Digitale Infrastructuur) is hoofdtoezichthouder. Aanvullend sectoraal: DNB (bankwezen, financiële markten), IGJ (zorg), ILT (transport). NCSC fungeert als nationaal CSIRT.

Wat is verschil tussen NIS2 en AVG?

AVG regelt persoonsgegevens (toezicht AP). NIS2/Cbw regelt cyberveiligheid algemeen (toezicht RDI). Bij cyberincident met persoonsgegevens beide meldingen vereist.

Wat is bestuurdersaansprakelijkheid onder NIS2?

Bestuur moet cyberveiligheidsmaatregelen goedkeuren, toezien op implementatie en verplichte training volgen. Persoonlijke aansprakelijkheid bij grove schending, schorsing managementfunctie mogelijk bij essentiële entiteit.

Wanneer trad de Cyberbeveiligingswet in werking?

Gefaseerd 2025. Oorspronkelijke deadline NIS2-omzetting was 17 oktober 2024 (door Nederland niet gehaald). Wet aangenomen begin 2025, gefaseerde inwerkingtreding 2025-2026 met overgangsperiode voor entiteiten.

Hoe zit het met ketenbeveiliging?

Cbw art. 7 vereist supply chain security. Praktisch: leveranciersassessment, contractuele clausules, monitoring incidenten bij leveranciers, SBOM voor software. Kleine entiteiten buiten directe NIS2-scope worden indirect betrokken via klanten die wel onder NIS2 vallen. Verwerkersovereenkomsten (art. 28 AVG) moeten uitgebreid met cyber-eisen — zie Verwerkersovereenkomst template.

Welke training is verplicht voor bestuur?

Cbw art. 12 verplicht bestuurstraining op cyberveiligheid. Geen wettelijke duur/frequentie, EDPB en RDI verwijzen naar “redelijke en regelmatige”. Praktijk: jaarlijks 4-8 uur basistraining, awareness oefeningen (tabletop exercise) jaarlijks, briefings na grote incidenten in markt. Documenteer in personeelsdossier bestuurders.

Hoe verhoudt NIS2 zich tot DORA?

DORA (Verordening 2022/2554, vanaf 17 januari 2025) is lex specialis voor de financiële sector: banken, verzekeraars en beleggingsinstellingen. Voor entiteiten onder DORA gelden de DORA-vereisten in plaats van NIS2 op overlappende gebieden (ICT-risk management, incident reporting). Wel: NIS2 supply chain blijft van toepassing. DNB coördineert toezicht voor financiële sector. Voor cumulatie met AVG Art. 32 beveiliging blijft accountability bij verantwoordelijke.

Wat zijn de eerste handhavingsacties verwacht?

RDI publiceerde focusgebieden 2026: 1) aanmelding entiteiten (drempel-tests), 2) incident response capaciteit (24/72-uur), 3) bestuursgoedkeuring beveiligingsbeleid, 4) supply chain security minimumstandaarden. Verwacht: eerste boetes Q2-Q3 2026, vermoedelijk voor digitale infrastructuur en gezondheidszorg. Bestuurdersaansprakelijkheid wordt waarschijnlijk pas later 2026/2027 actief gehandhaafd.

Zie ook: de Cyberbeveiligingswet, NIS2 vs AVG en DORA vs NIS2.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →