Naar hoofdinhoud
Normio IT

NIS2: wat moet je bedrijf regelen — en hoe toon je het aan?

NIS2 verplicht organisaties in aangewezen sectoren tot een aantoonbare zorgplicht en een strakke meldplicht. In Nederland is de richtlijn geïmplementeerd via de Cyberbeveiligingswet, die op 15 augustus 2026 in werking treedt.

De twee pijlers van NIS2

Zorgplicht (art. 21)

Passende en evenredige maatregelen over tien voorgeschreven gebieden — van risicobeleid en incidentbehandeling tot ketenbeveiliging en cryptografie. Het bestuur keurt de aanpak goed en blijft verantwoordelijk.

Meldplicht (art. 23)

Significante incidenten meld je getrapt: vroegtijdige waarschuwing binnen 24 uur, incidentmelding binnen 72 uur en een eindverslag binnen één maand — bij het CSIRT en de toezichthouder.

De tien zorgplichtgebieden (art. 21 lid 2)

NIS2 schrijft voor wélke gebieden je moet afdekken; hoe zwaar hangt af van je risico's. Normio zet ze om in een zelfevaluatie met per gebied de bijbehorende ISO 27001-maatregelen.

a

Risicoanalyse en beveiligingsbeleid

Een door de leiding goedgekeurd informatiebeveiligingsbeleid en een periodieke risicobeoordeling op organisatieniveau.

b

Incidentbehandeling

Een vastgelegd proces om incidenten te detecteren, beoordelen en afhandelen — gekoppeld aan de wettelijke meldplicht.

c

Bedrijfscontinuïteit

Back-upbeheer, noodvoorzieningenplannen en crisisbeheer, zodat de dienstverlening een incident overleeft.

d

Ketenbeveiliging

Beveiligingseisen aan leveranciers en dienstverleners: de keten is onderdeel van je eigen zorgplicht.

e

Veilige ontwikkeling en onderhoud

Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen, inclusief kwetsbaarhedenbeheer.

f

Effectiviteit beoordelen

Beleid en procedures om te toetsen of de maatregelen daadwerkelijk werken.

g

Cyberhygiëne en opleiding

Basismaatregelen en bewustwordingstraining voor medewerkers én bestuur.

h

Cryptografie

Beleid voor het gebruik van versleuteling waar passend.

i

Personeel, toegang en middelen

Beveiliging rond personeel, toegangsbeleid en het beheer van bedrijfsmiddelen.

j

Authenticatie en beveiligde communicatie

Multifactorauthenticatie en beveiligde spraak-, video- en tekstcommunicatie waar passend.

NIS2 in Nederland: de Cyberbeveiligingswet

15 april 2026

Aangenomen door de Tweede Kamer

7 juli 2026

Aangenomen door de Eerste Kamer

15 augustus 2026

Inwerkingtreding: verplichtingen gelden

Meer over de Nederlandse wet, de scope en het overgangsregime lees je op de pagina over de Cyberbeveiligingswet en in de kennisbank.

Zo maakt Normio IT je NIS2-aanpak aantoonbaar

  • Zelfevaluatie per zorgplichtgebied, met per gebied de dekkende ISO 27001-maatregelen
  • Meldplicht-incidentregister dat de termijnen van 24 uur, 72 uur en 1 maand bewaakt
  • Afwijkingen worden automatisch taken en risico’s in één centraal register
  • Bestuursrapportage en auditdossier voor het "aantoonbaar in control"-gesprek

Veelgestelde vragen over NIS2

Voor wie geldt NIS2?

NIS2 (richtlijn (EU) 2022/2555) geldt voor essentiële en belangrijke entiteiten in aangewezen sectoren — van energie, transport en gezondheidszorg tot digitale aanbieders en overheden. De indeling hangt af van sector en omvang. In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet; ook wie niet rechtstreeks onder de wet valt, krijgt de eisen vaak via klanten of de keten opgelegd.

Wanneer wordt NIS2 in Nederland van kracht?

De Cyberbeveiligingswet — de Nederlandse implementatie van NIS2 — is op 15 april 2026 aangenomen door de Tweede Kamer en op 7 juli 2026 door de Eerste Kamer, en treedt op 15 augustus 2026 in werking. De verplichtingen gelden vanaf dat moment; toezicht en registratie worden daarna gefaseerd ingericht.

Wat houdt de NIS2-meldplicht in?

Bij een significant incident geldt een getrapte meldplicht (art. 23): een vroegtijdige waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur en een eindverslag binnen één maand, bij het CSIRT en de toezichthouder. Je moet dus vooraf een werkend incidentproces hebben — tijdens een incident is het te laat om dat te bedenken.

Is ISO 27001-certificering genoeg voor NIS2?

ISO 27001 dekt een groot deel van de NIS2-zorgplicht, maar niet alles — NIS2 stelt bijvoorbeeld aanvullende eisen aan bestuursverantwoordelijkheid, ketenbeveiliging en de meldplicht. Normio toont per zorgplichtgebied welke ISO 27001-maatregelen het gebied afdekken, zodat je bestaand werk hergebruikt en alleen de aanvulling organiseert.

NIS2 voor bedrijven: zorgplicht, meldplicht en software | Normio