NIS2 in Nederland komt er aan in Q3 2025
NIS2, de Europese directieven, of wel cyberbeveiligingswet genoemd is een verzameling van belangrijke cybersecurity maatregelen die zullen gelden in elke Europese lidstaat om zo onze Europese gemeenschap sociaal en economisch te beschermen tegen significante onderbrekingen van essentiële diensten binnen onze economie en gemeenschap. De Nederlandse wetgever zal wellicht haar NIS2 wetteksten publiceren in Q3 2025.
We bevelen echter aan dat u nu al start met uw bedrijf te beveiligen tegen alle cyber bedreigingen.
Kappa Data, Value Added Distributeur in Nederland, is jouw trusted advisor voor deze materie en kunnen we u technologisch advies verlenen, hoe u deze directieven kan inlossen.
Voorlopig bieden wij u de informatie aan volgens de Belgische wetgeving rond NIS2 tot op het ogenblik de Nederlandse wet is gecommuniceerd.

Expertise NIS2 Directieven
Nederland zal haar NIS2 wet wellicht in Q3 2025 publiceren, eenmaal de internet consultatie door de Raad van State is goedgekeurd, daarna door de tweede kamer en daarna door de eerste kamer. We hebben reeds de ervaring met de Belgische wetgeving die reeds van kracht is sinds 18 oktober 2024
Technologische oplossingen voor NIS2
Kappa Data heeft een reeks van oplossingen dat antwoord biedt voor verschillende NIS2-wetten en guidelines, binnen elke core functie van het NIST framework dat wordt vergeleken met ISO27000 series zoals ;Identify, Protect, Detect, Response en Recover
Partner evenementen met eindklanten
Met onze Marketing-as-a-service diensten, bieden we hulp aan onze partners om hun klanten te informeren inzake deze NIS2 directieven.
Wat is NIS2?
De Europese unie heeft daarom het NIST framework herbruikt en lanceerde in België het Cyberfundamentals framework zoals beneden omschreven.

Voor wie is NIS2 bestemd?
Sector overzicht

Wat zijn Essentiële Bedrijven?
Wat zijn belangrijke bedrijven?
De EU heeft een extra classificatie ingevoerd op basis van de omvang van de entiteiten, zoals hieronder weergegeven.
De grootte van entiteiten voor NIS2
Uitzonderingen NIS2 ongeacht grootte
Wanneer u moet voldoen aan de NIS2-wet, is de grootte van de entiteit een criterium om rekening mee te houden. Alleen entiteiten van gemiddelde grootte en hoger, met cijfers zoals hierboven weergegeven, worden geacht te voldoen aan NIS2. MAAR, er zijn enkele uitzonderingen:
- Verschil tussen omzet en balanstotaal: als een organisatie met 35 werknemers 1 miljoen euro omzet heeft (klein) maar een balans van 50 miljoen euro (groot), is de selectie van het laagste bedrag belangrijk, in dit geval de omzet.
- Een onderneming met 80 werknemers (middelgroot) heeft een jaaromzet van 1 miljoen euro (klein) en een jaarbalans van 70 miljoen euro (groot). Voor de financiële bedragen kiest ze ervoor om alleen naar het laagste bedrag te kijken: haar omzet. Omdat de omzet klein is, maar het personeelsbestand middelgroot, is het een middelgrote onderneming.
- Entiteiten die deel uitmaken van een groep: de berekening van de grootte van een organisatie die deel uitmaakt van een groep (zogenaamde “partnerondernemingen” of “verbonden ondernemingen”) impliceert een consolidatie van de gegevens van de verschillende onderdelen van deze groep.
- Leverancier in de toeleveringsketen: een entiteit die diensten levert aan een essentieel of belangrijk bedrijf kan ook als belangrijk of essentieel worden beschouwd wanneer de dienst van deze entiteit als kritiek wordt beschouwd voor de diensten van de essentiële en belangrijke entiteiten. De overheid kan beslissen dat deze entiteit essentieel of belangrijk is.

Als we de verschillende mogelijke afmetingen combineren met het servicecriterium, krijgen we het volgende toepassingsgebied (met enkele uitzonderingen – zie hieronder):
Middelgrote onderneming | Grote onderneming | |
Diensten in bijlage I | Belangrijk | Essentieel |
Diensten in bijlage II | Belangrijk | Belangrijk |
* Voltijdsequivalenten (VTE) (in de Aanbeveling “jaararbeidseenheden (AJE)” genoemd) zijn het aantal personen dat gedurende het gehele referentiejaar in kwestie voltijds in de onderneming of voor rekening van de onderneming heeft gewerkt. Het werk van personen die niet het hele jaar hebben gewerkt, het werk van degenen die in deeltijd hebben gewerkt, ongeacht de duur, en het werk van seizoenarbeiders worden als delen van AJE’s geteld. De Aanbeveling en de gids specificeren verder welke personeelsleden geteld moeten worden.
Het verschil tussen essentiële en belangrijke entiteiten heeft vooral te maken met hoe streng ze worden gecontroleerd en gesanctioneerd.
Het is belangrijk op te merken dat de Aanbeveling ook bepaalt dat de berekening van de omvang van een organisatie die deel uitmaakt van een groep (zogenaamde “partnerondernemingen” of “verbonden ondernemingen”) een consolidatie van de gegevens van de verschillende onderdelen van deze groep impliceert. Meer details over dit onderwerp zijn te vinden in de Aanbeveling of in de gids.
Er zijn echter een aantal uitzonderingen op de “size-cap”. Bepaalde soorten entiteiten vallen onder het toepassingsgebied van de NIS2-wet, ongeacht hun omvang:
- Gekwalificeerde aanbieders van vertrouwensdiensten (essentieel)
- Niet-gekwalificeerde verleners van vertrouwensdiensten (belangrijk voor micro-, kleine of middelgrote ondernemingen en essentieel voor grote ondernemingen)
- DNS-serviceproviders (essentieel)
- TLD-naamregisters (essentieel)
- Domeinnaamregistratiediensten (alleen voor de registratieverplichting)
- Aanbieders van openbare elektronische communicatienetwerken (essentieel)
- Aanbieders van openbare elektronische communicatiediensten (essentieel)
- Entiteiten die zijn aangemerkt als exploitanten van kritieke infrastructuur overeenkomstig de wet van 1 juli 2011 inzake de beveiliging en bescherming van kritieke infrastructuur (essentieel)
- Overheden die van de Federale Staat afhangen (essentieel)
Los van deze regels zal het Centrum voor Cybersecurity België (CCB) ook specifieke entiteiten als “essentieel” of “belangrijk” kunnen aanmerken, bijvoorbeeld wanneer zij de enige leverancier van een dienst zijn of wanneer de verstoring van de geleverde diensten een significant effect zou kunnen hebben op de openbare veiligheid, de openbare beveiliging of de volksgezondheid.
Kritische en zeer kritische sectoren en subsectoren
Hoogkritische sectoren (Bijlage I)
- Energie
- Elektriciteit
- Stadsverwarming en -koeling
- Olie
- Gaz
- Waterstof
- Vervoer
- Lucht
- Spoor
- Water
- Weg
- Banken
- Infrastructuur financiële markt
- Gezondheidszorg
- Drinkwater
- Afvalwater
- Digitale ICT-infrastructuur
- ICT-dienstenbeheer (B2B)
- Openbaar bestuur
- Ruimte
Kritieke sectoren (bijlage II)
- Post- en koeriersdiensten
- Beheer van afval
- Productie, verwerking en distributie van chemicaliën
- Productie, verwerking en distributie van voedingsmiddelen
- Fabricage
- Vervaardiging van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek
- Vervaardiging van informaticaproducten en van elektronische en optische producten
- Vervaardiging van elektrische apparatuur
- Vervaardiging van machines, apparaten en werktuigen, n.e.g.
- Vervaardiging van auto’s, aanhangwagens en opleggers
- Vervaardiging van andere transportmiddelen
- Digitale aanbieders
- Onderzoek
Een organisatie die onderzoekt of zij binnen het toepassingsgebied van de wet NIS2 valt, moet dus het verband leggen tussen een dienst die zij levert en een dienst die in de bijlagen van de wet wordt genoemd. Het is mogelijk dat een organisatie meerdere diensten verleent en onder meerdere sectoren valt.
Voor een beter overzicht van het toepassingsgebied van de wet, nodigen wij u uit onze visuele samenvatting van het toepassingsgebied te raadplegen:


Link met Nederland
In principe zal de Nederlandse NIS2-wet alleen van toepassing op in Nederland gevestigde entiteiten die hun diensten verlenen of hun activiteiten uitvoeren binnen de EU. Twee concepten zijn hier belangrijk:
- Het begrip “vestiging” impliceert eenvoudigweg de feitelijke uitoefening van een activiteit door middel van een permanente vestiging, ongeacht de gekozen rechtsvorm, of dit nu de maatschappelijke zetel, een eenvoudig filiaal of een dochteronderneming met rechtspersoonlijkheid is.
- Het begrip “entiteit” wordt in artikel 8, 37° van de NIS2-wet gedefinieerd als een natuurlijke of rechtspersoon die als zodanig is opgericht en erkend volgens het nationale recht van zijn vestigingsplaats, en die in eigen naam rechten kan uitoefenen en aan verplichtingen kan worden onderworpen.
Er zijn echter drie uitzonderingen op de regel van vestiging in Nederland:
- De Nederlandse NIS2-wet zal van toepassing worden op aanbieders van openbare elektronische communicatienetwerken of aanbieders van openbare elektronische-communicatiediensten die hun diensten in Nederland aanbieden;
- De Nederlandse NIS2-wet zal van toepassing zijn op DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten leveren, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten, als zij hun hoofdvestiging in Nederland hebben of hun wettelijke vertegenwoordiger voor de EU in Nederland*;
- De Nederlandse NIS2-wet zal van toepassing zijn op overheidsinstanties die door Nederland zijn opgericht.
Het begrip “hoofdvestiging” verwijst naar de vestiging waar bedoelde entiteiten hun er hoofdzakelijk de beslissingen nemen rond maatregelen voor het beheer van cyberbeveiligingsrisico’s. Als dit niet kan worden vastgesteld of als dergelijke besluiten niet in de Unie worden genomen, is de hoofdvestiging de vestiging waar de entiteit hun cyberbeveiligingsactiviteiten uitvoert. Als ook deze plaats niet kan worden bepaald, is de hoofdvestiging de plaats waar de entiteit het grootste aantal werknemers in de Unie heeft.
* Als een entiteit bedoeld in punt 2) niet in de EU is gevestigd maar er haar diensten verleent, moet ze een wettelijke vertegenwoordiger aanstellen die gevestigd is in een lidstaat waar ze haar diensten aanbied. Als deze vertegenwoordiger in Nederland gevestigd is, wordt de entiteit geacht haar hoofdvestiging in Nederland te hebben.
Als een entiteit meerdere vestigingen heeft in verschillende EU-lidstaten, zal het onderworpen zijn aan de omzettingswetgeving in elk van de betrokken lidstaten. De verschillende bevoegde nationale autoriteiten zullen samenwerken op het gebied van inspecties en de melding van significante incidenten.
Niet in het toepassingsgebied? Vergeet identificatie en toeleveringsketen niet!
Het is mogelijk dat na een grondige analyse van het toepassingsgebied van de NIS2-wet bepaalde organisaties zich realiseren dat ze in feite niet onder die wet vallen. Alle niet-NIS2-organisaties moeten zich ervan bewust zijn dat de NIS2-wet hen nog steeds op twee manieren kan raken.
Ten eerste kan de nationale autoriteit voor cyberbeveiliging bepaalde organisaties, ongeacht hun omvang, in vier verschillende omstandigheden aanmerken als essentiële of belangrijke entiteiten in het kader van de NIS2-wet:
- de entiteit is de enige aanbieder, in Nederland, van minstens één dienst die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten, met name in een van de sectoren of deelsectoren van de bijlagen I en II van de wet;
- een verstoring van de door de entiteit verleende dienst kan aanzienlijke gevolgen hebben voor de openbare veiligheid, de openbare beveiliging of de volksgezondheid;
- een verstoring van de door de entiteit verleende dienst kan een aanzienlijk systeemrisico met zich brengen, met name voor sectoren waar een dergelijke verstoring een grensoverschrijdende impact kan hebben;
- de entiteit is kritiek vanwege het specifieke belang ervan op nationaal of regionaal niveau voor de specifieke sector of het specifieke type dienst, of voor andere onderling afhankelijke sectoren in Nederland.
Dit proces verloopt in overleg met de betrokken entiteit en andere relevante actoren, zoals de sectorale autoriteit (als die bestaat) en de relevante gefedereerde entiteiten. Meer informatie over deze procedure is te vinden in artikel 11 van de NIS2-wet of in onze FAQ.
Ten tweede kan een organisatie in de toeleveringsketen van een NIS2-entiteit vallen en op grond van een contractuele verplichting worden geconfronteerd met de verplichting om maatregelen voor het beheer van cyberbeveiligingsrisico’s te implementeren. NIS2-entiteiten zijn inderdaad verplicht om de beveiliging van hun toeleveringsketen te verzekeren, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners.
In deze context adviseert het Belgisch Centrum voor Cybersecurity België alle organisaties die zich in de toeleveringsketen van een NIS2-entiteit kunnen bevinden, om ten minste te voldoen aan de maatregelen die zijn uiteengezet in het CyberFundamentals (CyFun®) Framework level Basic. Een NIS2-entiteit zou theoretisch de naleving van een bepaald CyFun®-niveau kunnen opleggen aan haar directe leveranciers of dienstverleners.
Uitzonderingen NIS2 ongeacht grootte
Er is een lijst met uitzonderingen op de “size-cap”. Bepaalde soorten entiteiten vallen onder het toepassingsgebied van de NIS2-wet, ongeacht hun omvang:
- Gekwalificeerde verleners van vertrouwensdiensten (essentieel)
- Aanbieders van niet-gekwalificeerde vertrouwensdiensten (belangrijk voor micro-, kleine of middelgrote ondernemingen en essentieel voor grote ondernemingen)
- DNS-dienstverleners (essentieel)
- TLD-naamregisters (essentieel)
- Domeinnaamregistratiediensten (alleen voor de registratieverplichting)
- Aanbieders van openbare elektronische communicatienetwerken (essentieel)
- Entiteiten geïdentificeerd als operatoren van kritieke infrastructuur onder de wet van 1 juli 2011 betreffende de beveiliging en bescherming van kritieke infrastructuur (essentieel)
- Openbare bestuursinstellingen die afhankelijk zijn van de federale Staat (essentieel)
Mogelijke verplichtingen met NIS2
De NIS2 wetgeving bracht in België verplichting mee zoals meldingsplicht van incidenten, registratieplicht en tal van andere zaken. We hebben voor u een overzicht gemaakt per verschillende pagina’s wat u mag verwachten éénmaal de wetgeving wordt gecommuniceerd :
Toezicht en Sancties NIS2 directieven
Hieronder kan u de links terugvinden naar de maatregels die in België werden genomen om toezicht en sancties toe te passen naar NIS2 compliant bedrijven die verzaken in het naleven van de maatregelen
Meest Gestelde Vragen
Bekijk onze FAQ-sectie waar je de eerste vragen kunt vinden die de afgelopen maanden aan ons zijn gesteld.
Contact opnemenWelke rol spelen Computer Security Incident Response Teams (CSIRT's) onder de NIS2-richtlijn?
CSIRT’s zijn verantwoordelijk voor het monitoren, detecteren en reageren op incidenten. Ze bieden mogelijkheden voor vroegtijdige waarschuwing, risicobeoordeling en incidentrespons om exploitanten van essentiële diensten en leveranciers van digitale diensten bij te staan.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn heeft tot doel het algemene niveau van cyberbeveiliging in de EU te verhogen door maatregelen vast te stellen die moeten zorgen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de lidstaten. De richtlijn is een bijwerking en uitbreiding van de oorspronkelijke richtlijn inzake netwerk- en informatiebeveiliging.
Welke toekomstige ontwikkelingen kunnen worden verwacht met betrekking tot de NIS2-richtlijn?
Toekomstige ontwikkelingen zijn onder andere de verfijning van nationale wetten om volledig te voldoen aan de richtlijn, het opzetten van robuustere kaders voor cyberbeveiliging, voortdurende updates om nieuwe bedreigingen aan te pakken en verbeterde samenwerking op EU-niveau om te zorgen voor een uniforme en effectieve cyberbeveiligingshouding.
Welke samenwerkingsmechanismen stelt de NIS2-richtlijn vast?
De NIS2-richtlijn richt samenwerkingsgroepen op om de strategische samenwerking en informatie-uitwisseling tussen de lidstaten te vergemakkelijken. De richtlijn creëert ook een netwerk van nationale CSIRT’s om effectieve operationele samenwerking te garanderen.
Wat zijn de NIS2-richtlijnen?
De NIS2-richtlijnen (Network and Information Security) zijn een reeks verordeningen die de Europese Unie heeft ingevoerd om de cyberveiligheid van kritieke infrastructuur en essentiële diensten in alle lidstaten te verbeteren. De richtlijnen zijn bedoeld om een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU te waarborgen door organisaties te verplichten robuuste beveiligingsmaatregelen te implementeren en significante incidenten te melden.
Wat zijn de vereisten voor het melden van incidenten volgens de NIS2-richtlijn?
Entiteiten moeten incidenten met een significante impact op de levering van hun diensten zonder onnodige vertraging melden aan de relevante nationale autoriteit. De eerste melding moet worden gevolgd door een definitief rapport zodra de oorzaak en de impact volledig zijn begrepen.
Verplichtingen voor exploitanten
De NIS2-richtlijn heeft betrekking op een breed scala aan sectoren, waaronder energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwatervoorziening en -distributie, digitale infrastructuur, openbare en particuliere infrastructuur, enzovoort.
NIS2 Toepassingsgebied en dekking
Exploitanten van essentiële diensten moeten passende en proportionele technische en organisatorische maatregelen treffen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheren. Dit omvat incidentafhandeling, bedrijfscontinuïteit, monitoring, auditing en controle.
Hoe wordt naleving van de NIS2-richtlijn afgedwongen en welke sancties kunnen worden opgelegd?
Nationale autoriteiten zijn bevoegd om audits en inspecties uit te voeren. Sancties voor niet-naleving kunnen bestaan uit boetes, administratieve sancties en reputatieschade. De exacte sancties worden bepaald door elke lidstaat.
Hoe kan een SOC, organisaties helpen, om te voldoen aan de NIS2-richtlijnen?
Een SOC kan organisaties helpen te voldoen aan de NIS 2-richtlijnen door:
- Monitoring en detectie: Het bieden van continue monitoring om beveiligingsincidenten in realtime te detecteren en erop te reageren.
- Reactie op incidenten: Het implementeren van effectieve incidentresponsprocedures om de impact van beveiligingslekken te beperken.
- Rapportage: Zorgen voor tijdige en accurate rapportage van significante incidenten aan de relevante autoriteiten.
- Informatie over bedreigingen: De organisatie op de hoogte houden van nieuwe bedreigingen en kwetsbaarheden.
- Beveiligingsaudits: Regelmatige beveiligingsaudits en -beoordelingen uitvoeren om ervoor te zorgen dat wordt voldaan aan de NIS 2-vereisten.