🚨 NIS2 is nu van kracht. Bewustwording op het gebied van informatiebeveiliging is nu wettelijk verplicht in de EU.

Check compliance
Start je gratis proefperiode
Terug naar het Resource Center

NIS2 richtlijn: de complete gids (2026)

Een ISO 27001-certificering is een eerbetoon dat laat zien hoeveel belang je organisatie hecht aan het beheer van gevoelige informatie. Maar het is zeker niet het enige kader dat in 2026 aandacht vraagt.

De NIS2-richtlijn (ook wel NIS-2 of NIS 2.0 genoemd) verplicht organisaties in 18 sectoren om robuuste cybersecuritymaatregelen te implementeren, waaronder Security Awareness Training voor alle medewerkers.

Maar precies begrijpen wat NIS2 vereist, en hoe de Nederlandse Cyberbeveiligingswet (Cwb) dit in nationale wetgeving verwerkt, kan nogal overweldigend zijn.

In deze gids zetten we alles op een rijtje wat je moet weten: wat NIS2 precies inhoudt, voor wie het geldt, de volledige NIS2-checklist voor 2026 en hoe je je organisatie klaar kunt maken voor een audit.

Wat is de NIS2 richtlijn?

De NIS2-richtlijn (Richtlijn (EU) 2022/2555) is het vernieuwde kader van de Europese Unie voor netwerk- en informatiebeveiliging. Deze richtlijn vervangt de oorspronkelijke NIS-richtlijn (NIS1) uit 2016, die de eerste cyberbeveiligingswetgeving van de EU was.

NIS2 is op 16 januari 2023 in werking getreden en de EU-lidstaten moesten de verordening uiterlijk op 17 oktober 2024 in nationaal recht omzetten. De meeste lidstaten, waaronder Nederland, hebben deze deadline echter niet gehaald.

De richtlijn heeft tot doel een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele EU te bereiken door organisaties in kritieke sectoren te verplichten om:

  • Implementeer risicogebaseerde cyberbeveiligingsmaatregelen
  • Meld belangrijke incidenten binnen de gestelde termijnen aan de autoriteiten
  • Zorg ervoor dat bestuursorganen goed zijn opgeleid en verantwoording afleggen
  • Geef regelmatig awareness training aan alle medewerkers
  • Beheer de veiligheidsrisico’s in de toeleveringsketen

Naar schatting vallen er in de hele EU zo’n 160.000 organisaties onder het toepassingsgebied van NIS2. Dat is een vertienvoudiging ten opzichte van NIS1.

NIS2 versus NIS1: wat is er veranderd?

De oorspronkelijke NIS-richtlijn was een goed uitgangspunt, maar er zaten nogal wat hiaten in. NIS2 pakt deze over de hele linie aan. Hier volgt een korte samenvatting van de belangrijkste veranderingen:

Aspect NIS1 NIS2
Betrokken sectoren 7 sectoren 18 sectoren
Betrokken entiteiten ~15,000 ~160,000
Melding van incidenten Geen specifiek tijdschema 24 uur / 72 uur / 1 maand
Sancties Per lidstaat vastgesteld Tot € 10 miljoen of 2% van de omzet
Aansprakelijkheid van bestuurders Niet behandeld Persoonlijke aansprakelijkheid bij grove nalatigheid
Toeleveringsketen Niet expliciet vereist Verplicht risicobeheer
Managementtraining Niet nodig Verplicht voor het bestuur en het topmanagement

Wil je meer weten over de verschillen? Lees dan onze volledige vergelijking: Wat is het verschil tussen NIS1 en NIS2?

De NIS2-wetgeving in Europa

NIS2 is een EU-richtlijn, wat betekent dat deze niet rechtstreeks van toepassing is op organisaties. Elke lidstaat moet de richtlijn omzetten in nationale wetgeving. Dit is hoe de stand van zaken er in 2026 uitziet.

Stand van zaken bij de uitvoering in de EU

De voortgang bij de uitvoering loopt sterk uiteen. Landen als België, Kroatië en Italië behoorden tot de eersten die nationale wetgeving hebben aangenomen. Andere landen, waaronder Nederland en Duitsland, hadden daar meer tijd voor nodig.

De Europese Commissie heeft inbreukprocedures ingeleid tegen 23 lidstaten omdat ze de omzettingstermijn van oktober 2024 niet hebben gehaald. In mei 2025 hadden 19 lidstaten een formele juridische waarschuwing (met redenen omkleed advies) ontvangen. Begin 2026 hadden ongeveer 16 landen NIS2 volledig in nationaal recht omgezet.

Het EU-cyberbeveiligingspakket van januari 2026

Op 20 januari 2026 heeft de Europese Commissie een voorstel gepubliceerd om de NIS2-richtlijn aan te passen, als onderdeel van een breder pakket maatregelen op het gebied van cyberbeveiliging. De belangrijkste wijzigingen zijn:

  • Vereenvoudigde bevoegdheidsregels voor organisaties die in meerdere EU-landen actief zijn
  • Op certificering gebaseerde nalevingstrajecten, waarmee organisaties kunnen aantonen dat ze aan de regels voldoen via erkende certificeringen
  • Verbeterde rapportage over ransomware met strengere eisen aan de gedetailleerdheid van incidentgegevens
  • Uitbreiding van het toepassingsgebied naar aanbieders van Europese digitale identiteitsportefeuilles en onderzeese data-infrastructuur
  • Herindeling van zo’n 22.500 entiteiten om de administratieve lasten voor kleinere organisaties te verlichten
  • Een grotere rol voor ENISA bij de coördinatie van grensoverschrijdend toezicht

Er wordt verwacht dat er in de loop van 2026 over deze wijzigingen wordt onderhandeld, met een omzettingstermijn van 12 maanden na goedkeuring.

NIS2 in Nederland: de Cyberbeveiligingswet (Cwb)

In Nederland wordt de NIS2-richtlijn omgezet in de Cyberbeveiligingswet (Cwb). Deze wet vervangt de huidige Wbni (Wet beveiliging netwerk- en informatiesystemen).

Huidige stand van zaken (maart 2026)

  • Het wetsvoorstel is op 4 juni 2025 bij de Tweede Kamer ingediend
  • Er stond een plenaire discussie gepland voor 23 maart 2026
  • Na de Tweede Kamer moet het wetsvoorstel nog door de Eerste Kamer
  • De regering streeft ernaar dat de wet in het tweede kwartaal van 2026 van kracht wordt

Drie regelgevende onderdelen

De Nederlandse implementatie bestaat uit drie lagen:

  1. De Cyberbeveiligingswet, de belangrijkste wet ter uitvoering van NIS2
  2. Het Cyberbeveiligingsbesluit (AMvB), een Algemeen Bestuursbesluit waarin specifieke verplichtingen zijn vastgelegd
  3. Sectorspecifieke ministeriële regelgeving met op maat gemaakte eisen per sector

Belangrijkste Nederlandse verplichtingen

Organisaties die onder de Cyberbeveiligingswet vallen, moeten aan vier kernverplichtingen voldoen:

  • Zorgplicht: zorg voor passende technische en organisatorische maatregelen om cyberbeveiligingsrisico’s te beheersen
  • Registratieplicht: meld je aan bij de voor jouw sector aangewezen toezichthoudende instantie
  • Verplichte training voor bestuurders: bestuursleden en het management moeten een training op het gebied van cyberbeveiliging volgen
  • Meldplicht: meld belangrijke incidenten binnen de gestelde termijnen aan het NCSC

Toezichthoudende autoriteiten

Het NCSC (Nationaal Cyber Security Centrum) fungeert als de belangrijkste coördinerende instantie. Sectorspecifieke toezichthoudende autoriteiten worden aangewezen via ministeriële regelgeving.

Voor organisaties in de gezondheidszorg is het regelgevingslandschap bijzonder complex, omdat de NIS2-vereisten samengaan met bestaande, voor de gezondheidszorg specifieke regelgeving rond de bescherming van patiëntgegevens.

Voor wie geldt NIS2?

NIS2 is van toepassing op organisaties op basis van twee criteria: sector en omvang.

Essentiële entiteiten (zeer kritieke sectoren)

  • Energie (elektriciteit, olie, gas, waterstof, stadsverwarming)
  • Vervoer (lucht, spoor, water, weg)
  • Bank- en financiële marktinfrastructuren
  • Gezondheidszorg (ziekenhuizen, laboratoria, fabrikanten van medische hulpmiddelen, apotheken)
  • Drinkwater en afvalwater
  • Digitale infrastructuur (DNS, TLD-registers, cloudproviders, datacenters, CDN’s)
  • ICT-servicemanagement (Managed Service Providers, Managed Security Service Providers)
  • Overheid
  • Ruimte

Belangrijke entiteiten (andere cruciale sectoren)

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Productie (medische hulpmiddelen, elektronica, machines, motorvoertuigen)
  • Voedselproductie, -verwerking en -distributie
  • Productie en distributie van chemicaliën
  • Digitale aanbieders (online marktplaatsen, zoekmachines, sociale mediaplatforms)
  • Onderzoeksinstellingen

Groottedrempels

Organisaties in deze sectoren vallen onder het toepassingsgebied als ze aan de volgende omvangcriteria voldoen:

  • Middelgrote ondernemingen: 50+ werknemers of een jaaromzet van € 10 miljoen of meer
  • Grote ondernemingen: 250+ werknemers of een jaaromzet van € 50 miljoen of meer

Sommige entiteiten vallen onder het toepassingsgebied, ongeacht hun omvang, zoals DNS-providers, TLD-registers en (volgens de voorgestelde wijzigingen voor 2026) aanbieders van Europese digitale identiteitsportefeuilles.

Het verschil in toezicht

Essentiële entiteiten vallen onder proactief toezicht, wat betekent dat er regelmatig audits en inspecties plaatsvinden, in combinatie met hogere boetes. Belangrijke entiteiten vallen onder reactief toezicht: er wordt pas onderzoek gedaan na incidenten of meldingen van niet-naleving, en de boetes zijn lager.

NIS2-checklist (2026)

Gebruik deze uitgebreide checklist om te controleren of je organisatie voldoet aan alle NIS2-vereisten. Dit gaat verder dan alleen awareness training en omvat het volledige spectrum van NIS2-verplichtingen om je te helpen voor te bereiden op compliance en audits.

1. Bestuur en verantwoordingsplicht van het management

  • Het bestuur heeft de maatregelen voor cyberbeveiligingsrisicobeheer van de organisatie officieel goedgekeurd
  • De bestuursleden en het topmanagement hebben een training op het gebied van cyberbeveiliging gevolgd
  • Een aangewezen persoon of team is verantwoordelijk voor de naleving van NIS2 (bijv. CISO, compliance officer)
  • Cyberbeveiliging staat altijd op de agenda van bestuurs- en managementvergaderingen
  • Het management is zich bewust van zijn persoonlijke aansprakelijkheid bij niet-naleving
  • Er wordt geld uitgetrokken voor cyberbeveiligingsmaatregelen en training
  • De structuur voor cyberbeveiligingsbeheer is vastgelegd en bekendgemaakt

2. Risicobeheer en beveiligingsmaatregelen

Artikel 21 van de NIS2 verplicht organisaties om passende en evenredige maatregelen te nemen. Je checklist moet het volgende bevatten:

  • Er is een formele risicobeoordeling uitgevoerd en deze wordt regelmatig geëvalueerd
  • Het risicobeheerbeleid wordt vastgelegd, goedgekeurd en gecommuniceerd
  • Er zijn technische maatregelen getroffen: firewalls, inbraakdetectie, versleuteling, toegangscontroles
  • Er zijn organisatorische maatregelen getroffen: beleid, procedures, rollen en verantwoordelijkheden
  • Er zijn plannen voor bedrijfscontinuïteit en noodherstel, en die worden getest
  • De procedures voor back-ups en herstel worden gedocumenteerd en regelmatig getest
  • Waar nodig wordt netwerksegmentatie toegepast
  • Meervoudige authenticatie (MFA) wordt ingezet voor kritieke systemen en toegang op afstand
  • Er is een programma voor kwetsbaarheidsbeheer opgezet (regelmatige scans, patches)
  • Voor onze eigen software hanteren we veilige ontwikkelingsmethoden

3. Melding van incidenten en reactie daarop

  • Er is een plan voor incidentrespons opgesteld en getest
  • Er zijn criteria voor de classificatie van incidenten vastgesteld (wat een „ernstig incident“ precies inhoudt)
  • Het 24-uurs vroegtijdige waarschuwingssysteem is opgezet en het personeel weet hoe het in werking moet worden gesteld
  • De procedure voor het melden van incidenten binnen 72 uur is vastgelegd
  • Het sjabloon en het proces voor het eindrapport na 1 maand zijn klaar
  • De contactgegevens van het nationale CSIRT (bijvoorbeeld het NCSC in Nederland) zijn gemakkelijk te vinden
  • De rollen voor incidentrespons zijn verdeeld en de teamleden zijn getraind
  • Er worden evaluaties na incidenten uitgevoerd en de geleerde lessen worden vastgelegd
  • De incidentrespons wordt minstens één keer per jaar getest via simulatieoefeningen

4. Beveiliging van de toeleveringsketen

  • Er is een overzicht van cruciale leveranciers en dienstverleners
  • In contracten met leveranciers zijn vereisten op het gebied van cyberbeveiliging opgenomen
  • Leveranciers worden beoordeeld op hun cyberbeveiliging (due diligence)
  • Risico’s als gevolg van afhankelijkheden van derden worden in kaart gebracht en beperkt
  • Er is een procedure om de beveiliging van leveranciers in de loop van de tijd te controleren en te evalueren
  • In leveranciersovereenkomsten zijn bepalingen opgenomen over het melden van incidenten
  • De toegang van cruciale leveranciers tot je systemen wordt gemonitord en gecontroleerd

5. Security awareness training

  • Alle medewerkers krijgen regelmatig trainingen over veiligheidsbewustzijn
  • Het management en de bestuursleden krijgen een speciale training op het gebied van cyberbeveiliging
  • Training is een doorlopend proces, niet zomaar een eenmalige gebeurtenis (maandelijks of wekelijks aanbevolen)
  • De trainingsinhoud gaat over phishing, social engineering, wachtwoordbeveiliging, omgang met gegevens en het melden van incidenten
  • De training behandelt sectorspecifieke bedreigingen die relevant zijn voor jouw branche
  • Nieuwe medewerkers krijgen awareness training tijdens onboarding
  • Aannemers en extern personeel met toegang krijgen de nodige training
  • Er worden regelmatig phishing-simulaties gehouden om te kijken of medewerkers erop voorbereid zijn
  • De slagingspercentages van trainingen en de beoordelingsscores worden bijgehouden
  • De trainingsinhoud wordt bijgewerkt op basis van de meest recente informatie over bedreigingen
  • Bewijzen van het voltooien van trainingen worden bewaard voor nalevingscontroles

6. Registratie en kennisgeving

  • Je organisatie heeft vastgesteld of ze in aanmerking komt als essentiële of belangrijke entiteit
  • De registratie bij de aangewezen toezichthoudende autoriteit is afgerond (of staat gepland voor wanneer de wet van kracht wordt)
  • De contactgegevens voor het melden van incidenten (CSIRT/toezichthoudende instantie) zijn up-to-date
  • De meldingsprocedures zijn vastgelegd en toegewezen aan specifieke functies
  • De NIS2-toepassingsgebiedsdocumentatie van je organisatie wordt bijgehouden (welke systemen, diensten en processen vallen hieronder)

7. Beleid en documentatie inzake informatiebeveiliging

  • Het beleid inzake informatiebeveiliging is vastgelegd en goedgekeurd door het management
  • Er is een beleid voor verantwoord gebruik opgesteld en dit is aan alle medewerkers meegedeeld
  • Het toegangsbeheerbeleid bepaalt wie toegang heeft tot welke systemen en gegevens
  • De procedures voor het classificeren en verwerken van gegevens zijn vastgelegd
  • Het wachtwoordbeleid voldoet aan de huidige best practices (complexiteit, MFA, geen hergebruik)
  • Er zijn beleidsregels voor werken op afstand en BYOD van kracht
  • Er zijn fysieke beveiligingsmaatregelen vastgelegd voor gebouwen waarin kritieke systemen zijn ondergebracht
  • Cryptografische maatregelen en versleutelingsbeleidsregels zijn vastgelegd
  • Alle beleidsregels worden minstens één keer per jaar herzien en bijgewerkt

8. Monitoring, controle en voortdurende verbetering

  • Er is beveiligingsmonitoring geïmplementeerd (logboekbeheer, SIEM, waarschuwingssysteem)
  • Er worden regelmatig beveiligingsaudits of -beoordelingen uitgevoerd (intern of extern)
  • Er worden minstens één keer per jaar penetratietests uitgevoerd
  • De KPI’s voor cyberbeveiliging worden vastgesteld en aan het management gerapporteerd
  • Bevindingen uit audits en incidenten leiden tot gedocumenteerde corrigerende maatregelen
  • Het cyberbeveiligingsprogramma wordt elk jaar geëvalueerd en verbeterd
  • Bedreigingsinformatie wordt gemonitord en verwerkt in beveiligingsmaatregelen
  • Voor elke auditcyclus wordt gecontroleerd of aan de NIS2-vereisten wordt voldaan

De enige NIS2-vereiste die je deze week kunt afvinken

Security awareness training is waar de meeste plannen vastlopen. Guardey maakt er korte, gamified challenges van, met ingebouwde rapportage. Probeer het 14 dagen gratis, geen betaalgegevens nodig.

Start je gratis proefperiode

NIS2-certificering

Een veelgestelde vraag: bestaat er een officiële NIS2-certificering? Het korte antwoord is: nee, nog niet.

In tegenstelling tot ISO 27001, waarvoor een vastomlijnd certificeringsproces bestaat, is NIS2 een wettelijke verplichting die door nationale toezichthouders wordt gehandhaafd. Er is geen specifiek ‘NIS2-gecertificeerd’-keurmerk dat je kunt behalen.

Er zijn echter belangrijke ontwikkelingen.

Naleving op basis van certificering (voorgesteld voor 2026)

In het cyberbeveiligingspakket van de Europese Commissie van januari 2026 worden op certificering gebaseerde trajecten voor naleving voorgesteld. Dit betekent dat organisaties die over bepaalde erkende certificeringen beschikken, via deze certificeringen kunnen aantonen dat ze aan de NIS2-richtlijn voldoen, of in ieder geval gedeeltelijk voldoen.

ISO 27001 als basis

ISO 27001 wordt algemeen erkend als de norm die het dichtst in de buurt komt van de NIS2-eisen. Organisaties met een ISO 27001-certificering zullen merken dat aan veel NIS2-eisen al wordt voldaan. NIS2 stelt echter aanvullende eisen die verder gaan dan ISO 27001, waaronder:

  • Termijnen voor het melden van specifieke incidenten (24 uur, 72 uur, 1 maand)
  • Aansprakelijkheid van bestuurders en verplichte training voor bestuursleden
  • Beoordelingen van de beveiliging van de toeleveringsketen
  • Sectorspecifieke vereisten

NIS2-kwaliteitskeurmerken en gereedheidsbeoordelingen

Er zijn verschillende externe organisaties die NIS2-gereedheidsbeoordelingen, maturiteitsscans of kwaliteitskeurmerken aanbieden. Hoewel dit geen officiële certificeringen zijn, kunnen ze organisaties helpen hun naleving te toetsen en hun inzet aan belanghebbenden te laten zien.

NIS2 en security awareness training

Security awareness training is een van de meest expliciete vereisten binnen de NIS2 directive. Artikel 20 stelt dat bestuursorganen training moeten ondergaan en dat organisaties hun medewerkers regelmatig vergelijkbare training moeten aanbieden.

Waarom NIS2 security awareness training benadrukt

De cijfers spreken voor zich. Volgens het rapport ‘ENISA Threat Landscape 2025’:

  • Phishing is verantwoordelijk voor 60% van alle toegangspunten voor inbraken
  • Meer dan 80% van de social engineering-aanvallen maakt tegenwoordig gebruik van door AI gegenereerde inhoud
  • 53,7% van de cyberincidenten was gericht tegen organisaties die volgens NIS2 als essentiële entiteiten zijn aangemerkt
  • Alleen al de overheidssector was goed voor 38,2% van de gerichte aanvallen

De menselijke factor blijft de grootste kwetsbaarheid. Zonder getrainde medewerkers die bedreigingen kunnen herkennen en melden, kunnen zelfs de meest geavanceerde technische beveiligingsmaatregelen worden omzeild.

Wat NIS2 verwacht van je awareness training programma

  • Regelmatige training, niet één keer per jaar. Er wordt verwacht dat je je voortdurend bijschoolt.
  • Betrokkenheid van het management. Bestuursleden en het topmanagement moeten meewerken.
  • Relevantie. De training moet ingaan op huidige en opkomende bedreigingen, waaronder aanvallen op basis van kunstmatige intelligentie.
  • Bewijs. Je moet kunnen aantonen dat er training plaatsvindt en dat deze effectief is.
  • Toepassingsgebied. Alle medewerkers die toegang hebben tot systemen en gegevens, inclusief ingehuurde krachten.

Hoe Guardey je helpt om te voldoen aan de NIS2-bewustmakingsvereisten

Met Guardey gaan je medewerkers wekelijks cyberbeveiligingsuitdagingen aan die niet meer dan drie minuten in beslag nemen. Onderwerpen zijn onder andere het herkennen van phishing, wachtwoordbeveiliging, omgaan met gegevens, social engineering en nog veel meer, allemaal afgestemd op de NIS2-vereisten.

De gamified aanpak zorgt voor een hoge betrokkenheid en een hoog voltooiingspercentage. En via het rapportagedashboard van Guardey kun je aan auditors aantonen dat je aan de regels voldoet, met bewijs van:

  • Percentage voltooide trainingen per medewerker en afdeling
  • Beoordelingsscores en kennisontwikkelingen
  • Resultaten van de phishing-simulatie en verbeteringen in de loop van de tijd
  • Onderwerpen die aansluiten bij de NIS2-vereisten

Veelgemaakte fouten bij NIS2-naleving

Veel organisaties onderschatten de inspanningen die nodig zijn om aan de NIS2-voorschriften te voldoen. Dit zijn de valkuilen die we het vaakst tegenkomen.

1. Wachten tot de wet is aangenomen voordat je actie onderneemt

De NIS2 richtlijn is sinds januari 2023 van kracht. Ook al zit de Nederlandse Cyberbeveiligingswet nog in de wetgevingsprocedure, de eisen zijn duidelijk. Organisaties die wachten tot de wet officieel van kracht is, zullen zich op het laatste moment moeten haasten om aan de eisen te voldoen. Begin nu.

2. NIS2 alleen als een IT-probleem zien

NIS2 stelt expliciet dat het management verantwoordelijk is. Dit is niet iets wat je volledig aan je IT-afdeling kunt overlaten. Bestuursleden moeten worden getraind, moeten cyberbeveiligingsmaatregelen goedkeuren en kunnen persoonlijk aansprakelijk worden gesteld.

3. Het negeren van de eisen van de toeleveringsketen

Veel organisaties richten zich op hun eigen beveiliging, maar vergeten hun leveranciers. NIS2 verplicht je om de cyberbeveiligingsrisico’s in je hele toeleveringsketen te beoordelen en te beheren.

4. Alleen jaarlijkse awareness training

Eén enkele jaarlijkse trainingssessie voldoet niet aan de eis van „regelmatige“ training. Auditors verwachten dat er voortdurend aandacht aan wordt besteed: maandelijkse korte leermomenten, regelmatige phishingsimulaties en voortdurende evaluatie.

5. Je weet niet of NIS2 op jou van toepassing is

Verrassend genoeg hebben veel organisaties nog niet eens nagegaan of ze onder het toepassingsgebied van NIS2 vallen. Ga er niet zomaar vanuit dat je erbuiten valt. Bekijk de criteria voor sector en omvang goed.

6. Geen tests voor incidentrespons

Het is niet genoeg om alleen een incidentresponsplan op papier te hebben. NIS2 verwacht dat je het ook test. Voer tabletop-oefeningen uit, simuleer incidenten en zorg ervoor dat je team de deadline van 24 uur voor vroegtijdige waarschuwing kan halen.

7. Niet voldoen aan de registratieverplichting

Volgens de Cyberbeveiligingswet moeten organisaties zich registreren bij de voor hen bevoegde toezichthoudende autoriteit. Dit wordt gemakkelijk over het hoofd gezien, maar is wel verplicht.

NIS2 versus ISO 27001 versus DORA: hoe verhouden ze zich tot elkaar?

Veel organisaties moeten aan meerdere regelgevingskaders voldoen. Hier zie je hoe NIS2 zich verhoudt tot ISO 27001 en DORA (Digital Operational Resilience Act).

Vereiste NIS2 ISO 27001 DORA
Type EU-richtlijn (wettelijke verplichting) Internationale norm (vrijwillig) EU-verordening (wettelijke verplichting)
Toepassingsgebied 18 sectoren, essentiële en belangrijke organisaties Elke organisatie (naar keuze) Alleen de financiële sector
Awareness training verplicht? Ja (artikel 20) Ja (artikel 7.3, A.6.3) Ja (artikel 13)
Heb je managementtraining nodig? Ja (verplicht, op bestuursniveau) Verplicht (artikel 5.1) Ja (verplicht, op bestuursniveau)
Tijdlijn voor het melden van incidenten 24 uur / 72 uur / 1 maand Niet opgegeven (stel zelf in) 4 uur / 72 uur (ernstige ICT-incidenten)
Beveiliging van de toeleveringsketen Verplicht A.5.19-A.5.22 (leverancierscontroles) Verplicht (ICT-risico’s door derden)
Sancties Tot € 10 miljoen of 2% van de omzet Verlies van certificering Tot € 10 miljoen of 2% van de omzet
Is er een certificaat beschikbaar? Nog niet (voorgesteld voor 2026) Ja (erkende certificeringsinstanties) Nog niet
Persoonlijke aansprakelijkheid voor het management? Ja Nee Ja

Het goede nieuws is dat organisaties met een ISO 27001-certificering een flinke voorsprong hebben op NIS2-compliance. De risicomanagementaanpak, documentatievereisten en verplichtingen rondom awareness training overlappen namelijk aanzienlijk.

Veelgestelde vragen over de NIS2 richtlijn

Waar staat NIS2 voor?

NIS2 staat voor de Richtlijn inzake netwerk- en informatiebeveiliging 2. Je ziet het ook vaak geschreven als NIS-2 of NIS 2.0. Het is de tweede versie van de EU-richtlijn inzake cyberbeveiliging, die de oorspronkelijke NIS-richtlijn uit 2016 vervangt.

Wanneer treedt NIS2 in Nederland in werking?

De Nederlandse implementatie van NIS2, de Cyberbeveiligingswet, zal naar verwachting in werking treden in Q2 2026. Het wetsvoorstel is ingediend bij de Tweede Kamer op 4 juni 2025 en doorloopt momenteel het parlementaire proces.

Is Security Awareness Training verplicht onder NIS2?

Ja. Artikel 20 van de NIS2-richtlijn vereist expliciet dat het management cybersecurity training volgt en vergelijkbare training regelmatig aan werknemers aanbiedt. Dit maakt awareness training een wettelijke verplichting, geen optie.

Geldt NIS2 ook voor kleine en middelgrote ondernemingen?

Dat kan. Organisaties met 50 of meer werknemers of een jaaromzet van € 10 miljoen of meer die actief zijn in een van de 18 betrokken sectoren vallen onder de regeling. Sommige entiteiten vallen er altijd onder, ongeacht hun omvang (bijv. DNS-providers, TLD-registers).

Wat zijn de sancties bij niet-naleving van NIS2?

Essentiële entiteiten riskeren boetes tot € 10 miljoen of 2% van de wereldwijde jaaromzet. Belangrijke entiteiten riskeren boetes tot € 7 miljoen of 1,4% van de wereldwijde omzet. Bovendien kan het management persoonlijk aansprakelijk worden gesteld.

Kan ik een NIS2-certificaat halen?

Op dit moment niet. Er bestaat geen officiële NIS2-certificering. In het cyberbeveiligingspakket van de Europese Commissie voor 2026 worden echter certificeringsgebaseerde trajecten voor naleving voorgesteld. De ISO 27001-certificering voldoet aan veel NIS2-eisen en wordt door auditors gezien als een solide basis.

Waarin verschilt NIS2 van de AVG?

De AVG richt zich op de bescherming van persoonsgegevens. NIS2 richt zich breder op de beveiliging van netwerk- en informatiesystemen. Ze vullen elkaar aan: NIS2-maatregelen helpen de systemen te beschermen die persoonsgegevens verwerken, en ondersteunen zo ook de naleving van de AVG.

Wat is het verband tussen NIS2 en de Cyberbeveiligingswet?

De Cyberbeveiligingswet is de Nederlandse wet waarmee de EU-richtlijn NIS2 wordt omgezet. Deze wet zet de eisen van de richtlijn om in afdwingbare Nederlandse wetgeving en vervangt daarmee de eerdere Wbni (Wet beveiliging netwerk- en informatiesystemen).

Begin vandaag met de voorbereiding op NIS2 compliance

NIS2 is geen toekomstige zorg. De richtlijn is van kracht, de vereisten zijn duidelijk en handhaving komt eraan. Organisaties die nu starten, staan het sterkst wanneer auditors langskomen.

Met de Guardey-trainingen voor beveiligingsbewustzijn krijgen je medewerkers wekelijks korte leermodules van 3 minuten over onder andere phishing, omgaan met gegevens en het melden van incidenten. Dit alles is afgestemd op de NIS2-vereisten en wordt ondersteund door uitgebreide rapportages voor nalevingscontroles.

Voldoe aan de NIS2 trainingseis, en bewijs het

Guardey traint elke medewerker in enkele minuten per week en documenteert dit automatisch, zodat je het bewijs altijd klaar hebt. Zie het live in een demo.

Plan een demo
Dinela Lokvancic
Dinela Lokvancic Marketing Specialist Dinela houdt Guardey's online aanwezigheid up-to-date. Ze creëert content die complexe cybersecurity-onderwerpen toegankelijk maakt en helpt organisaties begrijpen waarom security awareness training belangrijk is voor hun teams.
KLAAR OM TE BEGINNEN?

Sluit je aan bij meer dan 500 bedrijven die hun teams al beschermen met Guardey

Start je gratis proefperiode van 14 dagen
14 dagen gratis · Geen creditcard nodig · Volledige toegang · Binnen 5 minuten klaar
Of plan een persoonlijke demo