Projecten Aanpak Over Frits Blog Tech-woordenboek WhatsApp Contact
Lexicon · Security

NIS2

Definitie

NIS2 (Network and Information Security Directive 2) is een Europese richtlijn die per oktober 2024 in nationale wetgeving moet zijn omgezet en strengere cyberveiligheid-eisen stelt aan organisaties in zogenaamde “kritieke” en “belangrijke” sectoren. Het breidt de eerdere NIS-richtlijn uit naar meer sectoren en stelt zwaardere eisen.

Onder kritieke sectoren vallen energie, transport, banken, gezondheidszorg, drinkwater en digitale infrastructuur. Belangrijke sectoren omvatten onder meer post, afval, voedselverwerking, productie van bepaalde goederen en digitale dienstverleners. Veel MKB-organisaties in deze sectoren krijgen voor het eerst formele cybersecurity-verplichtingen.

Waarom het ertoe doet voor MKB

Voor MKB in een NIS2-sector zijn de implicaties concreet: een risico-analyse moet opgesteld zijn, incidenten moeten binnen 24 uur gemeld worden, bestuurders zijn persoonlijk aansprakelijk, en boetes kunnen oplopen tot 10 miljoen euro of 2% van de jaaromzet.

Voor jouw bedrijf is de eerste vraag: vallen wij eronder? Dat hangt af van sector en omvang (vaak vanaf 50 medewerkers of 10 miljoen omzet). Een snelle check bij Digital Trust Center of branchevereniging maakt dat helder. Buiten de scope is NIS2 vooral een baseline voor goede cybersecurity-praktijken.

Concreet voorbeeld

Een drinkwaterbedrijf met 120 medewerkers stond onder NIS1 al onder toezicht, maar onder NIS2 worden de eisen aangescherpt: risico-analyse jaarlijks geactualiseerd, incident-response plan getest, en specifieke maatregelen rond toegangscontrole, beveiligde back-ups en supply chain-risico’s.

De implementatie kostte een gestructureerd traject van 6 maanden: een externe cybersecurity-partner werd ingeschakeld voor de risico-analyse, interne IT’ers werden opgeleid in incident-response, en leveranciersafspraken werden herzien. Investering rond 60.000 euro, met als opbrengst niet alleen compliance maar ook duidelijk verminderd risico op uitval bij cyberincidenten.

Misverstanden en valkuilen

  • “NIS2 is alleen voor grote bedrijven.” Onjuist. Veel MKB in betrokken sectoren valt eronder. De omvanggrenzen liggen relatief laag (50 medewerkers / 10 miljoen omzet).
  • “Een ISO 27001-certificering is genoeg.” Helpt sterk, maar NIS2 heeft specifieke eisen (zoals 24-uurs meldplicht) die los van ISO geregeld moeten zijn.
  • “NIS2 = AVG.” Verschillende doelen. AVG gaat over privacy van persoonsgegevens; NIS2 over continuïteit en veiligheid van diensten. Vaak overlappen ze, maar het zijn verschillende compliance-trajecten.
  • “Bestuurders kunnen het delegeren.” Niet helemaal. Onder NIS2 zijn bestuurders persoonlijk aansprakelijk en moeten ze cybersecurity-training volgen.

Wanneer moet je hier wakker liggen, wanneer niet

Wakker liggen: als je in een NIS2-sector valt en nog geen serieuze cybersecurity-praktijk hebt. De boetes zijn fors, en de tijdslijnen krap. Een ondernemer die zegt “we doen wel ons best” zonder gedocumenteerde aanpak loopt risico.

Niet wakker liggen: als je niet onder NIS2 valt qua sector of omvang. Wel: de NIS2-baseline (toegangscontrole, back-ups, incident-response) is goede praktijk voor elk MKB.

Gerelateerde termen

  • AVG: parallel compliance-traject voor privacy.
  • 2FA: vrijwel verplichte basismaatregel onder NIS2.
  • Penetration testing: vaak onderdeel van NIS2-compliance.
  • Encryption: belangrijke maatregel voor NIS2-verplichtingen.
Filed under Security
Leestijd 2 min
Gepubliceerd 21 mei 2026

Zie ook

2FA
2FA staat voor Two-Factor Authentication: inloggen met twee verschillende bewijsstukken (meestal wachtwoord plus code via app of sms). Significant veiliger...
AVG
AVG (Algemene Verordening Gegevensbescherming) is de Europese privacywetgeving die regelt hoe organisaties met persoonsgegevens moeten omgaan. Voor MKB betekent het:...
Encryption
Encryption (versleuteling) zet data om in een onleesbare vorm die alleen met de juiste sleutel terug te lezen is. Beschermt...
OAuth
OAuth is een standaardprotocol waarmee een applicatie toegang krijgt tot data in een andere applicatie, zonder dat de gebruiker zijn...
Penetration testing
Een penetration test (pentest) is een georganiseerde aanval op je eigen systemen door beveiligingsspecialisten, om kwetsbaarheden te vinden voordat criminelen...
SSL/TLS
SSL/TLS is de technologie achter het hangslot-icoon in je browser. Het zorgt voor versleutelde verbinding tussen jouw computer en een...

Verder lezen

Freelancer, bureau of fractional partner: wie moet je software bouwen?
Voor MKB-projecten is er een derde optie: vergelijk freelancer, bureau en fractional partner op kosten, risico en werkwijze.
Het one-person tech team: waarom je geen team van 5 nodig hebt
Je zoekt een developer voor je nieuwe platform. Het bureau komt met een offerte: projectmanager, UX-designer, twee developers, een tester. Vijf mensen, zes maanden,...
Technische schuld: wat het je echt kost en hoe je het oplost
Je herkent het waarschijnlijk. Elke aanpassing aan je software duurt langer dan verwacht. Je IT-kosten stijgen jaar na jaar, maar je systemen voelen niet...