NIS2 in Nederland komt er aan in Q3 2025

NIS2, de Europese directieven, of wel cyberbeveiligingswet genoemd is een verzameling van belangrijke cybersecurity maatregelen die zullen gelden in elke Europese lidstaat om zo onze Europese gemeenschap sociaal en economisch te beschermen tegen significante onderbrekingen van essentiële diensten binnen onze economie en gemeenschap. De Nederlandse wetgever zal wellicht haar NIS2 wetteksten publiceren in Q3 2025. 

We bevelen echter aan dat u nu al start met uw bedrijf te beveiligen tegen alle cyber bedreigingen. 

Kappa Data, Value Added Distributeur in Nederland, is jouw trusted advisor voor deze materie en kunnen we u technologisch advies verlenen, hoe u deze directieven kan inlossen. 

Voorlopig bieden wij u de informatie aan volgens de Belgische wetgeving rond NIS2 tot op het ogenblik de Nederlandse wet is gecommuniceerd. 

Download NIS2 Ebook
Op deze pagina informeert Kappa Data u over hoe deze NIS2 directieven eruit zullen zien, met links naar verschillende bronnen, zodat u ook uw klanten voldoende kan informeren.

Wat is NIS2?

NIS2 is een set van minimale maatregelen om essentiële diensten te beschermen tegen significante service onderbrekingen. NIS2 is de opvolger van NIS1 directieven, gepubliceerd in 2016 for Essentiëlel sectoren zoals Energie, Finance, Transport, Zorg en Drinkwater. Met de dreigingen in het cyberspace heeft de overheid beslist om de cybersecurity maatregelen uit te breiden en toe te passen op meerdere sectoren

De Europese unie heeft daarom het NIST framework herbruikt en lanceerde in België het Cyberfundamentals framework zoals beneden omschreven.
NIS2 Cyberfundamentals framework
Identify
Identificatie van alle assets en risk assessment op deze assets.
Protect
Bescherming tegen cyber risico's
Detect
Detecteren van cyber breaches en incidenten
Response
Beantwoorden en blokkeren van cyber incidenten met een incident response team
Recover
Verzekeren van uw business continuiteit met een recovery plan

Voor wie is NIS2 bestemd?

Sector overzicht

Hieronder vindt u een overzicht van de essentiële sectoren die al onder NIS1 vielen in het zwart en de nieuwe toegevoegde secties in het groen. Beide kleuren hebben betrekking op de secties die door de EU zijn gedefinieerd voor NIS2.
NIS2 sectoren

Wat zijn Essentiële Bedrijven?

Essentiële bedrijven worden beschouwd als organisaties die vitale diensten leveren aan de economie of onze gemeenschap en als zeer kritisch worden beschouwd. Bijvoorbeeld de energiesector: stel je voor dat we geen energie hebben, geen stroom voor licht, warm water of elektriciteit. We zouden niet meer kunnen werken en onze manier van leven zou kritiek zijn. Deze impact wordt beschouwd als een essentiële dienst.

Wat zijn belangrijke bedrijven?

Belangrijke bedrijven bieden kritieke diensten aan onze economie of maatschappij, maar zijn minder kritisch dan essentiële diensten. Bijvoorbeeld sociale media; als we geen toegang hebben tot Instagram of andere sociale media is dat vervelend, maar we overleven de storing wel.

De EU heeft een extra classificatie ingevoerd op basis van de omvang van de entiteiten, zoals hieronder weergegeven. 

De grootte van entiteiten voor NIS2

Uitzonderingen NIS2 ongeacht grootte

Wanneer u moet voldoen aan de NIS2-wet, is de grootte van de entiteit een criterium om rekening mee te houden. Alleen entiteiten van gemiddelde grootte en hoger, met cijfers zoals hierboven weergegeven, worden geacht te voldoen aan NIS2. MAAR, er zijn enkele uitzonderingen:

  • Verschil tussen omzet en balanstotaal: als een organisatie met 35 werknemers 1 miljoen euro omzet heeft (klein) maar een balans van 50 miljoen euro (groot), is de selectie van het laagste bedrag belangrijk, in dit geval de omzet.
  • Een onderneming met 80 werknemers (middelgroot) heeft een jaaromzet van 1 miljoen euro (klein) en een jaarbalans van 70 miljoen euro (groot). Voor de financiële bedragen kiest ze ervoor om alleen naar het laagste bedrag te kijken: haar omzet. Omdat de omzet klein is, maar het personeelsbestand middelgroot, is het een middelgrote onderneming.
  • Entiteiten die deel uitmaken van een groep: de berekening van de grootte van een organisatie die deel uitmaakt van een groep (zogenaamde “partnerondernemingen” of “verbonden ondernemingen”) impliceert een consolidatie van de gegevens van de verschillende onderdelen van deze groep.
  • Leverancier in de toeleveringsketen: een entiteit die diensten levert aan een essentieel of belangrijk bedrijf kan ook als belangrijk of essentieel worden beschouwd wanneer de dienst van deze entiteit als kritiek wordt beschouwd voor de diensten van de essentiële en belangrijke entiteiten. De overheid kan beslissen dat deze entiteit essentieel of belangrijk is.
Grootte NIS2 Entiteiten

Als we de verschillende mogelijke afmetingen combineren met het servicecriterium, krijgen we het volgende toepassingsgebied (met enkele uitzonderingen – zie hieronder):

Middelgrote ondernemingGrote onderneming
Diensten in bijlage IBelangrijkEssentieel
Diensten in bijlage IIBelangrijkBelangrijk

* Voltijdsequivalenten (VTE) (in de Aanbeveling “jaararbeidseenheden (AJE)” genoemd) zijn het aantal personen dat gedurende het gehele referentiejaar in kwestie voltijds in de onderneming of voor rekening van de onderneming heeft gewerkt. Het werk van personen die niet het hele jaar hebben gewerkt, het werk van degenen die in deeltijd hebben gewerkt, ongeacht de duur, en het werk van seizoenarbeiders worden als delen van AJE’s geteld. De Aanbeveling en de gids specificeren verder welke personeelsleden geteld moeten worden.

Het verschil tussen essentiële en belangrijke entiteiten heeft vooral te maken met hoe streng ze worden gecontroleerd en gesanctioneerd.

Het is belangrijk op te merken dat de Aanbeveling ook bepaalt dat de berekening van de omvang van een organisatie die deel uitmaakt van een groep (zogenaamde “partnerondernemingen” of “verbonden ondernemingen”) een consolidatie van de gegevens van de verschillende onderdelen van deze groep impliceert. Meer details over dit onderwerp zijn te vinden in de Aanbeveling of in de gids.

Er zijn echter een aantal uitzonderingen op de “size-cap”. Bepaalde soorten entiteiten vallen onder het toepassingsgebied van de NIS2-wet, ongeacht hun omvang:

  • Gekwalificeerde aanbieders van vertrouwensdiensten (essentieel)
  • Niet-gekwalificeerde verleners van vertrouwensdiensten (belangrijk voor micro-, kleine of middelgrote ondernemingen en essentieel voor grote ondernemingen)
  • DNS-serviceproviders (essentieel)
  • TLD-naamregisters (essentieel)
  • Domeinnaamregistratiediensten (alleen voor de registratieverplichting)
  • Aanbieders van openbare elektronische communicatienetwerken (essentieel)
  • Aanbieders van openbare elektronische communicatiediensten (essentieel)
  • Entiteiten die zijn aangemerkt als exploitanten van kritieke infrastructuur overeenkomstig de wet van 1 juli 2011 inzake de beveiliging en bescherming van kritieke infrastructuur (essentieel)
  • Overheden die van de Federale Staat afhangen (essentieel)

Los van deze regels zal het Centrum voor Cybersecurity België (CCB) ook specifieke entiteiten als “essentieel” of “belangrijk” kunnen aanmerken, bijvoorbeeld wanneer zij de enige leverancier van een dienst zijn of wanneer de verstoring van de geleverde diensten een significant effect zou kunnen hebben op de openbare veiligheid, de openbare beveiliging of de volksgezondheid.

Source CCB Belgium

Kritische en zeer kritische sectoren en subsectoren

Diensten zijn gegroepeerd in sectoren. Hier is de lijst van de verschillende sectoren en subsectoren:

Hoogkritische sectoren (Bijlage I)

  1. Energie
    1. Elektriciteit
    2. Stadsverwarming en -koeling
    3. Olie
    4. Gaz
    5. Waterstof
  2. Vervoer
    1. Lucht
    2. Spoor
    3. Water
    4. Weg
  3. Banken
  4. Infrastructuur financiële markt
  5. Gezondheidszorg
  6. Drinkwater
  7. Afvalwater
  8. Digitale ICT-infrastructuur
  9. ICT-dienstenbeheer (B2B)
  10. Openbaar bestuur
  11. Ruimte

Kritieke sectoren (bijlage II)

  1. Post- en koeriersdiensten
  2. Beheer van afval
  3. Productie, verwerking en distributie van chemicaliën
  4. Productie, verwerking en distributie van voedingsmiddelen
  5. Fabricage
    1. Vervaardiging van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek
    2. Vervaardiging van informaticaproducten en van elektronische en optische producten
    3. Vervaardiging van elektrische apparatuur
    4. Vervaardiging van machines, apparaten en werktuigen, n.e.g.
    5. Vervaardiging van auto’s, aanhangwagens en opleggers
      1. Vervaardiging van andere transportmiddelen
  6. Digitale aanbieders
  7. Onderzoek
De meeste diensten worden gedefinieerd aan de hand van definities in EU-wetgevingsinstrumenten. Het is van groot belang om deze definities te raadplegen om te controleren of ze overeenkomen met de werkelijke dienst die een organisatie levert.

Een organisatie die onderzoekt of zij binnen het toepassingsgebied van de wet NIS2 valt, moet dus het verband leggen tussen een dienst die zij levert en een dienst die in de bijlagen van de wet wordt genoemd. Het is mogelijk dat een organisatie meerdere diensten verleent en onder meerdere sectoren valt.

Voor een beter overzicht van het toepassingsgebied van de wet, nodigen wij u uit onze visuele samenvatting van het toepassingsgebied te raadplegen:
Source CCB BelgiumZeer kritische sectoren NIS2Kritische sectoren NIS2

Link met Nederland

In principe zal de Nederlandse NIS2-wet alleen van toepassing op in Nederland gevestigde entiteiten die hun diensten verlenen of hun activiteiten uitvoeren binnen de EU. Twee concepten zijn hier belangrijk:

  • Het begrip “vestiging” impliceert eenvoudigweg de feitelijke uitoefening van een activiteit door middel van een permanente vestiging, ongeacht de gekozen rechtsvorm, of dit nu de maatschappelijke zetel, een eenvoudig filiaal of een dochteronderneming met rechtspersoonlijkheid is.
  • Het begrip “entiteit” wordt in artikel 8, 37° van de NIS2-wet gedefinieerd als een natuurlijke of rechtspersoon die als zodanig is opgericht en erkend volgens het nationale recht van zijn vestigingsplaats, en die in eigen naam rechten kan uitoefenen en aan verplichtingen kan worden onderworpen.

Er zijn echter drie uitzonderingen op de regel van vestiging in Nederland:

  • De Nederlandse NIS2-wet zal van toepassing worden op aanbieders van openbare elektronische communicatienetwerken of aanbieders van openbare elektronische-communicatiediensten die hun diensten in Nederland aanbieden;
  • De Nederlandse NIS2-wet zal van toepassing zijn op DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten leveren, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten, als zij hun hoofdvestiging in Nederland hebben of hun wettelijke vertegenwoordiger voor de EU in Nederland*;
  • De Nederlandse NIS2-wet zal van toepassing zijn op overheidsinstanties die door Nederland zijn opgericht.

Het begrip “hoofdvestiging” verwijst naar de vestiging waar bedoelde entiteiten hun er hoofdzakelijk de beslissingen nemen rond maatregelen voor het beheer van cyberbeveiligingsrisico’s. Als dit niet kan worden vastgesteld of als dergelijke besluiten niet in de Unie worden genomen, is de hoofdvestiging de vestiging waar de entiteit hun cyberbeveiligingsactiviteiten uitvoert. Als ook deze plaats niet kan worden bepaald, is de hoofdvestiging de plaats waar de entiteit het grootste aantal werknemers in de Unie heeft.

* Als een entiteit bedoeld in punt 2) niet in de EU is gevestigd maar er haar diensten verleent, moet ze een wettelijke vertegenwoordiger aanstellen die gevestigd is in een lidstaat waar ze haar diensten aanbied. Als deze vertegenwoordiger in Nederland gevestigd is, wordt de entiteit geacht haar hoofdvestiging in Nederland te hebben.

Als een entiteit meerdere vestigingen heeft in verschillende EU-lidstaten, zal het onderworpen zijn aan de omzettingswetgeving in elk van de betrokken lidstaten. De verschillende bevoegde nationale autoriteiten zullen samenwerken op het gebied van inspecties en de melding van significante incidenten.

Niet in het toepassingsgebied? Vergeet identificatie en toeleveringsketen niet!

Het is mogelijk dat na een grondige analyse van het toepassingsgebied van de NIS2-wet bepaalde organisaties zich realiseren dat ze in feite niet onder die wet vallen. Alle niet-NIS2-organisaties moeten zich ervan bewust zijn dat de NIS2-wet hen nog steeds op twee manieren kan raken.

Ten eerste kan de nationale autoriteit voor cyberbeveiliging bepaalde organisaties, ongeacht hun omvang, in vier verschillende omstandigheden aanmerken als essentiële of belangrijke entiteiten in het kader van de NIS2-wet:

  • de entiteit is de enige aanbieder, in Nederland, van minstens één dienst die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten, met name in een van de sectoren of deelsectoren van de bijlagen I en II van de wet;
  • een verstoring van de door de entiteit verleende dienst kan aanzienlijke gevolgen hebben voor de openbare veiligheid, de openbare beveiliging of de volksgezondheid;
  • een verstoring van de door de entiteit verleende dienst kan een aanzienlijk systeemrisico met zich brengen, met name voor sectoren waar een dergelijke verstoring een grensoverschrijdende impact kan hebben;
  • de entiteit is kritiek vanwege het specifieke belang ervan op nationaal of regionaal niveau voor de specifieke sector of het specifieke type dienst, of voor andere onderling afhankelijke sectoren in Nederland.

Dit proces verloopt in overleg met de betrokken entiteit en andere relevante actoren, zoals de sectorale autoriteit (als die bestaat) en de relevante gefedereerde entiteiten. Meer informatie over deze procedure is te vinden in artikel 11 van de NIS2-wet of in onze FAQ.

Ten tweede kan een organisatie in de toeleveringsketen van een NIS2-entiteit vallen en op grond van een contractuele verplichting worden geconfronteerd met de verplichting om maatregelen voor het beheer van cyberbeveiligingsrisico’s te implementeren. NIS2-entiteiten zijn inderdaad verplicht om de beveiliging van hun toeleveringsketen te verzekeren, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners.

In deze context adviseert het Belgisch Centrum voor Cybersecurity België alle organisaties die zich in de toeleveringsketen van een NIS2-entiteit kunnen bevinden, om ten minste te voldoen aan de maatregelen die zijn uiteengezet in het CyberFundamentals (CyFun®) Framework level Basic. Een NIS2-entiteit zou theoretisch de naleving van een bepaald CyFun®-niveau kunnen opleggen aan haar directe leveranciers of dienstverleners.

Uitzonderingen NIS2 ongeacht grootte

Er is een lijst met uitzonderingen op de “size-cap”. Bepaalde soorten entiteiten vallen onder het toepassingsgebied van de NIS2-wet, ongeacht hun omvang:

  • Gekwalificeerde verleners van vertrouwensdiensten (essentieel)
  • Aanbieders van niet-gekwalificeerde vertrouwensdiensten (belangrijk voor micro-, kleine of middelgrote ondernemingen en essentieel voor grote ondernemingen)
  • DNS-dienstverleners (essentieel)
  • TLD-naamregisters (essentieel)
  • Domeinnaamregistratiediensten (alleen voor de registratieverplichting)
  • Aanbieders van openbare elektronische communicatienetwerken (essentieel)
  • Openbare bestuursinstellingen die afhankelijk zijn van de federale Staat (essentieel)
Source CCB Belgium

Mogelijke verplichtingen met NIS2

De NIS2 wetgeving bracht in België verplichting mee zoals meldingsplicht van incidenten, registratieplicht en tal van andere zaken. We hebben voor u een overzicht gemaakt per verschillende pagina’s wat u mag verwachten éénmaal de wetgeving wordt gecommuniceerd :

Source CCB Belgium

Toezicht en Sancties NIS2 directieven

Hieronder kan u de links terugvinden naar de maatregels die in België werden genomen om toezicht en sancties toe te passen naar NIS2 compliant bedrijven die verzaken in het naleven van de maatregelen

Source CCB Belgium

Meest Gestelde Vragen

Bekijk onze FAQ-sectie waar je de eerste vragen kunt vinden die de afgelopen maanden aan ons zijn gesteld.

Contact opnemen

    Welke rol spelen Computer Security Incident Response Teams (CSIRT's) onder de NIS2-richtlijn?

    CSIRT’s zijn verantwoordelijk voor het monitoren, detecteren en reageren op incidenten. Ze bieden mogelijkheden voor vroegtijdige waarschuwing, risicobeoordeling en incidentrespons om exploitanten van essentiële diensten en leveranciers van digitale diensten bij te staan.

    Wat is de NIS2-richtlijn?

    De NIS2-richtlijn heeft tot doel het algemene niveau van cyberbeveiliging in de EU te verhogen door maatregelen vast te stellen die moeten zorgen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de lidstaten. De richtlijn is een bijwerking en uitbreiding van de oorspronkelijke richtlijn inzake netwerk- en informatiebeveiliging.

    Welke toekomstige ontwikkelingen kunnen worden verwacht met betrekking tot de NIS2-richtlijn?

    Toekomstige ontwikkelingen zijn onder andere de verfijning van nationale wetten om volledig te voldoen aan de richtlijn, het opzetten van robuustere kaders voor cyberbeveiliging, voortdurende updates om nieuwe bedreigingen aan te pakken en verbeterde samenwerking op EU-niveau om te zorgen voor een uniforme en effectieve cyberbeveiligingshouding.

    Welke samenwerkingsmechanismen stelt de NIS2-richtlijn vast?

    De NIS2-richtlijn richt samenwerkingsgroepen op om de strategische samenwerking en informatie-uitwisseling tussen de lidstaten te vergemakkelijken. De richtlijn creëert ook een netwerk van nationale CSIRT’s om effectieve operationele samenwerking te garanderen.

    Wat zijn de NIS2-richtlijnen?

    De NIS2-richtlijnen (Network and Information Security) zijn een reeks verordeningen die de Europese Unie heeft ingevoerd om de cyberveiligheid van kritieke infrastructuur en essentiële diensten in alle lidstaten te verbeteren. De richtlijnen zijn bedoeld om een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU te waarborgen door organisaties te verplichten robuuste beveiligingsmaatregelen te implementeren en significante incidenten te melden.

    Wat zijn de vereisten voor het melden van incidenten volgens de NIS2-richtlijn?

    Entiteiten moeten incidenten met een significante impact op de levering van hun diensten zonder onnodige vertraging melden aan de relevante nationale autoriteit. De eerste melding moet worden gevolgd door een definitief rapport zodra de oorzaak en de impact volledig zijn begrepen.

    Verplichtingen voor exploitanten

    De NIS2-richtlijn heeft betrekking op een breed scala aan sectoren, waaronder energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwatervoorziening en -distributie, digitale infrastructuur, openbare en particuliere infrastructuur, enzovoort.

    NIS2 Toepassingsgebied en dekking

    Exploitanten van essentiële diensten moeten passende en proportionele technische en organisatorische maatregelen treffen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheren. Dit omvat incidentafhandeling, bedrijfscontinuïteit, monitoring, auditing en controle.

    Hoe wordt naleving van de NIS2-richtlijn afgedwongen en welke sancties kunnen worden opgelegd?

    Nationale autoriteiten zijn bevoegd om audits en inspecties uit te voeren. Sancties voor niet-naleving kunnen bestaan uit boetes, administratieve sancties en reputatieschade. De exacte sancties worden bepaald door elke lidstaat.

    Hoe kan een SOC, organisaties helpen, om te voldoen aan de NIS2-richtlijnen?

    Een SOC kan organisaties helpen te voldoen aan de NIS 2-richtlijnen door:

    • Monitoring en detectie: Het bieden van continue monitoring om beveiligingsincidenten in realtime te detecteren en erop te reageren.
    • Reactie op incidenten: Het implementeren van effectieve incidentresponsprocedures om de impact van beveiligingslekken te beperken.
    • Rapportage: Zorgen voor tijdige en accurate rapportage van significante incidenten aan de relevante autoriteiten.
    • Informatie over bedreigingen: De organisatie op de hoogte houden van nieuwe bedreigingen en kwetsbaarheden.
    • Beveiligingsaudits: Regelmatige beveiligingsaudits en -beoordelingen uitvoeren om ervoor te zorgen dat wordt voldaan aan de NIS 2-vereisten.