Isotron | Inzichten & Nieuws

Zo zorg je dat jouw organisatie klaar is voor de nieuwe NIS2-richtlijn

door Isotron op 11 september 2025

Isotron NIS2 veelgestelde vragen blog

 

NIS2 is de nieuwe Europese richtlijn die jouw organisatie verplicht om digitaal weerbaar te zijn. Zeker als je actief bent in kritieke sectoren zoals voedingsmiddelen en water treatment. De regels zijn strenger, de boetes hoger en bestuurders krijgen meer verantwoordelijkheid. Daardoor heeft NIS2 grote gevolgen, voor de hele toeleveringsketen.

Maar wat betekent NIS2 concreet voor jouw bedrijf? Wanneer val je onder deze richtlijn en hoe voorkom je boetes? In deze blog lees je de antwoorden op de belangrijkste vragen over deze Europese richtlijn.

1: Wat is NIS2?

NIS2 is een Europese richtlijn voor cybersecurity en staat voor Network and Information Security Directive 2. De wet vervangt de eerdere NIS-richtlijn uit 2016. Daarmee stelt hij strengere eisen aan organisaties voor het beveiligen van digitale systemen. Zo moet je als organisatie cyberincidenten sneller melden, regelmatig risicoanalyses uitvoeren en concrete maatregelen nemen om jouw netwerk en informatiesystemen te beschermen. Hiermee vergroot je jouw digitale weerbaarheid.

 

2: Waarom is NIS2 nodig?

NIS2 moet het risico op cyberaanvallen kleiner maken. Hackers worden slimmer en aanvallen omvangrijker, waardoor digitale incidenten vaker ernstige gevolgen hebben. Denk bijvoorbeeld aan een waterzuiveringsinstallatie die geen schoon drinkwater meer levert. Een cyberaanval raakt nooit alleen één organisatie maar kan ook impact hebben op de hele samenleving.

Samenwerken voor een betere bescherming van vitale sectoren

Met NIS2 zorgt de EU ervoor dat de beveiliging van kritieke sectoren beter wordt. Zo kunnen landen sneller samenwerken bij cyberincidenten. Organisaties worden gestimuleerd om hun digitale beveiliging serieus te verbeteren. En kwetsbaarheden actief op te sporen, zowel binnen het eigen bedrijf als bij leveranciers en partners in de keten.

 3: Voor welke sectoren geldt NIS2?

NIS2 richt zich op organisaties in sectoren die cruciaal of belangrijk zijn voor onze samenleving, zoals:

Vitale sectoren:

  • Energie
  • Drinkwatervoorziening
  • Digitale infrastructuur
  • Zorginstellingen
  • Vervoer
  • Overheidsdiensten

Belangrijke sectoren:

  • Voedselproductie
  • Chemische industrie
  • Post- en koeriersdiensten
  • Afvalbeheer
  • Digitale dienstverleners
  • Industrie en machinebouw

Valt ieder bedrijf in deze sectoren onder NIS2, zelfs ZZP’ers? Nee. De richtlijn geldt alleen voor organisaties met meer dan 50 medewerkers. Of een jaaromzet van meer dan € 10 miljoen.

 

4: Hoe zorg je dat jouw organisatie NIS2-compliant wordt?

Om aan NIS2 te voldoen moet je aan een aantal concrete eisen voldoen. Belangrijke stappen om NIS2-compliant te worden zijn bijvoorbeeld:

  1. Risicomanagement toepassen zoals het uitvoeren van risicoanalyses volgens de ISO 27001-standaard.
  2. Technische beveiligingsmaatregelen treffen voor regelmatige updates, strikt toegangsbeheer en encryptie.
  3. Cyberincidenten melden bij autoriteiten binnen 24 uur.
  4. Continuïteit garanderen door duidelijke plannen voor bedrijfscontinuïteit bij incidenten.
  5. Leveranciers en partners beveiligen zodat jouw hele keten voldoet aan dezelfde beveiligingsstandaarden.
  6. Bestuurders betrekken bij cybersecurity en bestuurlijke verantwoordelijkheid duidelijk vast te leggen, bijvoorbeeld door een Chief Information Security Officer (CISO) aan te stellen.

 

5: Wat gebeurt er als je niet voldoet aan de NIS2-verplichtingen?

Voldoe je niet aan de NIS2-verplichtingen dan riskeer je forse sancties. Toezichthouders zoals het Nederlandse Agentschap Telecom of het Belgische CCB kunnen boetes opleggen tot €10 miljoen of zelfs 2% van je wereldwijde jaaromzet. Ook kunnen zij verplichte audits uitvoeren en verbeteringen eisen. In bepaalde gevallen kunnen bestuurders persoonlijk aansprakelijk worden gesteld voor het niet naleven van de regels.

Reputatieschade en risico’s voor je bedrijfsvoering

Klanten en partners vertrouwen erop dat hun gegevens veilig zijn. Als je niet voldoet aan NIS2, loop je naast financiële sancties ook het risico op imagoschade en verlies van vertrouwen. Maar ook operationele problemen zoals stilgelegde productieprocessen, datalekken of langdurige verstoringen liggen op de loer.

 

6: Wat is het verschil tussen NIS2, NIS1, ISO-normen en de Cyber Resilience Act?

NIS2 is een aangescherpte versie van de oorspronkelijke NIS-richtlijn (NIS1). Meer organisaties vallen nu onder de nieuwe wet en bestuurders krijgen expliciet meer verantwoordelijkheid. In tegenstelling tot ISO-normen zoals ISO 27001 is NIS2 juridisch afdwingbaar. Ook verschilt NIS2 van de aankomende Cyber Resilience Act (CRA), die zich richt op de beveiliging van hardware en software.

In de tabel hieronder zie je in één oogopslag de belangrijkste verschillen.

Kenmerk NIS1 NIS2 ISO-normen
(o.a. ISO 27001)		 Cyber Resilience Act (CRA)

Juridische status

Europese richtlijn (2016)

Europese richtlijn (2023, nationale invoering in 2025/2026)

Vrijwillige norm

Bindende Europese verordening

Toepassingsgebied

Essentiële dienstverleners (beperkte sectoren)

Essentiële én belangrijke organisaties in meer sectoren

Elke organisatie die zich wil certificeren

Fabrikanten van digitale producten

Bestuursverantwoor-delijkheid

Nauwelijks benoemd

Verplicht op directieniveau

Richt zich op procesniveau

Richt zich op productniveau

Verplichte maatregelen

Algemene beveiligings-maatregelen

Uitgebreide verplichtingen m.b.t. risicobeheer, monitoring, herstel

Aanbevelingen en eisen voor informatie-beveiliging

Verplichtingen voor veilige productontwikkeling en updates

Sancties

Beperkt

Hoog: audits, toezicht, boetes

Geen wettelijke sancties (alleen bij contractuele eisen)

Hoog: CE-markering verplicht, handhaving via markttoezicht

Focus

Diensten en netwerken

Digitale weerbaarheid van organisaties in brede zin

Informatie-beveiliging

Productveiligheid en cyberbeveiliging in de keten

Verplicht?

Ja

Ja

Nee

Ja

 

7: Wanneer geldt NIS2 in Nederland en België?

De NIS2-richtlijn is sinds januari 2023 van kracht binnen de EU. Lidstaten moesten deze richtlijn vóór oktober 2024 omzetten naar nationale wetgeving. In Nederland gebeurt dat via de nieuwe Cyberbeveiligingswet (Cbw). Maar die deadline is niet gehaald. Volgens de huidige planning van de NCTV treedt de wet – samen met de Wet weerbaarheid kritieke entiteiten – pas in het tweede kwartaal van 2026 in werking.

België is al verder. Sinds 18 oktober 2024 maakt NIS2 officieel deel uit van de Belgische wetgeving. De handhaving ligt daar in handen van het Centrum voor Cybersecurity België (CCB).

 

8: Hoe bereid je je organisatie goed voor op NIS2?

Voorbereiden op NIS2 begint met inzicht. Onderzoek eerst of jouw organisatie onder de richtlijn valt. Breng vervolgens de grootste digitale risico’s in kaart. Zorg dat jouw processen, IT-beveiliging en interne verantwoordelijkheden goed geregeld én aantoonbaar vastgelegd zijn.

Het NIS2 Quality Mark toont aan dat jouw organisatie actief werkt aan compliance. Er zijn drie certificeringsniveaus:

  • QM10 – basisniveau
  • QM20 – substantieel niveau
  • QM30 – hoog niveau

Start nu met voorbereiden

NIS2 is meer dan alleen een verplichting vanuit Europa. Het biedt ook de kans om je digitale weerbaarheid te versterken en je organisatie toekomstbestendig te maken. In een wereld waarin kwetsbare OT-omgevingen steeds vaker doelwit zijn van aanvallen, is dit het moment om in actie te komen.



Heb je vragen over NIS2 in relatie tot onze producten en diensten? Of wil je meer informatie over ons proces om NIS2-compliant te zijn? Neem contact met ons op!

 
Topics: Safe Machine & Factory Isotron

Bekijk alles

Bekijk alles