Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI voor beveiliging
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Beveiliging van AI
      Versnel de adoptie van AI met veilige AI-tools, applicaties en agents.
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • AI Data Pipelines
      Beveiligingsdatapijplijn voor AI SIEM en data-optimalisatie
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    AI Beveiligen
    • Prompt Security
      AI-tools in de hele organisatie beveiligen
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      DFIR, paraatheid bij inbreuken & compromitteringsbeoordelingen.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    • SentinelOne for Google Cloud
      Geünificeerde, autonome beveiliging die verdedigers een voordeel biedt op wereldwijde schaal.
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for Wat is NIS2? EU-cybersecurityrichtlijn uitgelegd
Cybersecurity 101/Cyberbeveiliging/Wat is NIS2

Wat is NIS2? EU-cybersecurityrichtlijn uitgelegd

NIS2 verplicht EU-organisaties in 18 kritieke sectoren om 10 cybersecuritymaatregelen te implementeren, incidenten binnen 24 uur te melden en risico te lopen op boetes tot €10 miljoen.

CS-101_Cybersecurity.svg
Inhoud
Wat is NIS2?
NIS2 vs. NIS1: Wat is er veranderd
Wie moet voldoen aan NIS2?
NIS2-reikwijdte en gedekte sectoren
NIS2-sancties en handhaving
Verplichtingen voor incidentmelding onder NIS2
NIS2-governance en toezicht
NIS2 en gerelateerde EU-regelgeving
Belangrijkste voordelen van NIS2-adoptie
Uitdagingen bij de implementatie van NIS2
NIS2-checklist en best practices
NIS2-nalevingstijdlijn en deadlines
NIS2-richtlijnsamenvatting en belangrijkste punten

Gerelateerde Artikelen

  • Wat is een Secure Web Gateway (SWG)? Netwerkbeveiliging uitgelegd
  • Wat is OS Command Injection? Exploitatie, impact & verdediging
  • Malwarestatistieken
  • Statistieken gegevensinbreuken
Auteur: SentinelOne | Recensent: Arijeet Ghatak
Bijgewerkt: May 4, 2026

Wat is NIS2?

Wat is NIS2? NIS2 (Richtlijn (EU) 2022/2555) stelt verplichte cybersecurity-eisen vast in de hele EU, waarbij lidstaten worden verplicht hun capaciteiten te versterken en risicobeheersmaatregelen te implementeren in kritieke sectoren. De NIS2-richtlijn breidt de dekking uit van de oorspronkelijke NIS-richtlijn naar 18 kritieke sectoren, waaronder energie, transport, bankwezen, gezondheidszorg, digitale infrastructuur, productie en overheidsadministratie.

Uw bestuur vroeg zojuist of u klaar bent voor NIS2. U keek op de kalender. De omzettingsdeadline van 17 oktober 2024 is al verstreken. U bent niet de enige: 23 EU-lidstaten kregen inbreukprocedures wegens het missen van die deadline.

Recente aanvallen tonen aan waarom EU NIS2 van belang is. In mei 2021 werd de Ierse Health Service Executive getroffen door een Conti-ransomware-aanval, waardoor 80% van de poliklinische afspraken werd geannuleerd en het herstel meer dan €100 miljoen kostte. De NotPetya-aanval in 2017 verstoorde de wereldwijde scheepvaartactiviteiten van Maersk, vernietigde 45.000 pc's en 4.000 servers en veroorzaakte $300 miljoen aan schade. Het ransomware-incident bij Colonial Pipeline in 2021 verstoorde de brandstofvoorziening aan de Amerikaanse oostkust, wat resulteerde in een losgeldbetaling van $4,4 miljoen. De EU verplicht sterkere NIS2-cybersecuritygovernance voor kritieke infrastructuur als reactie op dit soort incidenten.

Het BSI in Duitsland bevestigde dat ongeveer 29.500 entiteiten onder NIS2 vallen, terwijl Frankrijk er meer dan 10.000 identificeerde. U valt binnen de reikwijdte als uw organisatie actief is in een gedekte sector en aan deze drempels voldoet: 50 of meer werknemers OF meer dan €10 miljoen jaarlijkse omzet. Kleine en micro-entiteiten met minder dan 50 werknemers EN €10 miljoen of minder jaarlijkse omzet zijn doorgaans uitgesloten, tenzij zij als kritiek zijn aangewezen onder de Critical Entities Resilience (CER)-richtlijn.

NIS2 introduceert een dubbel classificatiesysteem dat uw regelgevingslast bepaalt. Essentiële entiteiten opereren in 11 zeer kritieke sectoren, waaronder energie, transport, bankwezen, financiële marktinfrastructuren, gezondheid, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstbeheer (B2B), overheidsadministratie en ruimtevaart. Belangrijke entiteiten opereren in 7 andere kritieke sectoren, waaronder post- en koeriersdiensten, afvalbeheer, chemie, voedselproductie, productie, digitale aanbieders en onderzoeksorganisaties.

Artikel 20 maakt bestuursorganen persoonlijk verantwoordelijk voor het goedkeuren van cybersecuritymaatregelen, het toezicht houden op de implementatie en het volgen van trainingen. U kunt de verantwoordelijkheid niet naar boven delegeren of een gebrek aan technische kennis als verdediging aanvoeren. Deze verantwoordingsvereisten vormen een aanzienlijke afwijking van de oorspronkelijke richtlijn.

What Is NIS2 - Featured Image | SentinelOne

NIS2 vs. NIS1: Wat is er veranderd

De oorspronkelijke NIS-richtlijn uit 2016 dekte ongeveer 7 sectoren en liet lidstaten veel ruimte voor eigen invulling. Deze flexibiliteit leidde tot een gefragmenteerd regelgevingslandschap, waarbij identieke organisaties met verschillende eisen werden geconfronteerd afhankelijk van het land waarin zij actief waren. De NIS2-regelgeving pakt deze tekortkomingen aan door fundamentele structurele wijzigingen.

Uitbreiding van de reikwijdte is de meest zichtbare verandering. NIS2 dekt 18 sectoren in vergelijking met de beperkte dekking van NIS1, waardoor productie, voedselproductie, afvalbeheer, postdiensten en overheidsadministratie onder de verplichte eisen vallen. De richtlijn introduceert ook duidelijke drempelwaarden (50+ werknemers of €10M+ omzet) die onduidelijkheid over toepasselijkheid wegnemen.

Handhaving is volledig herzien. NIS1 kende geen geharmoniseerde sancties, wat leidde tot inconsistente gevolgen tussen lidstaten. NIS2 stelt minimale boetegrenzen vast (€10M of 2% omzet voor essentiële entiteiten) en geeft toezichthoudende autoriteiten expliciete bevoegdheden om leidinggevenden te schorsen bij niet-naleving. De richtlijn introduceert ook persoonlijke verantwoordelijkheid voor bestuursorganen, een bepaling die volledig ontbrak in NIS1.

De termijnen voor incidentmelding zijn aanzienlijk aangescherpt. NIS1 vereiste melding "zonder onnodige vertraging" zonder specifieke termijn. NIS2 verplicht een vroege waarschuwing binnen 24 uur, een gedetailleerde melding binnen 72 uur en een eindrapport binnen een maand met gedefinieerde inhoudsvereisten. Deze NIS2-richtlijnsamenvatting benadrukt de verschuiving naar strengere verantwoordelijkheid en snellere respons.

Wie moet voldoen aan NIS2?

NIS2-naleving is verplicht voor organisaties die actief zijn in gedekte sectoren en aan specifieke drempelwaarden voldoen. De richtlijn is van toepassing op middelgrote en grote organisaties, gedefinieerd als entiteiten met 50 of meer werknemers OF een jaarlijkse omzet van meer dan €10 miljoen. Organisaties die aan een van deze drempels voldoen in een gedekte sector vallen onder de NIS2-eisen.

Kleine en micro-entiteiten met minder dan 50 werknemers EN een jaarlijkse omzet van €10 miljoen of minder zijn doorgaans vrijgesteld. Bepaalde entiteiten moeten echter ongeacht hun omvang verplicht voldoen. Dit betreft aanbieders van openbare elektronische communicatienetwerken, vertrouwensdienstverleners, registers van topleveldomeinnamen, DNS-dienstverleners en entiteiten die als kritiek zijn aangewezen onder de CER-richtlijn.

Lidstaten behouden de bevoegdheid om aanvullende entiteiten als essentieel of belangrijk aan te wijzen op basis van kritikaliteitsbeoordelingen. Uw nationale bevoegde autoriteit publiceert officiële entiteitenlijsten die de definitieve reikwijdte voor uw jurisdictie bepalen. Het BSI in Duitsland, ANSSI in Frankrijk en vergelijkbare autoriteiten in andere lidstaten beheren registratieportalen waar u uw classificatiestatus kunt verifiëren.

Multinationale organisaties krijgen te maken met extra complexiteit. Als u actief bent in meerdere EU-lidstaten, moet u aan NIS2 voldoen in elke jurisdictie waar u diensten levert binnen gedekte sectoren. De richtlijn stelt samenwerkingsmechanismen vast tussen nationale autoriteiten om het toezicht op grensoverschrijdende entiteiten te coördineren.

NIS2-reikwijdte en gedekte sectoren

NIS2 verdeelt de gedekte sectoren in twee categorieën die de intensiteit van het toezicht en de hoogte van sancties bepalen. Essentiële entiteiten opereren in 11 zeer kritieke sectoren, terwijl belangrijke entiteiten actief zijn in 7 andere kritieke sectoren.

Sectoren voor essentiële entiteiten zijn onder meer:

  • Energie (elektriciteit, olie, gas, waterstof, stadsverwarming en -koeling)
  • Transport (lucht, spoor, water, weg)
  • Bankwezen
  • Financiële marktinfrastructuren
  • Gezondheid (zorgaanbieders, EU-referentielaboratoria, fabrikanten van medische hulpmiddelen, farmaceutische bedrijven)
  • Drinkwatervoorziening en distributie
  • Afvalwaterinzameling, -verwijdering en -behandeling
  • Digitale infrastructuur (internetknooppunten, DNS-aanbieders, TLD-registers, cloud computing, datacenters, CDNs, vertrouwensdiensten, openbare elektronische communicatie)
  • ICT-dienstbeheer (B2B managed service providers en managed security service providers)
  • Overheidsadministratie (centrale overheidsinstanties)
  • Ruimtevaart (exploitanten van grondinfrastructuur ter ondersteuning van ruimtegebaseerde diensten)

Sectoren voor belangrijke entiteiten zijn onder meer:

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Chemie (productie, vervaardiging, distributie)
  • Voedselproductie, -verwerking en -distributie
  • Productie (medische hulpmiddelen, computers, elektronica, machines, motorvoertuigen, transportmaterieel)
  • Digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerken)
  • Onderzoeksorganisaties

Deze sectorgerichte benadering zorgt ervoor dat de NIS2-cybersecurityeisen worden opgeschaald naar de potentiële maatschappelijke impact en biedt regelgevende duidelijkheid over de reikwijdte.

NIS2-sancties en handhaving

De NIS2-richtlijn transformeert cybersecurity van een technische functie naar een bestuursverantwoordelijkheid op directieniveau met afdwingbare gevolgen. Essentiële entiteiten riskeren administratieve boetes tot maximaal €10 miljoen of ten minste 2% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Belangrijke entiteiten riskeren maximaal €7 miljoen of ten minste 1,4% van de omzet, afhankelijk van welk bedrag hoger is.

Nationale bevoegde autoriteiten beschikken over uitgebreide handhavingsbevoegdheden die verder gaan dan financiële sancties. Volgens Artikel 29 kunnen toezichthoudende autoriteiten:

  • Waarschuwingen uitvaardigen bij niet-naleving
  • Bindende nalevingsbevelen uitvaardigen die specifieke cybersecuritymaatregelen vereisen
  • Bindende instructies geven over de implementatie van risicobeheersmaatregelen
  • Verplichten tot security audits op kosten van de entiteit
  • Termijnen vaststellen voor de uitvoering van corrigerende maatregelen

Deze handhavingsmechanismen zorgen ervoor dat organisaties NIS2-verplichtingen serieus nemen en de vereiste controles implementeren.

Verplichtingen voor incidentmelding onder NIS2

NIS2 stelt strikte incidentmeldingstermijnen vast die voor veel organisaties een aanzienlijke operationele uitdaging vormen. De richtlijn verplicht een driestaps meldingsproces voor significante incidenten die gedekte entiteiten treffen.

De eerste stap vereist een vroege waarschuwing binnen 24 uur nadat u zich bewust bent geworden van een significant incident. Deze melding moet aangeven of het incident vermoedelijk is veroorzaakt door onrechtmatige of kwaadwillige handelingen en of het een grensoverschrijdende impact kan hebben. De termijn van 24 uur gaat in zodra uw organisatie zich bewust is van het incident, niet wanneer het onderzoek is afgerond.

De tweede stap vereist een gedetailleerde melding binnen 72 uur. Dit rapport moet een eerste impactbeoordeling bevatten, indicatoren van compromittering en toegepaste of geplande responsmaatregelen. U moet deze melding bijwerken zodra er tijdens het lopende onderzoek nieuwe informatie beschikbaar komt.

De derde stap vereist een eindrapport binnen een maand na de incidentmelding. Dit uitgebreide document moet een gedetailleerde beschrijving van het incident bevatten, inclusief de ernst en impact, het type dreiging of de onderliggende oorzaak, toegepaste en lopende mitigatiemaatregelen en een eventuele beoordeling van grensoverschrijdende impact.

Een incident wordt als significant beschouwd als het ernstige operationele verstoring van diensten of financieel verlies voor uw entiteit heeft veroorzaakt of kan veroorzaken, OF als het andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. Deze tweedelige toets betekent dat klantgerichte incidenten met beperkte interne impact toch meldingsplichtig kunnen zijn op basis van externe schade.

NIS2-governance en toezicht

De NIS2-regelgeving werkt via EU-coördinatie (ENISA), nationale bevoegde autoriteiten (zoals het BSI in Duitsland, ANSSI in Frankrijk) en implementatie op entiteitsniveau. Essentiële entiteiten staan onder doorlopend toezicht volgens Artikel 32, waaronder regelmatige inspecties ter plaatse, off-site audits, verplichte security audits en penetratietesten. Belangrijke entiteiten staan onder ex post toezicht volgens Artikel 33, dat wordt geactiveerd wanneer autoriteiten bewijs van niet-naleving ontvangen.

Een incident wordt als significant beschouwd als het ernstige operationele verstoring van diensten of financieel verlies voor de entiteit heeft veroorzaakt of kan veroorzaken, OF als het andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

NIS2 en gerelateerde EU-regelgeving

Deze EU NIS2-regelgeving staat niet op zichzelf. NIS2 overlapt met verschillende andere EU-regelgevingen, en inzicht in deze relaties voorkomt nalevingslacunes en dubbele inspanningen.

  • De Digital Operational Resilience Act (DORA) is specifiek van toepassing op entiteiten in de financiële sector, waaronder banken, verzekeringsmaatschappijen en beleggingsondernemingen. DORA stelt ICT-risicobeheerseisen vast die overlappen met NIS2, maar bevat sectorspecifieke bepalingen voor derdepartijrisicobeheer en operationele weerbaarheidstesten. Financiële entiteiten die onder DORA vallen, voldoen aan de risicobeheerseisen van NIS2 via DORA-naleving volgens het lex specialis-principe, wat betekent dat de meer specifieke regelgeving voorrang heeft.
  • De Critical Entities Resilience (CER)-richtlijn richt zich op fysieke beveiliging van kritieke infrastructuur en vult de cybersecurityfocus van NIS2 aan. Organisaties die als kritieke entiteit zijn aangewezen onder CER, moeten zowel aan fysieke weerbaarheidseisen als aan NIS2-cybersecurityverplichtingen voldoen.
  • De Cyber Resilience Act (CRA) richt zich op producten met digitale elementen en vereist dat fabrikanten beveiliging implementeren gedurende de gehele levenscyclus van het product. Waar NIS2 organisatorische cybersecuritypraktijken reguleert, zorgt CRA ervoor dat de producten die organisaties aanschaffen aan minimale beveiligingsnormen voldoen.

De AVG blijft afzonderlijk van NIS2 van toepassing op de bescherming van persoonsgegevens. Eén incident kan meldingsverplichtingen onder beide regelgevingen activeren, met verschillende termijnen, ontvangers en inhoudsvereisten.

Belangrijkste voordelen van NIS2-adoptie

Ondanks de regelgevingscomplexiteit biedt NIS2 tastbare voordelen voor organisaties die aan de eisen voldoen.

  1. Geharmoniseerde eisen in 27 lidstaten. De richtlijn zorgt voor een gelijk speelveld binnen het NIS2-cybersecuritylandschap. Organisaties die in meerdere lidstaten actief zijn, profiteren van geharmoniseerde basiseisen in plaats van 27 verschillende nationale cybersecurityraamwerken.
  2. Verantwoordelijkheid op bestuursniveau stimuleert investeringen. De richtlijn stelt expliciete persoonlijke verantwoordelijkheid vast voor bestuursorganen bij cybersecurity-naleving. Wanneer uw CEO en bestuursleden direct verantwoordelijk zijn voor cybersecuritybeslissingen via gedocumenteerde training en formele goedkeuringen, verschuiven budgetgesprekken naar proactieve investeringen.
  3. Cascaderende weerbaarheid in de toeleveringsketen. Toeleveringsketen-beveiligingseisen creëren cascaderende weerbaarheid in kritieke sectoren. Wanneer u kwetsbaarheden per directe leverancier moet beoordelen, worden uw leveranciers gestimuleerd hun eigen cybersecuritypositie te verbeteren. Dit leidt tot bredere ecosysteemverbeteringen buiten individuele organisaties.
  4. Collectieve verdediging door snelle informatie-uitwisseling. De 24-uurs meldingsplicht zorgt voor snelle informatie-uitwisseling tijdens actieve dreigingen. Dit driestaps meldingsproces zorgt ervoor dat bevoegde autoriteiten en nationale CSIRTs snel inzicht krijgen in opkomende dreigingen, waardoor snellere incidentanalyse en grensoverschrijdende coördinatie mogelijk zijn.

Uitdagingen bij de implementatie van NIS2

Deze voordelen gaan gepaard met aanzienlijke implementatie-uitdagingen.

  1. Draagvlak bij het management blijft uit. Uit onderzoek van de European Cyber Security Organisation blijkt dat slechts 66% van de organisaties managementbetrokkenheid rapporteert ondanks verplichte verantwoordingsvereisten. Meer dan de helft (53%) ondervindt uitdagingen bij het verkrijgen van voldoende draagvlak, zelfs na het verstrijken van de omzettingsdeadline.
  2. Complexiteit in de toeleveringsketen veroorzaakt cascaderende risico's. Kwetsbaarheden in de toeleveringsketen vormen de meest kritieke systemische barrière voor organisaties die NIS2 implementeren. Peer-reviewed onderzoek gepubliceerd in MDPI paste de DEMATEL-methodologie toe om causale relaties te identificeren en concludeerde dat organisaties vaak geen controle hebben over risico's van derden, wat leidt tot cascaderende uitval in andere nalevingsgebieden.
  3. 24-uurs meldingsplicht vereist continue paraatheid. De 24-uurs vroege waarschuwingstermijn zorgt voor operationele uitdagingen bij organisaties zonder 24/7 SOC-operaties of realtime dreigingsidentificatie. Voldoen aan deze eis vereist vooraf ingestelde workflows en autonome responsmogelijkheden.
  4. Documentatielast belast kleine teams. Documentatieverplichtingen zorgen voor auditvoorbereidingslasten bij teams die al onder druk staan. U moet gedocumenteerd cybersecuritybeleid, risicobeoordelingsdocumentatie, bewijs van implementatie van beveiligingsmaatregelen en NIS2-checklistnaleving voor elk van de 10 verplichte maatregelen van Artikel 21 bijhouden.
  5. Beperkte middelen dwingen tot lastige keuzes. Financiële beperkingen verergeren de implementatie-uitdagingen. Organisaties moeten tegelijkertijd investeren in nieuwe beveiligingsmaatregelen, systemen voor nalevingsdocumentatie, trainingsprogramma's voor personeel, leveranciersbeoordelingsprocessen en mogelijke externe security audits.

NIS2-checklist en best practices

Het vermijden van deze valkuilen vereist een gestructureerde aanpak. Gebruik deze NIS2-checklist als leidraad voor uw implementatie:

  1. Begin met ENISA-richtlijnen. Gebruik de ENISA Technical Implementation Guidance als uw gezaghebbende technische basis. Dit 170 pagina's tellende niet-bindende document biedt praktische implementatiemaatregelen, bewijsexemplaren en mapping naar ISO 27001, NIST en IEC 62443.
  2. Zorg vroeg voor executive sponsorship. Zorg voor executive-level sponsorship voordat de technische implementatie begint. Artikel 29, lid 6 maakt bestuursleden persoonlijk verantwoordelijk voor NIS2-naleving. Documenteer managementgoedkeuringen, voltooide trainingen en toezichtactiviteiten als nalevingsbewijs.
  3. Bouw voort op bestaande raamwerken. Als u ISO 27001-gecertificeerd bent, voer dan een gap-analyse uit ten opzichte van de 10 verplichte maatregelen. De ENISA Technical Implementation Guidance biedt expliciete mapping die aangeeft waar bestaande controles voldoen aan NIS2-eisen en waar aanvullende maatregelen nodig zijn.
  4. Implementeer autonome responsmogelijkheden. Implementeer centrale zichtbaarheid en autonome responsmogelijkheden die 24-uurs incidentmelding mogelijk maken. U heeft logbeheer nodig dat voldoet aan bewaartermijnen, gedrags-AI die opkomende dreigingen detecteert, responsautomatisering die de gemiddelde oplostijd verkort en 24/7 monitoringdekking.
  5. Individualiseer leveranciersbeoordelingen. Geef prioriteit aan toeleveringsketenbeveiliging met individuele leveranciersbeoordelingen die kwetsbaarheden per directe leverancier en dienstverlener evalueren. Neem beveiligingsclausules op in alle leverancierscontracten met verplichtingen, auditrechten, meldingsplichten en procedures voor nalevingsverificatie.
  6. Centraliseer documentatie en workflows. Richt digitale documentatiesystemen in met realtime bewijsverzameling, versiebeheer en goedkeuringsketens, en gedefinieerde KPI's voor de effectiviteit van beveiligingsmaatregelen. Maak vooraf geconfigureerde incidentmeldingsworkflows die automatisch worden geactiveerd op basis van incidentclassificatiecriteria en escalatieprocedures.

Organisaties die deze gestructureerde aanpak volgen, positioneren zich niet alleen voor NIS2-naleving, maar ook voor een verbeterde beveiligingspositie in het algemeen. De investeringen die nodig zijn voor naleving leveren operationele voordelen op die verder gaan dan alleen de regelgeving.

NIS2-nalevingstijdlijn en deadlines

De NIS2-regelgeving werkt volgens een vastgestelde tijdlijn die is bepaald door de aanneming van de richtlijn en de omzettingseisen voor lidstaten. Inzicht in deze deadlines helpt organisaties om implementatieactiviteiten te prioriteren en middelen adequaat toe te wijzen.

De richtlijn is op 16 januari 2023 in werking getreden, waarmee lidstaten 21 maanden kregen om de eisen om te zetten in nationale wetgeving. De omzettingsdeadline was 17 oktober 2024. Vanaf die datum zijn alle gedekte entiteiten onderworpen aan de NIS2-eisen volgens hun respectieve nationale implementaties.

De voortgang van de omzetting verschilde echter aanzienlijk tussen lidstaten. Tegen de deadline van oktober 2024 kregen 23 EU-lidstaten te maken met inbreukprocedures wegens onvolledige omzetting. Dit leidde tot een gefragmenteerd nalevingslandschap, waarbij organisaties die grensoverschrijdend opereren met verschillende implementatiestatussen werden geconfronteerd afhankelijk van de jurisdictie.

Lidstaten moeten uiterlijk op 17 april 2025 lijsten van essentiële en belangrijke entiteiten opstellen. Deze registratiedeadline vereist dat gedekte organisaties de benodigde informatie aanleveren bij nationale bevoegde autoriteiten voor classificatiedoeleinden. Als u zich nog niet heeft geregistreerd bij uw nationale autoriteit, geef hier dan prioriteit aan om juiste classificatie en toewijzing van toezicht te waarborgen.

De Europese Commissie zal de werking van NIS2 uiterlijk op 17 oktober 2027 en vervolgens elke 36 maanden evalueren. Deze evaluaties kunnen leiden tot wijzigingen in de richtlijn die gevolgen hebben voor de nalevingsvereisten. Organisaties dienen de regelgeving te blijven volgen en flexibiliteit in hun nalevingsprogramma's te behouden om mogelijke wijzigingen op te vangen.

Voor organisaties die nog bezig zijn met het opbouwen van nalevingsprogramma's betekent het verstrijken van de omzettingsdeadline dat onmiddellijke actie vereist is. Geef prioriteit aan risicobeoordelingen, het opzetten van incident response-workflows en evaluaties van toeleveringsketenbeveiliging. Documenteer alle nalevingsactiviteiten om aantoonbare inspanningen richting toezichthouders te kunnen overleggen.

Ontketen AI-aangedreven cyberbeveiliging

Verhoog uw beveiliging met realtime detectie, reactiesnelheid en volledig overzicht van uw gehele digitale omgeving.

Vraag een demo aan

NIS2-richtlijnsamenvatting en belangrijkste punten

EU NIS2 stelt verplichte eisen vast voor 18 kritieke sectoren, introduceert verantwoordelijkheid van bestuursorganen en boetes tot €10 miljoen of 2% van de wereldwijde omzet voor essentiële entiteiten. De richtlijn vereist implementatie van 10 specifieke risicobeheersmaatregelen, een driestaps incidentmeldingsproces beginnend met een 24-uurs vroege waarschuwing, en beveiligingsbeoordelingen van de toeleveringsketen voor elke directe leverancier en dienstverlener.

Succesvolle implementatie vereist sponsorship op bestuursniveau vanaf de start van het project, gestructureerde gap-analyse met behulp van het 13-themagebiedenkader van ENISA en autonome beveiligingsmogelijkheden die aan strikte meldingsdeadlines kunnen voldoen ondanks beperkte middelen. Organisaties dienen prioriteit te geven aan toeleveringsketenbeoordelingen en incident response-workflows, aangezien dit de grootste nalevingslacunes zijn voor entiteiten die overstappen van de oorspronkelijke NIS-richtlijn.

Veelgestelde vragen

Begrijpen wat NIS2 is begint met de formele benaming: NIS2 (Richtlijn (EU) 2022/2555) is de geactualiseerde cybersecurityrichtlijn van de Europese Unie die verplichte beveiligingseisen vastlegt voor organisaties die actief zijn in 18 kritieke sectoren. De EU heeft NIS2 geïntroduceerd om tekortkomingen in de oorspronkelijke NIS-richtlijn uit 2016 aan te pakken, die leidde tot gefragmenteerde implementatie tussen lidstaten en een gebrek aan effectieve handhavingsmechanismen. 

Grote aanvallen op kritieke infrastructuur, waaronder het HSE ransomware-incident en de impact van NotPetya op scheepvaart en logistiek, toonden de noodzaak aan van sterkere, geharmoniseerde cybersecurity governance. NIS2 breidt de sectorale dekking uit, introduceert expliciete managementverantwoordelijkheid, stelt minimale boetegrenzen vast en verplicht specifieke termijnen voor incidentrapportage om de collectieve weerbaarheid binnen de EU te versterken.

EU NIS2 is op 16 januari 2023 in werking getreden, waarbij lidstaten de richtlijn uiterlijk op 17 oktober 2024 in nationale wetgeving moesten omzetten. Vanaf die omzettingsdeadline zijn alle betrokken entiteiten onderworpen aan de NIS2-verplichtingen volgens hun respectieve nationale implementaties. 

Lidstaten moeten uiterlijk op 17 april 2025 lijsten opstellen van essentiële en belangrijke entiteiten. Organisaties die actief zijn in de betrokken sectoren dienen reeds nalevingsmaatregelen te implementeren, aangezien de samenvatting van de NIS2-richtlijn bevestigt dat de handhaving nu in de hele EU van kracht is.

Begin met het verifiëren van uw classificatiestatus bij uw nationale bevoegde autoriteit om te bevestigen of NIS2 van toepassing is op uw organisatie. Gebruik de Technische Implementatierichtlijnen van ENISA als uw gezaghebbende kader en de NIS2-checklist voor het implementeren van de 10 verplichte risicobeheersmaatregelen. Voer een gap-analyse uit ten opzichte van de vereisten van Artikel 21, met focus op incidentresponsworkflows, beoordelingen van de beveiliging van de toeleveringsketen en documentatiesystemen. 

Zorg vroegtijdig voor executive sponsorship, aangezien Artikel 20 persoonlijke aansprakelijkheid voor bestuursorganen vastlegt. Implementeer autonome responsmogelijkheden die 24-uurs incidentmelding mogelijk maken en stel vooraf geconfigureerde rapportageworkflows in voordat zich een incident voordoet.

Organisaties die actief zijn in 18 aangewezen sectoren, waaronder energie, transport, bankwezen, gezondheidszorg, digitale infrastructuur en productie, moeten voldoen als zij voldoen aan de drempelwaarden van 50 of meer werknemers OF meer dan €10 miljoen jaarlijkse omzet. 

Kleine en micro-ondernemingen met minder dan 50 werknemers EN €10 miljoen of minder omzet zijn over het algemeen uitgesloten. Uw nationale bevoegde autoriteit publiceert officiële entiteitenlijsten die de definitieve reikwijdte voor uw rechtsgebied bepalen.

NIS2-boetes voor essentiële entiteiten bedragen €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Belangrijke entiteiten riskeren €7 miljoen of 1,4% van de omzet, afhankelijk van welk bedrag hoger is. De hoogste categorie van de AVG bedraagt €20 miljoen of 4% van de omzet. 

NIS2-sancties richten zich op falend beheer van cyberbeveiligingsrisico's onder Artikel 21 en schendingen van meldingsplichten onder Artikel 23, terwijl de AVG zich richt op schendingen van gegevensbescherming.

Een incident is significant als het ernstige operationele verstoring of financieel verlies voor uw entiteit heeft veroorzaakt of kan veroorzaken, OF als het andere personen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. 

U moet zowel de interne impact op uw bedrijfsvoering als de gevolgen voor klanten of derden beoordelen. Deze tweezijdige toets betekent dat klantgerichte incidenten met beperkte interne impact toch meldingsplichtig kunnen zijn op basis van externe schade.

ISO 27001 biedt een solide basis, maar voldoet niet automatisch aan alle NIS2-vereisten. De technische richtlijnen van ENISA bieden een praktische mapping tussen ISO 27001-controles en de 10 verplichte maatregelen van NIS2, waarbij wordt aangegeven waar certificeringen overeenkomen en waar hiaten bestaan. 

Voer een gestructureerde gap-analyse uit waarbij uw ISO 27001-implementatie wordt vergeleken met Artikel 21, met focus op meldingsdeadlines voor incidenten, specificiteit van toeleveringsketenbeveiliging en bepalingen over managementverantwoordelijkheid.

Het missen van meldingsdeadlines is een schending van de rapportageverplichtingen uit artikel 23, waardoor u risico loopt op administratieve boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten. Nationale bevoegde autoriteiten houden bij het bepalen van sancties rekening met de ernst van de overtreding, het opzettelijke of nalatige karakter, het niveau van samenwerking en eerdere overtredingen. 

Autoriteiten kunnen ook bindende nalevingsbevelen opleggen en beveiligingsaudits op uw kosten verplicht stellen.

Ontdek Meer Over Cyberbeveiliging

DDoS-aanvalstatistiekenCyberbeveiliging

DDoS-aanvalstatistieken

DDoS-aanvallen komen steeds vaker voor, duren korter en zijn moeilijker te negeren. In ons bericht over DDoS-aanvalstatistieken laten we zien wie er momenteel wordt aangevallen, hoe campagnes verlopen en meer.

Lees Meer
Insider Threat StatistiekenCyberbeveiliging

Insider Threat Statistieken

Krijg inzicht in trends, updates en meer over de nieuwste insider threat statistieken voor 2026. Ontdek met welke gevaren organisaties momenteel te maken hebben, wie getroffen zijn en hoe u beschermd blijft.

Lees Meer
Wat is een infostealer? Hoe malware voor het stelen van inloggegevens werktCyberbeveiliging

Wat is een infostealer? Hoe malware voor het stelen van inloggegevens werkt

Infostealers extraheren ongemerkt wachtwoorden, sessiecookies en browsergegevens van geïnfecteerde systemen. Gestolen inloggegevens voeden ransomware, accountovernames en fraude.

Lees Meer
CyberverzekeringsstatistiekenCyberbeveiliging

Cyberverzekeringsstatistieken

Cyberverzekeringsstatistieken voor 2026 tonen een snelgroeiende markt. We zien veranderende claimpatronen, strengere acceptatiecriteria en toenemende beschermingskloof tussen grote ondernemingen en kleinere bedrijven.

Lees Meer
Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ontdek hoe 's werelds meest intelligente, autonome cyberbeveiligingsplatform uw organisatie vandaag en in de toekomst kan beschermen.

Vraag een demo aan
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden

Dutch