Skip to content

NIS2 richtlijn

NIS2 beschermt kritieke infrastructuur

De NIS2-richtlijn is door de Europese Unie ontwikkeld om de digitale en economische weerbaarheid van lidstaten te versterken. In Nederland zullen meer dan 10.000 organisaties ermee te maken krijgen, vaak zonder dat zij zich daarvan bewust zijn.
TÜV NORD helpt organisaties vaststellen of NIS2 geldt en begeleidt bij de voorbereiding.

Vraag offerte aan

Voor wie is de NIS2-richtlijn bedoeld?

De NIS2-richtlijn is van toepassing op veel meer organisaties dan de eerdere NIS1. De belangrijkste doelgroepen zijn:

  • Essentiële entiteiten: grote organisaties in sectoren zoals energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur en overheidsdiensten.
  • Belangrijke entiteiten: middelgrote organisaties in dezelfde sectoren, plus sectoren uit bijlage II zoals post- en koeriersdiensten, afvalstoffenbeheer, voedselproductie, chemie en onderzoek.
  • Leveranciers van deze organisaties krijgen ook met de richtlijn te maken, doordat weerbaarheid in de hele keten verplicht wordt.

 

De NIS2-richtlijn is van toepassing op organisaties in specifieke sectoren. Deze sectoren zijn door de EU onderverdeeld in twee groepen: bijlage I (essentiële sectoren) en bijlage II (belangrijke sectoren). Hieronder zie je het overzicht.

Overzicht sectoren onder NIS2

Sectoren bijlage I (Essentieel)

  • Energie
  • Transport
  • Bankwezen en financiële markten
  • Gezondheidszorg
  • Drinkwater en afvalwater
  • Digitale infrastructuur en ICT
  • Overheidsdiensten
  • Ruimtevaart

Sectoren bijlage II (Belangrijk)

  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen
  • Onderzoek
  • Productie / manufacturing

Wil je snel weten of jouw organisatie eronder valt? Gebruik de zelfevaluatie van de overheid.

Wat houdt de NIS2-richtlijn in?

De NIS2-richtlijn is Europese wetgeving die de digitale weerbaarheid van lidstaten moet vergroten. Organisaties in vitale en belangrijke sectoren worden verplicht hun cyberveiligheid te versterken en incidenten beter te melden. Het doel: de continuïteit van essentiële diensten beschermen en risico’s voor de samenleving beperken.

De verplichtingen van de NIS2-richtlijn

De NIS2-richtlijn legt drie hoofdverplichtingen op aan organisaties:

  • Zorgplicht
    Organisaties moeten passende technische en organisatorische maatregelen nemen om hun digitale weerbaarheid te vergroten (zoals risicobeheer, beveiligingsbeleid en training).
     
  • Meldplicht 
    Ernstige incidenten moeten snel worden gemeld aan de bevoegde autoriteit.
     
  • Toezicht 
    Er komt actief toezicht door nationale toezichthouders. In Nederland vervult de Rijksinspectie Digitale Infrastructuur (RDI) hierbij een belangrijke rol.
Bekijk hier de verplichtingen

Waarom snelle actie op NIS2 belangrijk is

Impact op de keten
Cyberweerbaarheid gaat verder dan je eigen organisatie. Als jij niet veilig bent, breng je ook leveranciers en klanten in gevaar. Een zwakke schakel kan de hele keten kwetsbaar maken.

Boetes en aansprakelijkheid
Het niet naleven van NIS2 kan leiden tot hoge boetes en persoonlijke aansprakelijkheid van bestuurders. Wie zijn verantwoordelijkheid niet neemt, kan zelfs geschorst worden. Bestuurders hebben een actieve plicht om maatregelen te treffen.

Hoog risico en strengere regels
Cyberdreigingen zijn er nú al, los van de formele wetgeving. Wachten is dus geen optie. De overheid en experts verwachten dat de invoering van NIS2 nóg complexer wordt dan de AVG, met zwaardere verplichtingen en strengere sancties. Tijdig voorbereiden is essentieel.


Wij zorgen dat je organisatie tijdig voldoet aan de NIS2-richtlijn, zodat je risico’s beperkt, boetes voorkomt en weerbaar blijft in de hele keten.

Hoe bereid ik me voor op NIS2?

Een belangrijke stap is het versterken van je ketenweerbaarheid. Wanneer je als (mkb-)bedrijf je leveranciers wilt managen, biedt CYRA (Cyber Rating) hiervoor een praktisch en onafhankelijk framework.

Met CYRA kun je via een self-assessment snel zien waar je staat op het gebied van informatiebeveiliging en privacy. Je krijgt een benchmark ten opzichte van branchegenoten én inzicht in hoe jouw organisatie kan doorgroeien in digitale volwassenheid.

CYRA is ontwikkeld door onafhankelijke partijen, waaronder TÜV NORD Nederland, om structuur en inzicht te bieden in de weerbaarheid van ketens. Het framework helpt je stap voor stap om voor te sorteren op NIS2. Op dit moment ligt de focus op IT en privacy, maar in de toekomst wordt ook OT (operationele technologie/industriële automatisering) toegevoegd.

CYRA biedt jou als ondernemer:

  • Duidelijk inzicht in je huidige situatie.
  • Concreet handelingsperspectief om cyberweerbaarheid te verbeteren.
  • Een benchmark ten opzichte van jouw sector.

Voor de hele keten betekent CYRA:

  • Betere continuïteit dankzij meer cyberweerbaarheid.
  • Een solide voorbereiding op wet- en regelgeving zoals NIS2.
Lees meer over CYRA en ontdek hoe je jouw organisatie en keten versterkt.

Waarom kiezen voor TÜV NORD?

  • Onafhankelijk & deskundig: sinds 1981 actief in keuringen, inspecties en audits
  • Expertise in cybersecurity: ons team kent de NIS2 van binnen en buiten
  • Internationaal netwerk: onderdeel van TÜV NORD GROUP, actief in 70 landen
  • Praktische aanpak: laagdrempelig en gericht op verbetering
  • Ervaring in meerdere sectoren: van energie en zorg tot IT en overheid

Veelgestelde vragen

Antwoorden op veelgestelde vragen

De NIS2-richtlijn is Europese wetgeving die organisaties in vitale en belangrijke sectoren verplicht om hun digitale weerbaarheid te verhogen. De richtlijn bevat eisen voor risicobeheer, technische en organisatorische beveiligingsmaatregelen, incidentmelding en toezicht. NIS2 vervangt en breidt de eerdere NIS1-richtlijn uit.

NIS2 is van toepassing op meer dan 10.000 organisaties in Nederland. Het gaat om grote en middelgrote bedrijven in sectoren zoals energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur, overheid, chemie, onderzoek, productie en post- en koeriersdiensten. Ook toeleveranciers kunnen indirect met NIS2 te maken krijgen.

De Europese NIS2-richtlijn is sinds januari 2023 van kracht. Lidstaten moeten deze uiterlijk in oktober 2024 hebben omgezet in nationale wetgeving. In Nederland wordt NIS2 geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni).

De exacte ingangsdatum in Nederland is nog niet vastgesteld, maar uitstel kan grote risico’s betekenen. Begin daarom tijdig met voorbereiden.

De verplichtingen zijn te verdelen in drie hoofdcategorieën:

  • Zorgplicht: passende maatregelen treffen voor cybersecurity en risicobeheer.
  • Meldplicht: ernstige incidenten snel rapporteren aan de toezichthouder.
  • Toezicht: naleving wordt actief gecontroleerd door nationale autoriteiten zoals de Rijksinspectie Digitale Infrastructuur (RDI).

Niet-naleving kan leiden tot hoge boetes, bestuurlijke of zelfs persoonlijke aansprakelijkheid voor bestuurders, en reputatieschade. De sancties zijn strenger dan bij eerdere wetgeving zoals de AVG.

Begin met een nulmeting van je cyberweerbaarheid. Frameworks zoals CYRA (Cyber Rating) helpen om inzicht te krijgen in je huidige situatie, te benchmarken met branchegenoten en gericht stappen te zetten. Ook is het belangrijk om beleid, processen en trainingen structureel te verbeteren.

Ja, middelgrote bedrijven (vanaf 50 medewerkers of €10 miljoen omzet én balanstotaal) vallen onder NIS2 als ze actief zijn in de genoemde sectoren. Ook kleinere organisaties kunnen betrokken raken, bijvoorbeeld als leverancier van een essentiële entiteit.

De AVG gaat over bescherming van persoonsgegevens, terwijl NIS2 zich richt op de bredere digitale weerbaarheid en continuïteit van essentiële diensten. Beide regelgevingen vullen elkaar aan: waar de AVG privacy beschermt, zorgt NIS2 voor bescherming van kritieke infrastructuur.

Bestuurders zijn persoonlijk verantwoordelijk voor naleving. Zij moeten actief toezien op de implementatie van maatregelen en kunnen niet volstaan met “ik wist het niet”. Bij tekortschieten kan zelfs persoonlijke aansprakelijkheid of schorsing volgen.

NIS2 schrijft voor dat naleving moet worden aangetoond via onafhankelijke toetsing. TÜV NORD Nederland is als erkende en onafhankelijke certificeringsinstelling bevoegd om audits en certificeringen uit te voeren. Wij combineren technische expertise met diepgaande kennis van wet- en regelgeving, zodat organisaties aantoonbaar compliant zijn.

Wil je weten of jouw organisatie onder de NIS2 valt en hoe je je kunt voorbereiden?

Neem contact op met TÜV NORD Nederland en krijg advies van onze experts.

Stel je vraag

Ook interessant voor jou

ISO 27001 certificering

ISO 27001 is de internationale norm voor informatiebeveiligingsmanagement. Met een gecertificeerd managementsysteem toon je aan dat je risico’s structureel beheerst, gegevens beschermt en voldoet aan wettelijke eisen.
Lees meer

ISAE 3000 rapport (SOC 2)

Het ISAE 3000 / SOC 2-rapport geeft zekerheid dat uitbestede processen op het gebied van informatiebeveiliging en niet-financiële dienstverlening aantoonbaar betrouwbaar en goed ingericht zijn.
Lees meer

ENX VCS Audit

Cybersecurity in voertuigen is belangrijker dan ooit. Met de ENX Vehicle Cybersecurity (VCS) Audit laat je zien dat je voldoet aan de juiste eisen voor digitale veiligheid in de automotive sector.
Lees meer

Meer Keuringen en inspecties

Een keuring door TÜV NORD geeft je een onafhankelijk en objectief oordeel over de staat van jouw kraan, attractie of sporttoestel. Na afloop ontvang je snel een duidelijk keuringsrappor
Bekijk alle keuringen