12 november 2025

Meer bedrijven in kritieke sectoren krijgen verplichtingen voor cyberbeveiliging (NIS2)

Wat gaat er veranderen?

Meer bedrijven en organisaties in kritieke sectoren krijgen verplichtingen (zorgplicht en meldplicht) om de cybersecurity te vergroten en cyberaanvallen tegen te gaan. Deze verplichtingen staan in de Network and Information Security directive (NIS2-richtlijn).

Wat is de NIS2-richtlijn?

Deze NIS2-richtlijn moet meehelpen aan een hoger niveau van cybersecurity voor netwerk- en informatiesystemen bij bedrijven en organisaties. De NIS2-richtlijn moet ervoor zorgen dat de EU-landen zich beter beschermen tegen dreigingen die de samenleving of economie kunnen verstoren of ontwrichten. De NIS2 is de opvolger van de eerste NIS-richtlijn (de NIB). Deze richtlijn is in 2016 in Nederland opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

Voor wie?

De NIS2-richtlijn geldt voor sectoren die al onder de eerste NIS-richtlijn vallen en daar komen nu sectoren bij. Uw organisatie valt automatisch onder de NIS2-richtlijn als:

In bijlage 1 van de NIS2-richtlijn staan deze zeer kritieke sectoren
  • energie
  • transport
  • bankwezen
  • infrastructuur financiële markt
  • gezondheidszorg
  • drinkwater
  • digitale infrastructuur
  • beheerders van ict-diensten
  • afvalwater
  • overheidsdiensten
  • ruimtevaart
  • energie
  • transport
In bijlage 2 van de NIS2-richtlijn staan deze kritieke sectoren
  • digitale aanbieders
  • post- en koeriersdiensten
  • afvalstoffenbeheer
  • levensmiddelen
  • chemische stoffen
  • onderzoek
  • vervaardiging/productie
  • u heeft een middelgrote organisatie met minimaal 50 werknemers of een jaaromzet of balanstotaal van meer dan € 10 miljoen (uw organisatie is een belangrijke entiteit), of
  • u heeft een grote organisatie met meer dan 250 werknemers of een netto omzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen (uw organisatie is een essentiële entiteit).
Deze micro- en kleine bedrijven vallen automatisch onder de NIS2-richtlijn
  • aanbieders van vertrouwensdiensten
  • registers voor toplevel domeinnamen
  • verleners van domeinnaamregistratiediensten
  • aanbieders van openbare elektronische communicatienetwerken
  • aanbieders van openbare elektronische communicatiediensten

Voor micro- en kleinbedrijven die niet bij een sector horen die automatisch onder de NIS2-richtlijn valt, geldt de NIS2-richtlijn in principe niet. De minister die verantwoordelijk is voor een bepaalde sector kan er wel voor kiezen om een micro- of kleinbedrijf aan te wijzen. Dan valt deze alsnog onder de NIS2-richtlijn. Dit gebeurt na een risicobeoordeling, bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. Als dat zo is, krijgt u hierover bericht.

Wat moet u doen?

Als uw organisatie onder de NIS2-richtlijn valt, gelden deze regels:

U krijgt een zorgplicht.

U moet een risicobeoordeling uitvoeren. Op basis van de risicobeoordeling moet u maatregelen nemen zodat uw diensten zoveel mogelijk door kunnen gaan en om de gebruikte informatie te beschermen.

U krijgt een meldplicht.

U moet incidenten binnen 24 uur melden bij de toezichthouder. Het gaat om incidenten die de essentiële dienstverlening aanzienlijk (kunnen) verstoren. Is het een cyberincident? Dan moet dit ook gemeld worden bij het Computer Security Incident Response Team (CSIRT). Verschillende factoren bepalen of een incident gemeld moet worden. Bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

U komt onder toezicht te staan.

Dit toezicht houdt in dat wordt gekeken of u zich aan de verplichtingen uit de NIS2-richtlijn houdt. Zoals de zorg- en meldplicht. Op dit moment wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Wanneer?

De NIS2-richtlijn wordt omgezet in nationale wetgeving: De Cyberbeveiligingswet (Cbw). Naar verwachting gaat de Cbw in het tweede kwartaal van 2026 in. Eerst moeten de Eerste en Tweede Kamer de Cyberbeveiligingswet behandelen. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.

Meer over ondernemen

6 stappen bij het verkopen van je onderneming
Businessplan, Bedrijfsfocus

Doorstart na faillissement: Zo pak je het aan

download voor ondernemer gratis tool
Juridisch

Faillissement aanvragen: wat betekent het en hoe werkt het?

Bear's factory - marketingbureau Limburg (1)
Marketing & sales, Klanten vinden

Hoe krijg ik meer klanten? Strategieën en inzichten

Businessplan

Het belang van een ondernemingsplan

Plan jouw intakegesprek met een ervaren adviseur

Geheel kosteloos en vrijblijvend. Na het intakegesprek bepaal je of je verder wilt gaan met het coachingstraject.

Plan je intakegesprek
  • Persoonlijk advies van een ervaren ondernemer
  • Onze adviseurs zijn onafhankelijk en onpartijdig
  • Intakegesprek zonder kosten of verplichtingen