Wat is NIS2?

NIS2 is de bijgewerkte cyberbeveiligingswet van de EU — en die verandert wie verantwoordelijk is voor cybersecurity, wat ze moeten doen en wat er gebeurt als ze dat niet doen. Als uw organisatie actief is in een kritieke of belangrijke sector, is compliance niet langer optioneel. Dit is wat u moet weten.

Voor Wie Geldt NIS2?

NIS2 is van toepassing op middelgrote en grote organisaties (50+ medewerkers of €10M+ omzet) in twee categorieën:

⚠️ Essentiële Entiteiten

Onderworpen aan de strengste verplichtingen en proactief toezicht. Omvat:

  • Energie (elektriciteit, gas, olie, waterstof)
  • Transport (lucht, spoor, weg, water)
  • Bankwezen & financiële marktinfrastructuur
  • Gezondheidszorg & farmaceutica
  • Drinkwater & afvalwater
  • Digitale infrastructuur (cloud, DNS, datacentra)
  • Centrale & regionale overheid
  • Ruimtevaart

📋 Belangrijke Entiteiten

Onderworpen aan vergelijkbare verplichtingen maar reactief toezicht. Omvat:

  • Post- & koeriersdiensten
  • Afvalbeheer
  • Chemische industrie
  • Voedselproductie & distributie
  • Productie (medische hulpmiddelen, elektronica, machines, voertuigen)
  • Digitale aanbieders (online marktplaatsen, zoekmachines, sociale platforms)
  • Onderzoeksorganisaties
Kleinere organisaties kunnen ook binnen de scope vallen. Omvangsdrempels gelden niet als de organisatie als kritiek voor de samenleving of economie wordt beschouwd, de enige aanbieder van een essentiële dienst is, of kritieke infrastructuur beheert. Als u het niet zeker weet, ga er dan van uit dat u binnen de scope valt totdat anders is vastgesteld.

Wat NIS2 Vereist — Artikel 21

Artikel 21 bevat tien verplichte cyberbeveiligingsrisicobeheersmaatregelen. Dit zijn geen vrijwillige richtlijnen — het zijn wettelijke verplichtingen.

🛡 Risicobeheer

Regelmatige risicobeoordelingen van netwerk- en informatiesystemen. Gedocumenteerd beleid voor het identificeren, beoordelen en beheren van cyberbeveiligingsrisico's.

🚨 Incidentafhandeling

Processen voor het detecteren, reageren op en melden van significante incidenten. Eerste melding binnen 24 uur, volledig rapport binnen 72 uur aan nationale autoriteiten.

💾 Bedrijfscontinuïteit

Back-upbeheer, disaster recovery en crisisbeheerprocedures — inclusief geteste herstelmogelijkheden voor ransomware en andere operationele verstoringen.

🔗 Supply Chain Beveiliging

Beoordeling en beheer van beveiligingsrisico's in relaties met directe leveranciers en dienstverleners. Third-party risicobeheer is expliciet vereist.

🔐 Toegangscontroles

Beleid voor toegangsbeheer, multi-factor authenticatie, geprivilegieerd toegangsbeheer en zero-trust-principes voor netwerk- en informatiesystemen.

🎓 Bewustwording & Training

Security awareness-programma's voor al het personeel. Medewerkers moeten worden getraind om cyberbeveiligingsdreigingen te herkennen en erop te reageren — inclusief phishing en social engineering.

NIS2 Boetes

🚫 Essentiële Entiteiten

Boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet — wat het hoogste is. Plus: tijdelijke bestuurlijke verboden, openbare bekendmaking van overtredingen en verplichte compliance-audits.

⚠️ Belangrijke Entiteiten

Boetes tot €7 miljoen of 1,4% van de wereldwijde jaaromzet — wat het hoogste is. Reactief toezicht met dezelfde handhavingsbevoegdheden beschikbaar voor autoriteiten.

Hoe Magic Stone helpt bij NIS2-compliance

NIS2-compliance vereist zowel regelgevende expertise als operationele beveiligingscontroles. Magic Stone levert de technische kant — ransomwarebescherming, e-mailbeveiliging, endpointbescherming, back-up, netwerkbeveiliging, supply chain risicobeheer en AI governance — allemaal gekozen om direct te voldoen aan de vereisten van Artikel 21.

Voor de compliance-beoordeling, gap-analyse en het governance-kader werken wij samen met GRSee — NIS2 compliance specialisten.

NIS2 Assessment — ontdek waar u staat →

Uw NIS2-roadmap — van waar u nu staat naar waar u moet zijn →

Veelgestelde Vragen

Als u actief bent in een van de genoemde sectoren en 50+ medewerkers of €10M+ omzet heeft, valt u waarschijnlijk binnen de scope. Sommige kleinere organisaties vallen ook binnen de scope als ze als kritiek worden beschouwd. De veiligste aanpak is ervan uitgaan dat u binnen de scope valt en dit verifiëren — de kosten van een scoping-assessment zijn veel lager dan de kosten van niet-naleving ontdekt tijdens handhaving.
NIS2 werd aangenomen in december 2022 met een omzettingsdeadline van oktober 2024. In Nederland trad het in werking in juli 2025 via de Cyberbeveiligingswet. Handhaving is actief — de compliance-klok loopt.
Beide categorieën hebben dezelfde technische en governance-verplichtingen onder Artikel 21. Het verschil zit in het toezicht: essentiële entiteiten zijn onderworpen aan proactief (ex ante) toezicht — autoriteiten kunnen ze op elk moment auditeren. Belangrijke entiteiten krijgen reactief (ex post) toezicht — autoriteiten onderzoeken na een incident of klacht. De compliance-vereisten zijn in de praktijk identiek.
Nee. NIS2 en AVG werken parallel. De AVG regelt de bescherming van persoonsgegevens. NIS2 regelt de beveiliging van netwerk- en informatiesystemen. De meeste organisaties die onder NIS2 vallen, vallen ook onder de AVG. Het goede nieuws: de beveiligingscontroles die NIS2 vereist, overlappen aanzienlijk met de AVG-vereiste voor passende technische maatregelen — voldoen aan de één bevordert in het algemeen compliance met de ander.
DORA (Digital Operational Resilience Act) is specifiek van toepassing op financiële entiteiten en ICT-dienstverleners voor de financiële sector. Voor organisaties die onder beide vallen, wordt DORA beschouwd als de lex specialis — het heeft voorrang op NIS2 voor financiële sectorvereisten. De controls overlappen grotendeels, dus voldoen aan DORA voldoet in het algemeen aan de equivalente NIS2-vereisten.
NIS2 vereist een drietraps meldingsproces voor significante incidenten: een eerste waarschuwing binnen 24 uur, een volledige incidentmelding binnen 72 uur en een eindrapport binnen één maand. Een "significant incident" is een incident dat ernstige operationele verstoring, financieel verlies of reputatieschade veroorzaakt of kan veroorzaken. Het niet melden binnen de vereiste tijdlijnen is zelf een compliance-overtreding die aan sancties onderhevig is.

Klaar om NIS2 Compliant te Worden?

Boek een gratis assessment met Magic Stone. Wij vertellen u of u binnen de scope valt, wat uw verplichtingen zijn en hoe een compliance-stappenplan eruitziet voor uw organisatie.

Boek een Gratis NIS2 Assessment

Op zoek naar verkoopondersteuning of heeft u een algemene vraag?

Heeft u een verkoopvraag of een algemene vraag? Stuur ons een bericht en wij reageren zo snel mogelijk.
Schakel JavaScript in je browser in om dit formulier in te vullen.
Selectievakjes

"Door dit formulier in te dienen, gaat u akkoord met ons Privacybeleid en geeft u toestemming aan Magic Stone Cyber Security om uw gegevens op te slaan en te verwerken om op uw aanvraag te reageren."

Dit zal sluiten in 0 seconden

Scroll naar boven