In één zin. De NIS2-richtlijn is in Nederland omgezet via de Cyberbeveiligingswet (Cbw, in werking sinds 2025) — een fundamentele uitbreiding van het cyberbeveiligingsregime dat duizenden Nederlandse organisaties uit 18 sectoren onder direct toezicht plaatst, met boetes tot 10 miljoen EUR of 2% wereldwijde omzet.
Belangrijkste punten
- NIS2-richtlijn 2022/2555, omgezetting deadline 17 oktober 2024.
- Nederland: Cyberbeveiligingswet (Cbw), gefaseerd 2025.
- Toezicht: RDI (Rijksinspectie Digitale Infrastructuur).
- 18 sectoren, essentiële (EE) en belangrijke (BE) entiteiten.
- Bestuurdersaansprakelijkheid (Cbw art. 12).
- Boetes tot 10 M EUR / 2% omzet (EE) en 7 M EUR / 1,4% (BE).
1. Van NIS1 naar NIS2
NIS1 (Richtlijn 2016/1148) had beperkte scope: aanbieders essentiële diensten (energie, transport, banking, healthcare) en digitale diensten (search, cloud, marketplace). In Nederland geïmplementeerd via Wet beveiliging netwerk- en informatiesystemen (Wbni, 2018).
De NIS2-richtlijn 2022/2555 (EUR-Lex) van 14 december 2022 breidt fors uit:
- 18 sectoren (was 7).
- Drempel meestal 50+ medewerkers of 10+ M EUR omzet.
- Strikter incident reporting (24/72/30 uur fasering).
- Bestuurdersaansprakelijkheid.
- Hogere boetes.
2. Cyberbeveiligingswet (Cbw)
Nederlandse omzetting NIS2. Gefaseerde inwerkingtreding 2025 (oorspronkelijke deadline 17 oktober 2024 niet gehaald). Structuur:
- Hoofdstuk 1: definities, scope.
- Hoofdstuk 2: aanwijzing entiteiten.
- Hoofdstuk 3: beveiligingsverplichtingen.
- Hoofdstuk 4: meldplicht incidenten.
- Hoofdstuk 5: toezicht en handhaving.
- Hoofdstuk 6: sancties.
3. Sectoren in NIS2 / Cbw
Essentiële sectoren (bijlage I):
- Energie (elektriciteit, gas, olie, waterstof, district heating).
- Transport (lucht, spoor, water, weg).
- Bankwezen.
- Financiële markten.
- Gezondheidszorg.
- Drinkwater.
- Afvalwater.
- Digitale infrastructuur (DNS, TLD, datacenter, CDN, cloud, trust services).
- ICT-dienstenbeheer (B2B).
- Overheid.
- Ruimtevaart.
Belangrijke sectoren (bijlage II):
- Post- en koeriersdiensten.
- Afvalstoffenbeheer.
- Productie/distributie chemicaliën.
- Productie/distributie voedsel.
- Vervaardiging medische hulpmiddelen, computers, elektronica, machines, motorvoertuigen.
- Digitale aanbieders (online marktplaatsen, zoekmachines, social media).
- Onderzoek.
4. Entiteitscategorieën
| Categorie | Drempel | Boete max |
|---|---|---|
| Essentiële entiteit (EE) | Bijlage I, ≥250 werknemers OF >50M omzet of balans >43M | 10 M EUR / 2% omzet |
| Belangrijke entiteit (BE) | Bijlage I/II, ≥50 werknemers OF >10M omzet/balans | 7 M EUR / 1,4% omzet |
Kleinere organisaties vallen meestal buiten. Uitzonderingen voor specifieke kritische diensten ongeacht omvang (DNS, registry, trust services).
5. Beveiligingsverplichtingen (Cbw art. 7)
NIS2 art. 21 vereist passende technische, operationele en organisatorische maatregelen, in elk geval:
- a) Beleid risicoanalyse en informatiebeveiliging.
- b) Incident handling.
- c) Bedrijfscontinuïteit (back-ups, disaster recovery, crisis management).
- d) Supply chain security.
- e) Beveiliging bij verwerving, ontwikkeling, onderhoud netwerk- en informatiesystemen.
- f) Beleid en procedures voor evaluatie effectiviteit beveiligingsmaatregelen.
- g) Basale cyberhygiëne en training.
- h) Beleid en procedures voor cryptografie en encryptie.
- i) Personeelsbeveiliging, toegangscontrole en asset management.
- j) Multi-factor authenticatie of continue authenticatie, beveiligde communicatie.
6. Incident meldplicht (Cbw art. 9)
Gefaseerd meldingsregime bij significant incident:
- 24 uur: early warning aan CSIRT (vermoeden criminele of grensoverschrijdende aard).
- 72 uur: incident notification met initiële beoordeling.
- 30 dagen: final report met root cause, mitigatie, impact.
Verschil met de AVG-datalekmelding van artikel 33 (eveneens 72 uur): NIS2 gaat over alle significante incidenten, niet alleen persoonsgegevens. Bij overlap (datalek én cyberincident): beide meldingen. Het EU-agentschap ENISA publiceert technische richtsnoeren bij NIS2.
7. Toezicht: RDI
Rijksinspectie Digitale Infrastructuur (voorheen Agentschap Telecom) is hoofdtoezichthouder voor private sector. Voor specifieke sectoren aanvullend:
- DNB: bankwezen, financiële markten.
- IGJ: gezondheidszorg.
- ILT: vervoer.
- NCSC: nationaal CSIRT en kennishub.
RDI heeft bevoegdheden: audits, inspecties, security scans, ad-hoc audits, informatievorderingen.
8. Bestuurdersaansprakelijkheid (Cbw art. 12)
NIS2 introduceert directe bestuursverantwoordelijkheid:
- Bestuur moet beveiligingsmaatregelen goedkeuren.
- Bestuur ziet toe op implementatie.
- Verplichte training cyberveiligheid bestuur.
- Persoonlijke aansprakelijkheid bij grove schending.
Bestuurder kan op grond Cbw art. 12 (NIS2 art. 20 lid 1) persoonlijk worden gesanctioneerd, tijdelijke schorsing managementfunctie mogelijk.
9. Boetestelsel
| Entiteit | Maximum |
|---|---|
| Essentiële entiteit | 10 M EUR of 2% wereldwijde omzet |
| Belangrijke entiteit | 7 M EUR of 1,4% wereldwijde omzet |
| Bestuurder persoonlijk | Afhankelijk overtreding |
Bevoegdheden RDI: corrigerende maatregelen, dwangsommen, boete, schorsing managementfunctie (EE), publicatie sanctie.
10. Samenloop AVG en Cbw
NIS2/Cbw en AVG complementair:
| Aspect | AVG | Cbw/NIS2 |
|---|---|---|
| Scope | Persoonsgegevens | Cyberveiligheid algemeen |
| Toezicht | AP | RDI + sectoraal |
| Meldtermijn | 72u datalek | 24u early + 72u + 30d |
| Beveiliging | Art. 32 | Art. 7 (uitgebreider) |
| Sancties | 20M / 4% | 10M / 2% (EE) |
Cyberincident met datalek = beide meldingen aan beide toezichthouders.
11. Supply chain security
NIS2 introduceert ketenbenadering. Entiteiten moeten cyberrisico’s van directe leveranciers en dienstverleners adresseren:
- Leveranciersassessment.
- Contractuele beveiligingsclausules.
- Monitoring incidenten bij leveranciers.
- Coördinated vulnerability disclosure.
Praktisch: SBOM (Software Bill of Materials), vendor risk management, attest van beveiliging (SOC 2, ISO 27001).
12. Praktische integratie met AVG art. 32
NIS2 art. 21 en AVG art. 32 hebben overlappende eisen op TOM-niveau. Voor entiteiten onder beide regimes praktisch:
| Maatregel | NIS2 vereiste | AVG art. 32 dekking |
|---|---|---|
| Encryptie | Art. 21.2.h | Art. 32 lid 1 sub a |
| MFA + access control | Art. 21.2.i + j | Art. 32 lid 1 sub b |
| Logging + monitoring | Art. 21.2.f | Art. 32 lid 1 sub b |
| Backup + DR | Art. 21.2.c | Art. 32 lid 1 sub c |
| Incident response | Art. 21.2.b | Art. 32 + art. 33 |
| Pentesting + audit | Art. 21.2.f | Art. 32 lid 1 sub d |
| Awareness training | Art. 21.2.g | Art. 32 + art. 5 |
| Supply chain | Art. 21.2.d | Art. 28 (DPA) |
Een ISO 27001-conform ISMS dekt grotendeels beide kaders. Aanvullingen voor NIS2: bestuursgoedkeuring, supply chain assessment, 24-uur early warning aan CSIRT. Zie AVG Art. 32 beveiliging voor AVG-context.
13. Sectorale toezichthouders Cbw
| Sector | Primair toezicht | Aanvullend |
|---|---|---|
| Energie | RDI | ACM, SodM |
| Transport | ILT | RDI |
| Bankwezen | DNB | RDI |
| Financiële markten | DNB / AFM | RDI |
| Gezondheidszorg | IGJ | RDI |
| Drinkwater | ILT | RDI |
| Digitale infrastructuur | RDI | — |
| Overheid | RDI (na centrale aanmelding) | — |
| Onderzoek | RDI | OCW |
Bij onduidelijkheid kwalificatie: RDI fungeert als loket. Aanmelding via aparte NIS2-portal verplicht voor alle EE en BE entiteiten. Niet-aanmelden = zelfstandige overtreding.
14. Compliance-roadmap NIS2 / Cbw
- Bepaal kwalificatie (EE, BE, geen).
- Aanmelden bij RDI (verplicht).
- Gap-analyse versus NIS2 art. 21.
- Bestuurstraining en goedkeuring beleid.
- Risk assessment + treatment plan.
- Implementeer 10 verplichte maatregelen.
- Supply chain assessment.
- Incident response plan + 24/72-uurs proces.
- Audit + certificering (ISO 27001 als basis).
- Periodieke evaluatie + bestuursrapportage.
FAQ
Wanneer is mijn organisatie onder NIS2 in Nederland?
Indien actief in sector bijlage I of II (Cbw bijlagen) EN drempel 50+ medewerkers OF 10M+ omzet/balans bereikt. Specifieke kritische diensten (DNS, TLD, registry) ongeacht omvang.
Wie is toezichthouder NIS2 in Nederland?
RDI (Rijksinspectie Digitale Infrastructuur) is hoofdtoezichthouder. Aanvullend sectoraal: DNB (bankwezen, financiële markten), IGJ (zorg), ILT (transport). NCSC fungeert als nationaal CSIRT.
Wat is verschil tussen NIS2 en AVG?
AVG regelt persoonsgegevens (toezicht AP). NIS2/Cbw regelt cyberveiligheid algemeen (toezicht RDI). Bij cyberincident met persoonsgegevens beide meldingen vereist.
Wat is bestuurdersaansprakelijkheid onder NIS2?
Bestuur moet cyberveiligheidsmaatregelen goedkeuren, toezien op implementatie en verplichte training volgen. Persoonlijke aansprakelijkheid bij grove schending, schorsing managementfunctie mogelijk bij essentiële entiteit.
Wanneer trad de Cyberbeveiligingswet in werking?
Gefaseerd 2025. Oorspronkelijke deadline NIS2-omzetting was 17 oktober 2024 (door Nederland niet gehaald). Wet aangenomen begin 2025, gefaseerde inwerkingtreding 2025-2026 met overgangsperiode voor entiteiten.
Hoe zit het met ketenbeveiliging?
Cbw art. 7 vereist supply chain security. Praktisch: leveranciersassessment, contractuele clausules, monitoring incidenten bij leveranciers, SBOM voor software. Kleine entiteiten buiten directe NIS2-scope worden indirect betrokken via klanten die wel onder NIS2 vallen. Verwerkersovereenkomsten (art. 28 AVG) moeten uitgebreid met cyber-eisen — zie Verwerkersovereenkomst template.
Welke training is verplicht voor bestuur?
Cbw art. 12 verplicht bestuurstraining op cyberveiligheid. Geen wettelijke duur/frequentie, EDPB en RDI verwijzen naar “redelijke en regelmatige”. Praktijk: jaarlijks 4-8 uur basistraining, awareness oefeningen (tabletop exercise) jaarlijks, briefings na grote incidenten in markt. Documenteer in personeelsdossier bestuurders.
Hoe verhoudt NIS2 zich tot DORA?
DORA (Verordening 2022/2554, vanaf 17 januari 2025) is lex specialis voor de financiële sector: banken, verzekeraars en beleggingsinstellingen. Voor entiteiten onder DORA gelden de DORA-vereisten in plaats van NIS2 op overlappende gebieden (ICT-risk management, incident reporting). Wel: NIS2 supply chain blijft van toepassing. DNB coördineert toezicht voor financiële sector. Voor cumulatie met AVG Art. 32 beveiliging blijft accountability bij verantwoordelijke.
Wat zijn de eerste handhavingsacties verwacht?
RDI publiceerde focusgebieden 2026: 1) aanmelding entiteiten (drempel-tests), 2) incident response capaciteit (24/72-uur), 3) bestuursgoedkeuring beveiligingsbeleid, 4) supply chain security minimumstandaarden. Verwacht: eerste boetes Q2-Q3 2026, vermoedelijk voor digitale infrastructuur en gezondheidszorg. Bestuurdersaansprakelijkheid wordt waarschijnlijk pas later 2026/2027 actief gehandhaafd.
Zie ook: de Cyberbeveiligingswet, NIS2 vs AVG en DORA vs NIS2.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial