Top

MEOS

Wij helpen MKB+ bedrijven met IT: beheer | security | support | migratie | security

NIS2: WAAR STAAN WE NU EN WAT KUNNEN WE VERWACHTEN

De NIS2-richtlijn (Netwerk- en Informatiebeveiligingsrichtlijn) is een aangescherpte Europese cyberwet die organisaties verplicht hun digitale weerbaarheid flink te verhogen. De regels gelden niet alleen meer voor een selecte groep vitale partijen, maar ook voor een brede groep belangrijke entiteiten in allerlei sectoren.

Droge kost? Zeker. Belangrijk? Absoluut. Hieronder lees je hoe de implementatie in Nederland ervoor staat, waarom er vertraging is, wat er in 2026 verandert en hoe je je nu al kunt voorbereiden.

Huidige stand van zaken (einde zomer 2025)

Nederland haalt de deadline niet

De Europese deadline van 17 oktober 2024 om NIS2 om te zetten in nationale wetgeving is gemist. Op 7 mei 2025 kreeg Nederland een “reasoned opinion” van de Europese Commissie: een laatste formele waarschuwing dat ons land te laat is met de implementatie. Als Nederland niet snel doorpakt, kan dit leiden tot een zaak bij het Europees Hof van Justitie.

Voorbereidingen zijn gestart

  • Het wetsvoorstel voor de Cyberbeveiligingswet (Cbw) – de Nederlandse implementatie van NIS2 – ligt klaar. Daarbij horen ook besluiten (AMvB’s) en adviezen van o.a. de Raad van State over de precieze invulling van toezicht en reikwijdte.
  • Tegelijk wordt gewerkt aan de Wet weerbaarheid kritieke entiteiten (Wwke). Deze wet vertaalt de Europese CER-richtlijn, die zich richt op de fysieke en organisatorische weerbaarheid van vitale organisaties (denk aan energie, drinkwater, zorg).
  • Totdat de nieuwe wetten in werking treden, blijft de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni) gelden.

Wat kunnen we verwachten in 2026?

Groeiscenario voor organisaties

De scope wordt flink uitgebreid. Waar nu alleen bepaalde vitale aanbieders en digitale dienstverleners onder de Wbni vallen, zullen straks duizenden extra organisaties verplichtingen krijgen. Naast essentiële entiteiten gaat het ook om belangrijke entiteiten in zo’n 18 sectoren, variërend van transport en energie tot zorg en digitale infrastructuur.

Nieuwe verplichtingen vanaf inwerkingtreding

Organisaties krijgen onder meer te maken met:

  • Zorgplicht: verplicht uitvoeren van risicoanalyses, passende beveiligingsmaatregelen nemen, back-ups regelen, incidentrespons plannen en bestuurders trainen.
  • Meldplicht: ernstige incidenten moeten binnen 24 uur gemeld worden, met vervolgrapportages en een eindverslag.
  • Toezicht en handhaving: toezichthouders mogen audits uitvoeren en sancties opleggen, variërend van boetes tot bestuurlijke maatregelen.
  • Samenhang met CER-richtlijn: bij entiteiten die ook fysiek vitaal zijn (bijvoorbeeld energiebedrijven), wordt cyberweerbaarheid geïntegreerd met fysieke weerbaarheid.

Wat kun je nu al doen?

Bij de invoering van de AVG in 2018 zagen we hoe groot de gevolgen van Europese wetgeving kunnen zijn. Veel organisaties dachten destijds dat het ‘wel mee zou vallen’, maar kwamen in tijdnood of liepen risico’s omdat ze te laat begonnen met voorbereiden. NIS2 heeft een vergelijkbare omvang: waar de AVG draaide om persoonsgegevens, richt NIS2 zich op de hele digitale weerbaarheid van organisaties.

Wachten tot 2026 is onverstandig. Voorbereiding kost tijd en vergroot direct je cyberweerbaarheid. Praktische stappen die je nú kunt zetten:

  • Scope bepalen: valt jouw organisatie onder essentieel of belangrijk?
  • Risico’s in kaart brengen: start met risicoanalyses en werk aan incidentplannen.
  • Meldprocedures oefenen: organiseer alvast hoe je incidenten intern én extern rapporteert.
  • Gebruik standaarden: sluit aan bij ISO- en NEN-normen voor informatiebeveiliging.
  • Blijf op de hoogte: via platforms zoals de Digital Trust Center Community en publicaties van het NCSC.

Samenvatting kernpunten

Aspect Status heden Verwachting 2026
Inwerkingtreding Uitgesteld: deadline 2024 gemist Waarschijnlijk Q2 2026
Wetgeving (Cbw, Wwke) In voorbereiding, conceptfase In werking → nieuwe verplichtingen
Huidige wet (Wnbi) Nog van kracht voor relevante entiteiten Vervangen door Cbw/Wwke
Organisaties in scope Vooral Wnbi-entiteiten Uitbreiding naar veel sectoren & entiteiten
Verplichtingen Nog niet van toepassing Zorgplicht, meldplicht, toezicht
Voorbereiding Sterk aangewezen vanaf nu. Cruciaal voor compliance in 2026

Meer informatie

IT-SERVICES

IT-PARTNER

IT-CYCLUS

DÉ 5 VRAGEN

WAAROM MEOS

MEOS is een no-nonsense IT-bedrijf met vestigingen in Haarlem (HQ) | Almere | Alkmaar | ⭐⭐⭐⭐
Microsoft - Partner van MEOS
Sophos - Partner van MEOS
Certified Ethical Hacker - Leverancier van MEOS
Cyberveilig Nederland - Partner van MEOS

MEOS-does-it-better-oranje