Meerkati gebruikt alleen strikt noodzakelijke opslag voor uw sessie en taalvoorkeur. Geen tracking, geen advertenties. Meer informatie

Wet- en regelgeving

Cyberbeveiligingswet (NIS2)

Wat de Europese NIS2-richtlijn betekent voor uw organisatie en wanneer u actie moet ondernemen.

Wetgevingsstatus — april 2026

Tweede Kamer — aangenomen

15 april 2026 · ruime meerderheid (voor: SP, GL-PvdA, D66, Volt, CDA, VVD, SGP, CU, JA21, BBB e.a.)

Eerste Kamer — in behandeling

Commissies DIGI en J&V leveren verslag op 19 mei 2026 · stemdatum nog niet vastgesteld

Inwerkingtreding — streefdatum 1 juli 2026

Afhankelijk van voortgang Eerste Kamer en publicatie in Staatsblad

Wat is NIS2?

NIS2 staat voor Network and Information Security Directive 2, een Europese richtlijn die de cybersecurity-eisen voor organisaties in de EU fors aanscherpt. De richtlijn vervangt de oorspronkelijke NIS-richtlijn uit 2016 en is op 16 januari 2023 in werking getreden. Volledige richtlijn op EUR-Lex →

Wanneer gaat NIS2 in Nederland van kracht?

EU-lidstaten hadden tot 17 oktober 2024 de tijd om NIS2 om te zetten in nationale wetgeving — Nederland heeft die deadline gemist (alleen België en Kroatië haalden hem). De Nederlandse vertaling heet de Cyberbeveiligingswet (Cbw).

Op 15 april 2026 heeft de Tweede Kamer met ruime meerderheid ingestemd met zowel de Cyberbeveiligingswet als de bijbehorende Wet weerbaarheid kritieke entiteiten (Wwke). De wetsvoorstellen liggen nu bij de Eerste Kamer (wetsvoorstel 36764) →. De commissies Digitalisering (DIGI) en Justitie & Veiligheid (J&V) leveren op 19 mei 2026 hun verslag. De regering streeft naar inwerkingtreding op 1 juli 2026.

De toezichthouder in Nederland is het NCSC en per sector aangewezen sectorale autoriteiten. Zij kunnen handhaven en boetes opleggen.

Voor wie geldt NIS2?

De wet geldt voor organisaties met meer dan 50 medewerkers of een jaaromzet boven €10 miljoen, actief in een aangewezen sector. Kleinere organisaties kunnen ook vallen als zij een kritieke rol vervullen. NIS2 onderscheidt twee categorieën:

Essentiële entiteiten

Grote organisaties (250+ medewerkers of omzet >€50 mln) in kritieke sectoren:

  • Energie (elektriciteit, gas, olie, warmte, waterstof)
  • Transport (luchtvaart, spoor, scheepvaart, wegvervoer)
  • Bankwezen en financiële marktinfrastructuur
  • Gezondheidszorg en farmaceutische industrie
  • Drinkwater en afvalwaterbeheer
  • Digitale infrastructuur (datacenters, cloudproviders, DNS, internetknooppunten)
  • Beheerde ICT-diensten (MSPs, MSSPs)
  • Overheid en ruimtevaart

Overheid, telecomaanbieders, DNS-aanbieders en vertrouwensdienstverleners vallen er ongeacht omvang onder.

Belangrijke entiteiten

Middelgrote organisaties (50–249 medewerkers of omzet €10–50 mln) in aanvullende sectoren:

  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Chemische industrie en voedselproductie
  • Maakindustrie (medische apparatuur, elektronica, machines, voertuigen)
  • Digitale aanbieders (zoekmachines, online marktplaatsen, sociale netwerken)
  • Onderzoeksorganisaties

Wat moet u doen? (Artikel 21)

Organisaties die onder NIS2 vallen zijn verplicht passende technische en organisatorische maatregelen te nemen. De wet schrijft tien specifieke maatregelgebieden voor:

  • Risicoanalyse en beveiligingsbeleid voor netwerk- en informatiesystemen
  • Incidentafhandeling: detectie, reactie en herstel
  • Bedrijfscontinuïteit: back-ups, noodherstel, crisismanagement
  • Beveiliging van de toeleveringsketen: eisen stellen aan leveranciers en dienstverleners
  • Beveiliging bij acquisitie, ontwikkeling en onderhoud van systemen
  • Beoordeling van de effectiviteit van beveiligingsmaatregelen
  • Cyberhygiene en opleiding van medewerkers
  • Cryptografie en encryptie: beleid en procedures
  • Personeelsbeveiliging: toegangscontrole en scheiding van taken
  • Multi-factor authenticatie en beveiligde communicatie

Registreren als organisatie is verplicht via mijn.ncsc.nl →

Meldplicht (Artikel 23)

Bij een beveiligingsincident met significante impact geldt een strikte meldtermijn:

TermijnVerplichting
24 uurEerste melding bij de bevoegde autoriteit (vroegtijdige waarschuwing)
72 uurVolledige incidentmelding met impact, oorzaak en genomen maatregelen
1 maandEindrapport met grondoorzaak, herstelmaatregelen en cross-border impact

Bestuurdersaansprakelijkheid

NIS2 introduceert persoonlijke aansprakelijkheid voor bestuurders. Zij kunnen aansprakelijk worden gesteld als de organisatie de NIS2-verplichtingen niet naleeft. Bestuurders moeten cybersecurity-trainingen volgen en aantoonbaar betrokken zijn bij het beveiligingsbeleid — cyberveiligheid is expliciet een bestuurstaak.

Sancties bij niet-naleving

CategorieMaximale boete
Essentiële entiteiten€10.000.000 of 2% van de wereldwijde jaaromzet (hoogste bedrag geldt)
Belangrijke entiteiten€7.000.000 of 1,4% van de wereldwijde jaaromzet (hoogste bedrag geldt)

Hoe helpt Meerkati?

Meerkati is ontworpen om MKB-organisaties te ondersteunen bij NIS2-compliance:

  • Compliance-overzicht per NIS2-artikel (Art. 20 t/m 23) met voortgangsbeheer per controlepunt
  • CVE-monitoring: kritieke kwetsbaarheden direct gekoppeld aan uw softwareprofiel
  • Incident Tracker: registreer en beheer beveiligingsincidenten conform de meldplicht
  • Audittrail: volledige logging van acties voor verantwoording aan toezichthouders
  • Beveiligingsnieuws van NCSC-NL, ENISA en CERT-EU op één plek

Weet u niet zeker of u onder NIS2 valt?

Meerkati helpt u de NIS2-eisen te inventariseren en bij te houden. Maak een gratis account aan en bekijk uw compliancestatus.

Gratis starten