De NIS2-richtlijn wordt in Nederland geïmplementeerd via de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 van kracht wordt. Hoewel de wet nog niet actief is, is het verstandig om nu al te beginnen met de voorbereidingen. Organisaties die wachten tot de laatste maand lopen het risico om niet op tijd compliant te zijn én missen de kans om cyberbeveiliging structureel te verankeren in hun bedrijfsvoering.
In dit artikel geven we een helder overzicht van wat NIS2 van jouw organisatie vraagt en hoe je je kunt voorbereiden.
Voor wie geldt NIS2?
De NIS2-richtlijn richt zich op twee categorieën organisaties. Essentiële entiteiten zijn actief in sectoren zoals energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur, overheidsdiensten en ruimtevaart. Belangrijke entiteiten opereren in sectoren als postdiensten, afvalbeheer, voedselproductie, chemische industrie en digitale dienstverlening.
De richtlijn geldt voor middelgrote organisaties met 50-250 medewerkers of een omzet van €10-50 miljoen, en voor grote organisaties met meer dan 250 medewerkers of een omzet boven €50 miljoen. Ook kleinere organisaties kunnen onder de wet vallen als ze een cruciale rol spelen in de keten.
De kernvereisten van NIS2
NIS2 schrijft een breed pakket aan maatregelen voor. Deze kun je indelen in vier thema's.
Governance en beleid
Organisaties moeten een gedegen risicoanalyse uitvoeren en een beveiligingsbeleid opstellen dat regelmatig wordt geëvalueerd. Het bestuur draagt expliciet verantwoordelijkheid: zij moeten beveiligingsmaatregelen goedkeuren en zelf training volgen over cybersecurity. Bij niet-naleving kunnen bestuurders persoonlijk aansprakelijk worden gesteld.
Technische beveiliging
Op technisch vlak vereist NIS2 onder meer multi-factor authenticatie voor toegang tot kritieke systemen, encryptie van gevoelige data en beveiligde communicatie, toegangsbeheer op basis van need-to-know, en security by design bij aanschaf en ontwikkeling van systemen.
Operationele maatregelen
De dagelijkse operatie moet op orde zijn. Dit betekent bewustwordingstraining voor alle medewerkers, een strak wachtwoordbeleid, tijdige software-updates en patchmanagement, en actief leveranciersbeheer waarbij je de beveiliging van je toeleveringsketen beoordeelt en monitort.
Incident en continuïteit
Organisaties moeten procedures hebben voor detectie, respons en herstel bij beveiligingsincidenten. Daarnaast zijn back-upbeheer, disaster recovery plannen en crisismanagement procedures verplicht om de bedrijfscontinuïteit te waarborgen.
Meldplicht en sancties
Een van de meest concrete verplichtingen is de meldplicht bij incidenten. Bij een significant beveiligingsincident moet je binnen 24 uur een vroegtijdige waarschuwing sturen aan de toezichthouder, binnen 72 uur een volledige incidentmelding doen, en binnen één maand een eindverslag indienen met analyse en genomen maatregelen.
De sancties bij niet-naleving zijn fors. Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde omzet. Voor belangrijke entiteiten geldt een maximum van €7 miljoen of 1,4% van de omzet. Dit maakt NIS2 een richtlijn om serieus te nemen.
Hoe uComply jouw organisatie helpt
uComply biedt een geïntegreerde oplossing om aan alle NIS2-vereisten te voldoen. Met geautomatiseerde risicobeoordeling en voorgedefinieerde NIS2-controles breng je snel je risico's in kaart. De complete workflow voor incidentregistratie zorgt dat je aan de meldplicht kunt voldoen. Alle beleids- en proceduredocumenten sla je centraal op, en met het real-time dashboard houd je grip op je compliance-status.
Het uComply NIS2 Content Pack bevat voorgedefinieerde controls gebaseerd op de NIS2-vereisten, kant-en-klare beleidssjablonen, audit-checklists en gap-analyse tools. Zo hoef je niet vanaf nul te beginnen en kun je direct aan de slag met je voorbereiding.
%20control%20framework%20nu%20beschikbaar%20in%20uComply.png)
