Compliance 16 min leestijd 4 april 2026 IT Compliance Jobs

NIS2 & de Cyberbeveiligingswet: Complete Compliance Gids voor 2026

Q: Wat is het verschil tussen een essentiele en belangrijke entiteit?

Essentiele entiteiten zijn grote organisaties in de meest kritieke sectoren en staan onder proactief toezicht (controles vooraf). Belangrijke entiteiten staan onder reactief toezicht (controle pas na een incident of signaal). Voor essentiele entiteiten gelden hogere boetemaxima: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, tegenover 7 miljoen euro of 1,4% voor belangrijke entiteiten.

Geen enkel compliance-onderwerp domineert de Nederlandse bestuurskamers in 2026 zo sterk als NIS2 en de Nederlandse implementatie ervan: de Cyberbeveiligingswet. Voor het eerst worden duizenden organisaties wettelijk verplicht hun cybersecurity aantoonbaar op orde te brengen — met een meldplicht, persoonlijke bestuurdersaansprakelijkheid en boetes die kunnen oplopen tot miljoenen euro's.

Deze pillar-gids legt uit wat NIS2 en de Cyberbeveiligingswet precies inhouden, wie eronder valt, welke verplichtingen gelden en hoe je stap voor stap naar compliance werkt. Of je nu bestuurder, compliance officer of CISO bent: na het lezen weet je precies waar je staat en wat je te doen staat.

Waarom NIS2 het grootste compliance-onderwerp van 2026 is

Cyberaanvallen zijn de afgelopen jaren explosief gestegen in aantal, omvang en impact. Ransomware legt ziekenhuizen plat, supply chain-aanvallen treffen honderden organisaties tegelijk en de digitale infrastructuur van Europa is een geliefd doelwit van zowel criminelen als statelijke actoren. De Europese Unie heeft daarom besloten dat vrijblijvende cybersecurity niet langer volstaat.

NIS2 maakt cyberweerbaarheid voor het eerst een wettelijke verplichting met tanden. Wat eerder een interne keuze was, wordt nu afdwingbaar via toezicht, hoge boetes en persoonlijke aansprakelijkheid van bestuurders. Naar schatting vallen in Nederland tienduizenden organisaties onder de nieuwe regels — vele malen meer dan onder de voorganger NIS1. Voor de meeste van die organisaties is 2026 het jaar waarin de wet daadwerkelijk gaat bijten.

Het gevolg: de vraag naar security- en compliance-professionals stijgt hard, governance-structuren worden herzien en het onderwerp verschuift van de IT-afdeling naar de bestuurstafel. Wie dit jaar niet handelt, loopt een reëel risico op sancties en reputatieschade.

Wat is NIS2?

NIS2 staat voor de tweede versie van de Network and Information Security Directive — een Europese richtlijn (EU 2022/2555) die in januari 2023 in werking trad. NIS2 vervangt en verbreedt de oorspronkelijke NIS1-richtlijn uit 2016. Het doel is een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Europese Unie.

Een richtlijn werkt niet rechtstreeks: elke lidstaat moet NIS2 omzetten in nationale wetgeving. In Nederland gebeurt dat via de Cyberbeveiligingswet. De richtlijn legt de minimumeisen vast; lidstaten mogen strenger zijn.

Het verschil met NIS1

NIS2 is op vrijwel elk vlak ingrijpender dan zijn voorganger. De belangrijkste verschillen:

Aspect	NIS1 (2016)	NIS2 (2023)
Reikwijdte	Beperkt aantal sectoren	18 sectoren, veel meer organisaties
Classificatie	Operators of essential services	Essentiële én belangrijke entiteiten
Zorgplicht	Globaal omschreven	10 concrete maatregelen (artikel 21)
Meldplicht	Per lidstaat verschillend	Geharmoniseerd: 24u / 72u / 1 maand
Bestuur	Geen specifieke rol	Goedkeuringsplicht & aansprakelijkheid
Boetes	Beperkt & versnipperd	Tot €10M of 2% wereldwijde omzet

Kort gezegd: NIS1 was een kaderrichtlijn met veel ruimte voor interpretatie. NIS2 is een concreet, afdwingbaar regime met duidelijke verplichtingen en zware sancties.

De Cyberbeveiligingswet (Cbw): de Nederlandse implementatie

De Cyberbeveiligingswet (Cbw) is de Nederlandse wet die NIS2 omzet in nationaal recht. De wet vervangt de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni). De Cbw bevat de zorgplicht, de meldplicht, het toezicht en de sanctiebepalingen die voor Nederlandse organisaties gaan gelden.

De oorspronkelijke Europese deadline voor implementatie (17 oktober 2024) is door Nederland — net als door veel andere lidstaten — niet gehaald. De verwachte inwerkingtreding van de Cyberbeveiligingswet ligt in het tweede kwartaal van 2026. Het wetsvoorstel doorloopt op dit moment de parlementaire behandeling.

Belangrijk om te begrijpen: het uitstel van de wet is geen reden om af te wachten. De Europese verplichtingen gelden in principe al en organisaties die nu beginnen, hebben straks een aanzienlijke voorsprong. De praktijk leert bovendien dat een gap-analyse, het implementeren van maatregelen en het inrichten van governance maanden in beslag nemen — tijd die je niet hebt als de wet eenmaal van kracht is.

Wie valt onder NIS2?

NIS2 onderscheidt twee categorieën organisaties: essentiële entiteiten en belangrijke entiteiten. Beide moeten aan dezelfde zorgplicht en meldplicht voldoen, maar het verschil zit in het toezicht en de hoogte van de boetes.

Essentiële entiteiten: grote organisaties in de meest kritieke sectoren. Zij staan onder proactief toezicht — de toezichthouder mag vooraf en periodiek controleren, ook zonder aanleiding.
Belangrijke entiteiten: middelgrote organisaties en organisaties in de overige sectoren. Zij staan onder reactief toezicht — de toezichthouder grijpt pas in na een incident, klacht of signaal.

Sectoren onder NIS2

NIS2 wijst achttien sectoren aan, verdeeld over "sectoren met een hoge kriticiteit" en "andere kritieke sectoren". De onderstaande tabel geeft een overzicht.

Sector	Voorbeelden	Doorgaans
Energie	Elektriciteit, gas, olie, waterstof, warmte	Essentieel
Transport	Lucht-, spoor-, water- en wegvervoer	Essentieel
Bankwezen	Kredietinstellingen	Essentieel
Financiële marktinfrastructuur	Handelsplatforms, centrale tegenpartijen	Essentieel
Gezondheidszorg	Ziekenhuizen, labs, farmaceutische productie	Essentieel
Drinkwater & afvalwater	Drinkwaterbedrijven, rioolwaterzuivering	Essentieel
Digitale infrastructuur	DNS, datacenters, cloud, IXP's, CDN's	Essentieel
ICT-servicebeheer (B2B)	Managed service providers, MSSP's	Essentieel
Overheid	Rijks- en regionale overheidsdiensten	Essentieel
Ruimtevaart	Grondinfrastructuur	Essentieel
Post- & koeriersdiensten	Postbezorgers, koeriers	Belangrijk
Afvalbeheer	Afvalinzameling en -verwerking	Belangrijk
Chemie	Productie en distributie van chemische stoffen	Belangrijk
Levensmiddelen	Productie, verwerking, distributie	Belangrijk
Vervaardiging	Medische apparaten, elektronica, voertuigen, machines	Belangrijk
Digitale aanbieders	Online marktplaatsen, zoekmachines, sociale netwerken	Belangrijk
Onderzoek	Onderzoeksinstellingen	Belangrijk

De size-cap regel

Of een organisatie binnen een aangewezen sector daadwerkelijk onder NIS2 valt, wordt bepaald door de size-cap regel. In de regel geldt: een organisatie valt onder de wet als zij een middelgrote of grote onderneming is, dat wil zeggen:

50 of meer medewerkers, én/of
een jaaromzet van meer dan €10 miljoen én een balanstotaal van meer dan €10 miljoen.

Op deze regel bestaan belangrijke uitzonderingen. Bepaalde aanbieders vallen ongeacht hun omvang onder NIS2 — bijvoorbeeld aanbieders van openbare elektronische communicatienetwerken, DNS-aanbieders, registers voor topleveldomeinnamen, vertrouwensdiensten en overheidsorganen. Een klein bedrijf kan dus wel degelijk onder de wet vallen als het een kritieke schakel in de digitale infrastructuur vormt.

De 10 zorgplicht-maatregelen (artikel 21 NIS2)

Het hart van NIS2 is de zorgplicht: de verplichting om passende en evenredige technische, operationele en organisatorische maatregelen te nemen om risico's te beheersen. Artikel 21 van de richtlijn benoemt tien minimummaatregelen die elke entiteit moet implementeren:

Risicoanalyse en beveiligingsbeleid. Beleid voor risicobeoordeling en informatiebeveiliging als fundament onder alle andere maatregelen.
Incidentafhandeling. Processen om beveiligingsincidenten te detecteren, te beoordelen, te beheersen en te melden.
Bedrijfscontinuïteit. Back-upbeheer, noodherstel (disaster recovery) en crisismanagement.
Beveiliging van de toeleveringsketen. Beveiligingsafspraken met directe leveranciers en dienstverleners — supply chain security wordt expliciet geadresseerd.
Beveiliging bij verwerving, ontwikkeling en onderhoud. Veilige inkoop en ontwikkeling van netwerk- en informatiesystemen, inclusief kwetsbaarhedenbeheer.
Effectiviteitsmeting. Beleid en procedures om de doeltreffendheid van de risicobeheersmaatregelen te beoordelen.
Cyberhygiëne en training. Basismaatregelen voor cyberhygiëne en structurele bewustwordingstraining voor medewerkers.
Cryptografie en encryptie. Beleid voor het gebruik van cryptografie en, waar passend, versleuteling.
Toegangsbeveiliging en personeelsbeleid. Toegangscontrole, beheer van bedrijfsmiddelen (asset management) en veilige personeelsprocessen.
Multifactorauthenticatie en beveiligde communicatie. MFA, continue authenticatie en beveiligde spraak-, video- en tekstcommunicatie en noodcommunicatie.

De maatregelen moeten evenredig zijn aan de risico's, de omvang van de organisatie en de waarschijnlijke impact van incidenten. Veel organisaties gebruiken een erkend raamwerk als ISO 27001 of de NIST Cybersecurity Framework om deze maatregelen gestructureerd te implementeren.

De meldplicht: 24 uur, 72 uur en één maand

Naast de zorgplicht kent NIS2 een strikte meldplicht voor significante incidenten. Een incident is significant als het ernstige operationele verstoring of financiële schade veroorzaakt, of andere organisaties of personen aanzienlijk kan treffen. De meldplicht is gefaseerd:

Fase	Termijn	Wat moet je melden
Vroegtijdige waarschuwing (early warning)	Binnen 24 uur	Eerste signaal: vermoeden van kwaadwillig handelen, mogelijke grensoverschrijdende impact
Incidentmelding	Binnen 72 uur	Eerste beoordeling: ernst, impact en (indien bekend) indicatoren van compromittering
Tussentijds rapport	Op verzoek	Statusupdate wanneer de toezichthouder daarom vraagt
Eindrapport	Binnen 1 maand	Gedetailleerde beschrijving: oorzaak, getroffen maatregelen, grensoverschrijdende impact

Meldingen gaan naar de bevoegde toezichthouder en het nationale CSIRT (Computer Security Incident Response Team). Een goed ingericht incident response proces is essentieel: 24 uur is kort, en zonder vooraf belegde rollen en draaiboeken haal je die termijn niet.

Bestuurdersaansprakelijkheid

Een van de meest ingrijpende vernieuwingen van NIS2 is de directe betrokkenheid van het bestuur. Onder artikel 20 van NIS2 — en het corresponderende artikel in de Cyberbeveiligingswet — krijgt het bestuur expliciete, persoonlijke verantwoordelijkheden:

Goedkeuringsplicht. Het bestuur moet de cybersecuritymaatregelen goedkeuren en toezien op de uitvoering ervan. Cybersecurity is geen IT-aangelegenheid meer, maar een bestuursverantwoordelijkheid.
Opleidingsplicht. Bestuurders zijn verplicht regelmatig training te volgen om voldoende kennis en vaardigheden te verwerven om cyberrisico's te herkennen en te beoordelen. Deze plicht is wettelijk verankerd.
Persoonlijke aansprakelijkheid. Bij ernstige nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Toezichthouders kunnen bovendien een bestuurder tijdelijk verbieden een leidinggevende functie uit te oefenen.

Deze verschuiving betekent dat cybersecurity een vast agendapunt in de bestuurskamer wordt. Voor een diepgaande analyse van de juridische positie verwijzen we naar ons artikel over de wettelijke en juridische positie van de CISO.

Sancties: boetes tot €10 miljoen

NIS2 koppelt aan de verplichtingen een stevig boeteregime, vergelijkbaar met de AVG. De maximale boetes verschillen per categorie:

Categorie	Maximale boete	Of percentage
Essentiële entiteiten	Tot €10 miljoen	of 2% van de wereldwijde jaaromzet — het hoogste bedrag geldt
Belangrijke entiteiten	Tot €7 miljoen	of 1,4% van de wereldwijde jaaromzet — het hoogste bedrag geldt

Naast geldboetes beschikt de toezichthouder over een arsenaal aan handhavingsmiddelen: bindende aanwijzingen, waarschuwingen, het opleggen van een verbeterplan, openbaarmaking van overtredingen, en in het uiterste geval het tijdelijk schorsen van een certificering of het ontzeggen van bestuurlijke functies. De reputatieschade van openbaarmaking weegt voor veel organisaties zwaarder dan de boete zelf.

Toezichthouder: de RDI

Het toezicht op de Cyberbeveiligingswet wordt in Nederland grotendeels belegd bij de Rijksinspectie Digitale Infrastructuur (RDI), voorheen Agentschap Telecom. De RDI wordt de centrale toezichthouder voor veel sectoren, terwijl voor specifieke sectoren sectorale toezichthouders (zoals DNB voor de financiële sector) een rol behouden.

De RDI krijgt vergaande bevoegdheden: het uitvoeren van audits en inspecties, het opvragen van informatie en bewijs van compliance, het uitvoeren van beveiligingsscans en het opleggen van sancties. Voor essentiële entiteiten kan dit toezicht proactief plaatsvinden; voor belangrijke entiteiten in beginsel reactief, naar aanleiding van een incident of signaal. Organisaties moeten zich bovendien registreren bij de toezichthouder — een van de eerste concrete verplichtingen zodra de wet in werking treedt.

Stappenplan naar NIS2-compliance

NIS2-compliance is geen project van een week. Onderstaand achtstappenplan helpt je gestructureerd van nulmeting naar aantoonbare compliance.

Bepaal of en hoe je onder NIS2 valt. Stel vast in welke sector je actief bent, toets de size-cap regel en bepaal of je een essentiële of belangrijke entiteit bent. Documenteer deze classificatie — ze bepaalt je verplichtingen en het toezichtregime.
Voer een gap-analyse uit. Vergelijk je huidige beveiligingsmaatregelen met de tien zorgplichtmaatregelen van artikel 21. Maak inzichtelijk waar de gaten zitten en hoe groot ze zijn.
Voer een risicobeoordeling uit. Breng je belangrijkste assets, dreigingen en kwetsbaarheden in kaart. De maatregelen die je neemt moeten evenredig zijn aan de werkelijke risico's.
Implementeer de zorgplichtmaatregelen. Vertaal de gap-analyse naar een concreet plan van aanpak met prioriteiten, eigenaren en deadlines. Gebruik een raamwerk als ISO 27001 of NIST CSF als kapstok.
Richt governance in. Beleg cybersecurity formeel bij het bestuur, organiseer de verplichte bestuurstraining en zorg dat besluitvorming en goedkeuring aantoonbaar zijn vastgelegd.
Stel een incident response plan op. Richt het detectie- en meldproces zo in dat je de 24-uurs, 72-uurs en eenmaands-termijnen haalt. Beleg rollen, oefen scenario's en leg contactgegevens van toezichthouder en CSIRT vast.
Train je medewerkers. Cyberhygiëne en bewustwording zijn wettelijk verplicht. Maak training structureel, niet eenmalig.
Monitor en audit continu. Meet de effectiviteit van je maatregelen, voer interne audits uit en pas je beleid aan op nieuwe dreigingen. Compliance is een doorlopend proces, geen eindstation.

NIS2 vs DORA vs AVG

NIS2 staat niet op zichzelf. Veel organisaties hebben tegelijk te maken met DORA (financiële sector) en de AVG (privacy). De drie regelingen overlappen, maar verschillen in focus en reikwijdte.

Kenmerk	NIS2 / Cbw	DORA	AVG
Focus	Cyberbeveiliging kritieke sectoren	Digitale operationele weerbaarheid financiële sector	Bescherming persoonsgegevens
Doelgroep	18 sectoren, essentiële & belangrijke entiteiten	Banken, verzekeraars, beleggers, ICT-dienstverleners	Iedere verwerker van persoonsgegevens
Type	Richtlijn (nationaal geïmplementeerd)	Verordening (rechtstreeks van toepassing)	Verordening (rechtstreeks van toepassing)
Meldtermijn incident	24u / 72u / 1 maand	Strikte, gefaseerde termijnen	72 uur (datalek)
Toezicht NL	RDI & sectorale toezichthouders	DNB & AFM	Autoriteit Persoonsgegevens
Max. boete	€10M of 2% omzet	Sectorafhankelijk, fors	€20M of 4% omzet

Voor financiële instellingen geldt dat DORA als lex specialis voorgaat op NIS2 voor de onderwerpen die DORA regelt. Toch loont het om de drie regimes geintegreerd te benaderen: een goed informatiebeveiligingsbeleid dekt grote delen van alle drie tegelijk. Lees meer over de financiële tegenhanger in onze gids over de DORA-verordening.

De rol van de CISO bij NIS2-compliance

In de praktijk is de CISO de spil waar NIS2-compliance om draait. Hoewel het bestuur eindverantwoordelijk is, is het de CISO die de zorgplichtmaatregelen vertaalt naar beleid en techniek, de risicobeoordeling uitvoert, het incident response proces inricht en het bestuur voorziet van de informatie die het nodig heeft om zijn goedkeurings- en toezichtsrol waar te maken.

Concreet pakt de CISO onder NIS2 het volgende op:

Het opstellen en onderhouden van het informatiebeveiligingsbeleid en de risicobeoordeling;
Het implementeren en bewaken van de tien zorgplichtmaatregelen;
Het inrichten en testen van het incident response proces, inclusief de meldketen naar RDI en CSIRT;
Het organiseren van bewustwordingstraining en bestuurstraining;
Het periodiek rapporteren aan het bestuur over de stand van de compliance.

Organisaties die nog geen CISO hebben, voelen de druk van NIS2 het sterkst. Zij kiezen er vaak voor om snel een interim CISO in te huren die binnen enkele weken het compliance-traject in gang zet, in plaats van maanden te wachten op de werving van een vaste kracht. Wil je zelf een dergelijke functie invullen of werven? Bekijk dan onze gids over de CISO vacature en lees wat een CISO precies doet in de rol van de CISO.

Op zoek naar een security professional voor je NIS2-traject?

NIS2-compliance vraagt om ervaren security- en compliance-professionals. Bekijk de actuele vacatures op IT Compliance Jobs of lees meer over wat een CISO precies doet.

Bekijk Security Vacatures

Veelgestelde vragen over NIS2 en de Cyberbeveiligingswet

Wanneer treedt de Cyberbeveiligingswet in werking?

De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de NIS2-richtlijn. Inwerkingtreding wordt verwacht in het tweede kwartaal van 2026. Organisaties die onder de wet vallen, moeten vanaf dat moment voldoen aan de zorgplicht en meldplicht. Het is verstandig nu al te starten met een gap-analyse, omdat de eisen ook met terugwerkende kracht gelden vanaf het moment dat NIS2 van toepassing werd.

Valt mijn organisatie onder NIS2?

Je organisatie valt onder NIS2 als deze actief is in een van de aangewezen sectoren (zoals energie, transport, bankwezen, gezondheidszorg, digitale infrastructuur of overheid) en voldoet aan de size-cap regel: minimaal 50 medewerkers of een jaaromzet van meer dan €10 miljoen. Bepaalde kritieke aanbieders vallen ongeacht hun omvang onder de wet. Een organisatie wordt geclassificeerd als essentiële of belangrijke entiteit.

Wat is het verschil tussen een essentiële en belangrijke entiteit?

Essentiële entiteiten zijn grote organisaties in de meest kritieke sectoren en staan onder proactief toezicht (controles vooraf). Belangrijke entiteiten staan onder reactief toezicht (controle pas na een incident of signaal). Voor essentiële entiteiten gelden hogere boetemaxima: tot €10 miljoen of 2% van de wereldwijde jaaromzet, tegenover €7 miljoen of 1,4% voor belangrijke entiteiten.

Zijn bestuurders persoonlijk aansprakelijk onder NIS2?

Ja. Onder artikel 20 van NIS2 en de Nederlandse Cyberbeveiligingswet moet het bestuur de cybersecuritymaatregelen goedkeuren en toezicht houden op de uitvoering. Bestuurders zijn verplicht training te volgen en kunnen persoonlijk aansprakelijk worden gesteld bij ernstige nalatigheid. Toezichthouders kunnen bestuurders bovendien tijdelijk een leidinggevende functie ontzeggen.

Wat is de meldplicht onder NIS2?

Bij een significant incident geldt een gefaseerde meldplicht: binnen 24 uur een vroegtijdige waarschuwing (early warning), binnen 72 uur een volledige incidentmelding met een eerste beoordeling, en binnen een maand een eindrapport met de oorzaak, de getroffen maatregelen en de impact. Meldingen gaan naar de toezichthouder en het nationale CSIRT.

Welke rol speelt de CISO bij NIS2-compliance?

De CISO is in de praktijk de aangewezen functionaris om NIS2-compliance te realiseren: het uitvoeren van de risicobeoordeling, het implementeren van de zorgplichtmaatregelen, het opzetten van het incident response proces en het rapporteren aan het bestuur. Veel organisaties huren een interim CISO in om snel aan de eisen te voldoen wanneer er nog geen vaste invulling is.