NIS-2 update - oktober 2025

NIS 2

De implementatie van de NIS2-richtlijn in Nederland loopt aanzienlijke vertraging op. Hier zijn de belangrijkste ontwikkelingen:
________________________________________
📌 Huidige status van NIS2 in Nederland
• Deadline gemist: De Europese deadline voor omzetting naar nationale wetgeving was 18 oktober 2024, maar Nederland heeft deze niet gehaald.
• Verwachte inwerkingtreding: De Cyberbeveiligingswet (Cbw), die NIS2 implementeert, wordt nu pas in het tweede kwartaal van 2026 verwacht in werking te treden.
• Reden voor vertraging: De omzetting is complex en omvangrijk. Daarnaast heeft de val van het kabinet in juni 2025 extra onzekerheid veroorzaakt[2].
________________________________________
🛡️ Wat betekent dit voor organisaties?
• Geen verplichtingen tot inwerkingtreding: Tot de wet van kracht is, hoeven organisaties zich nog niet aan de NIS2-verplichtingen te houden.
• Wel enkele rechten: Door de rechtstreekse werking van bepaalde bepalingen uit NIS2 hebben organisaties sinds 17 oktober 2024 wel enkele rechten, zoals bijstand bij cyberincidenten door CSIRTs.
• Huidige wetgeving blijft gelden: De Wet beveiliging netwerk- en informatiesystemen (Wbni) blijft van kracht tot de Cyberbeveiligingswet in werking treedt.
________________________________________
🏛️ Politieke context
• De wet is inmiddels ingediend bij de Tweede Kamer.
• Door het zomerreces en verkiezingsreces is snelle behandeling lastig.
• Er is brede politieke steun voor cybersecurity, dus de verwachting is dat de wet niet controversieel wordt verklaard, wat verdere vertraging zou voorkomen.
________________________________________
🧭 Wat kun je als organisatie nu doen?
• Voorbereiden op compliance: Begin met het beoordelen van je cyberbeveiligingsmaatregelen (bv Microsoft Business Premium!)
• Contracten herzien: Kijk of afspraken met leveranciers en klanten aangepast moeten worden.
• Risicoanalyse uitvoeren: Zeker als je valt onder de sectoren zoals energie, vervoer, gezondheidszorg, digitale infrastructuur, etc.
________________________________________

De NIS2-richtlijn (Network and Information Security Directive 2) is Europese wetgeving die tot doel heeft de digitale weerbaarheid van lidstaten te versterken. In Nederland wordt deze richtlijn vertaald naar de Cyberbeveiligingswet (Cbw), die naar verwachting in Q2 2026 in werking treedt[1].
✅ Belangrijkste verplichtingen onder NIS2
Hier zijn de kernverplichtingen voor organisaties die onder de NIS2-richtlijn vallen:
________________________________________
1. Zorgplicht
Organisaties moeten:
• Technische en organisatorische maatregelen nemen om cyberrisico’s te beheersen. Denk daarbij aan het instellen van een Security Baseline en het implementeren van Microsoft Intune (Microsoft Business Premium).
• Een Information Security Management System (ISMS) opzetten.
• Regelmatig pentesten, audits en risicoanalyses uitvoeren.
• Beleid opstellen voor leveranciersbeheer en supply chain security[2].
________________________________________
2. Meldplicht
• Cyberincidenten moeten binnen 24 uur gemeld worden aan de bevoegde autoriteit.
• Dit vereist goede monitoring, detectie en responsprocessen. Dit is onderdeel van een SLA met CNE
________________________________________
3. Toezicht en handhaving
• Er komt actief toezicht door nationale toezichthouders, zoals de Rijksinspectie Digitale Infrastructuur (RDI).
• Bij niet-naleving kunnen boetes oplopen tot €10 miljoen of 2% van de wereldwijde omzet.
________________________________________
4. Bestuurlijke verantwoordelijkheid
• Bestuurders zijn persoonlijk aansprakelijk voor het naleven van de verplichtingen.
• Er geldt een opleidingsplicht en bewustwordingsprogramma’s zijn essentieel.
________________________________________
5. Registratieplicht
• Kritieke entiteiten moeten zich registreren bij het nationale CSIRT, in Nederland het Nationaal Cyber Security Centrum (NCSC).
________________________________________
6. Sectorale toepassing
De richtlijn geldt voor:
• Essentiële entiteiten: energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur, overheidsdiensten.
• Belangrijke entiteiten: postdiensten, afvalbeheer, voedselproductie, chemie, onderzoek, productie.
• Ook toeleveranciers van deze sectoren vallen onder de richtlijn.
________________________________________
Wil je weten of jouw organisatie onder NIS2 valt? Er zijn online zelfevaluaties beschikbaar via het NCSC en andere partijen.
Zal ik je helpen met een checklist of een voorbeeld van een ISMS-structuur die voldoet aan NIS2?

Boetes

Onder de NIS2-richtlijn kunnen bij niet-naleving forse boetes worden opgelegd, afhankelijk van het type organisatie en de ernst van de overtreding.

💸 Maximale boetes bij niet-naleving van NIS2

Deze boetes zijn vergelijkbaar met de sancties onder de AVG (GDPR) en zijn bedoeld om naleving af te dwingen.
📌 Factoren die de hoogte van de boete beïnvloeden:
• Ernst van de overtreding
• Aantal getroffen personen of systemen
• Mate van nalatigheid
• Of er herhaaldelijke overtredingen zijn geweest
• Samenwerking met toezichthouders
🧑‍⚖️ Bestuurlijke aansprakelijkheid
Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij grove nalatigheid of het niet nemen van passende maatregelen[2].

Wil je een risicoanalyse doen? CNE kan helpen met een voorbeeldbeleid of een compliance-checklist.

 Microsoft 365 + Support SLA