Wat betekent de NIS2 voor u en uw bedrijfsprocessen?

 In de steeds veranderende digitale wereld waarin bedrijven opereren, wordt het beveiligen van digitale infrastructuur steeds belangrijker. De recente introductie van de NIS2-richtlijn is een belangrijke stap in deze richting. Maar wat houdt NIS2 precies in, en wat betekent het voor uw bedrijfsprocessen? 

Wat is de NIS2 en waar komt het vandaan?

NIS2 staat voor de "Netwerk- en Informatiebeveiliging Richtlijn 2" en is de opvolger van de oorspronkelijke NIS-richtlijn die in 2016 werd geïntroduceerd. De Europese Unie heeft deze richtlijn aangescherpt in reactie op de toenemende cyberdreigingen en de noodzaak om kritieke infrastructuren beter te beschermen tegen digitale aanvallen. NIS2 stelt strengere eisen aan bedrijven die actief zijn in sectoren die van vitaal belang zijn voor de samenleving, zoals energie, transport, financiën en gezondheidszorg.

Het doel van NIS2 is het verbeteren van de weerbaarheid tegen cyberaanvallen en het versterken van de beveiliging van essentiële diensten binnen de EU. Dit gebeurt door bedrijven te verplichten om zowel technische als organisatorische maatregelen te treffen om risico's op netwerk- en informatiesystemen te beheersen.

In Nederland wordt NIS2 omgezet via de Cyberbeveiligingswet (Cbw). De situatie is inmiddels concreet: de Tweede Kamer heeft de Cyberbeveiligingswet op 15 april 2026 aangenomen. De Eerste Kamer behandelt het wetsvoorstel nog, maar inwerkingtreding per 1 juli 2026 wordt breed verwacht.

Voor welke bedrijven of instellingen is de NIS2 bedoeld?

De Cyberbeveiligingswet is van toepassing op een breed scala aan sectoren - in totaal 18, aanzienlijk meer dan onder de oude NIS1-wet. De richtlijn is bedoeld voor organisaties die als "essentieel" of "belangrijk" worden aangemerkt.

Essentiële sectoren omvatten energie, vervoer, bankwezen, infrastructuur van de financiële markten, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheid en ruimtevaart. Belangrijke sectoren omvatten post- en koeriersdiensten, afvalmanagement, chemische productie en distributie, levensmiddelen, maakindustrie, digitale dienstverleners en onderzoek.

Meer organisaties dan voorheen worden aangemerkt als "essentieel" of "belangrijk". Ook middelgrote bedrijven met meer dan 50 medewerkers of een jaaromzet boven €10 miljoen kunnen eronder vallen. Weet u nog niet of uw organisatie onder de wet valt? Gebruik dan de NIS2 Zelfevaluatietool van de Rijksoverheid.

Wanneer gaat de NIS2 in?

NIS2 is in december 2022 door de Europese Raad en het Europees Parlement aangenomen. De lidstaten hadden vervolgens tot oktober 2024 de tijd om de richtlijn om te zetten in nationale wetgeving, een deadline die Nederland, net als de meeste andere EU-landen, niet haalde.

De Tweede Kamer heeft op 15 april 2026 ingestemd met de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten (Wwke)*. De wetsvoorstellen liggen nu bij de Eerste Kamer, die op 19 mei 2026 haar eerste vragen en opmerkingen heeft gesteld. Inwerkingtreding per 1 juli 2026 is de officiële planning. Of die datum precies wordt gehaald, hangt af van het tempo van de Eerste Kamer, maar breed wordt verwacht dat de wet er voor die datum doorheen komt.

Voor organisaties die nog geen voorbereidingen hebben getroffen, is de tijd nu echt kort. Bij inwerkingtreding moeten zij kunnen aantonen dat zij maatregelen hebben genomen op het gebied van risicobeheer, incidentmelding en beveiliging - ook fysiek.

* De CER-richtlijn richt zich op de bescherming van organisaties tegen fysieke dreigingen, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen.

Impact van de NIS2 op bedrijfsprocessen

De invoering van de Cyberbeveiligingswet zal een aanzienlijke impact hebben op de manier waarop bedrijven hun processen organiseren. Allereerst vereist de wet dat bedrijven hun beveiligingsprocessen standaardiseren en formaliseren. Dit betekent dat er strengere protocollen moeten worden opgezet voor het beheren van netwerken, data en fysieke toegang tot kritieke infrastructuur.

Daarnaast zullen bedrijven hun processen moeten aanpassen om regelmatig beveiligingsaudits en zelfevaluaties uit te voeren. Deze evaluaties zijn essentieel om aan te tonen dat de organisatie voldoet aan de voorschriften en om zwakke punten in de beveiliging tijdig te kunnen aanpakken. Voor veel organisaties betekent dit dat er nieuwe rollen of teams moeten worden opgericht, zoals een cybersecurity-comité of specifieke medewerkers die verantwoordelijk zijn voor compliance.

Tot slot kan de noodzaak om te investeren in beveiligingstechnologieën, zoals high-security toegangsproducten en digitale beveiligingssystemen, ook van invloed zijn op de planning en het budget van uw bedrijfsprocessen. Bedrijven zullen deze investeringen niet alleen moeten zien als een compliance-verplichting, maar ook als een strategische kans om hun algehele weerbaarheid te verbeteren en het vertrouwen van klanten en partners te vergroten. Organisaties die direct onder de wet vallen moeten bij inwerkingtreding aantoonbaar klaar zijn, niet pas daarna beginnen.

Wat is de NIS2 zelf-evaluatie?

De Rijksinspectie Digitale Infrastructuur (RDI) heeft een zelfevaluatietool geïntroduceerd waarmee organisaties kunnen bepalen of zij onder de Cyberbeveiligingswet vallen. Door het invullen van deze evaluatie kan men op basis van verschillende criteria, zoals sector, sub-sector, bedrijfsgrootte en het kritieke belang van de organisatie, vaststellen of een organisatie als "essentieel" of "belangrijk" wordt beschouwd. Dit helpt organisaties om tijdig te beoordelen of zij aan de nieuwe vereisten moeten voldoen.

» Doe de NIS2 Zelfevaluatie NL

Welke rol kunnen toegangsproducten hebben voor het voldoen aan de NIS2?

High-security toegangsproducten, zoals beveiligingsdraaideuren en -sluizen, helpen organisaties de toegang tot gevoelige systemen en ruimtes te controleren - een kernvereiste van de wet. Deze oplossingen versterken niet alleen de fysieke beveiliging, maar dragen ook bij aan het risicobeheer en de incidentpreventie die essentieel zijn voor compliance met de Cyberbeveiligingswet.