Implementatie van NIS2: wat u moet weten om in 2026 aan de voorschriften te voldoen

29 apr 2026

5 min lezen

Samenvatten met AI

De meeste mensen met een bedrijf in Europa hebben inmiddels wel gehoord van de afkorting NIS2. Of ze er iets aan hebben gedaan is een andere vraag.

De richtlijn wordt in alle 27 lidstaten omgezet in nationale wetgeving, waarbij sommige landen voorop lopen en andere nog bezig zijn met een inhaalslag. Maar de richting verandert niet: wat vroeger vrijwillige cyberbeveiligingsrichtlijnen waren, heeft nu juridische gevolgen, duidelijke tijdschema's en, als u in het management zit, persoonlijke aansprakelijkheid.

Hieronder schets ik het kritieke pad naar NIS2-compliance, zodat je duidelijk begrijpt hoe je door deze complexiteit heen moet werken.

Stanislav Kazanov

Hoofd GRC, Cybersecurity & Duurzaamheid

Stanislav bakt veiligheid en duurzaamheid in het DNA van elk systeem. Hij navigeert op het snijvlak van wereldwijde compliance en green computing en zorgt ervoor dat infrastructuren zowel kogelvrij tegen bedreigingen als milieuverantwoord zijn.

Bekijk profiel

Wat is de NIS2-richtlijn?

De NIS2-richtlijn is het vlaggenschip van de EU-wetgeving die is ontworpen om het basisniveau van cyberbeveiliging te verhogen.

In 2016 kwam de EU met de eerste richtlijn voor netwerk- en informatiebeveiliging. Dat was een goed begin, maar ging uit van een dreigingslandschap dat er nu bijna ouderwets uitziet. NIS2 heeft lering getrokken uit zijn voorganger en deze vervangen door een breder kader met uniforme regels in verschillende landen, hogere normen, meer sectoren die worden bestreken en sancties die consistent genoeg zijn zodat je niet kunt rondshoppen voor een mildere jurisdictie.

Als gevolg hiervan kunnen bedrijven in alle lidstaten cyberbeveiliging niet langer behandelen als een “best effort”-activiteit. Ze moeten toewerken naar een juridisch bindend kader met duidelijke verwachtingen over veerkracht, het melden van incidenten en wie de verantwoordelijkheid draagt als er iets misgaat.

Checklist voor de implementatie van NIS2: EU-kernvereisten

Vraag uw gratis checklist voor NIS2-compliance aan en beoordeel of u er al klaar voor bent. Het is een eenvoudige manier om te zien wat er al is en wat nog aandacht nodig heeft.

Hoe Polen NIS2 heeft geïmplementeerd

Polen heeft begin 2026 zijn bijgewerkte wet aangenomen - wijzigingen in de wet inzake het nationale cyberbeveiligingssysteem. De structuur volgt de EU-richtlijn, maar splitst het toezicht op een manier die de lokale institutionele regelingen weerspiegelt.

Het CSIRT MON* houdt bijvoorbeeld toezicht op defensiegerelateerde entiteiten; het CSIRT NASK** op kritieke digitale infrastructuur en openbaar bestuur. Andere sectorspecifieke instanties houden toezicht op gebieden als energie, financiën, gezondheidszorg en transport. Daarnaast is er een centraal register dat documenteert welke entiteiten als essentieel of belangrijk zijn geclassificeerd.

Vanaf april 2026 is naleving van de rapportageverplichtingen, toezichtprocedures en handhavingsprocedures onder de Poolse wetgeving verplicht.

Voor welke bedrijven geldt dit?

De reikwijdte is groter dan voorheen. De classificatie is afhankelijk van twee dingen: sector en omvang, en gaat verder dan de traditionele kritieke infrastructuur.

NIS2 maakt onderscheid tussen essentiële entiteiten, waarvan de verstoring een grote maatschappelijke of economische impact zou hebben, en belangrijke entiteiten, waarvan de impact aanzienlijk maar minder kritiek zou zijn.

Essentiële entiteiten

Grote ondernemingen (250+ werknemers, €50m+ omzet) in belangrijke sectoren; of middelgrote ondernemingen in kritieke sectoren.

Energie, transport, banken, infrastructuur voor de financiële markt, gezondheidszorg, digitale infrastructuur.

Belangrijke entiteiten

Middelgrote ondernemingen (50-249 werknemers, €10m-€50m omzet) in belangrijke sectoren; of elke entiteit (ongeacht grootte) in specifieke sectoren.

Postdiensten, afvalbeheer, chemicaliën, voeding (grote producenten en distributeurs), productie (medische apparatuur, elektronica).

Zelfs als je niet voldoet aan de drempelwaarden voor omvang, kunnen autoriteiten je nog steeds aanmerken als “essentieel” of “belangrijk” op basis van de mogelijke impact van een onderbreking van je dienstverlening.

Belangrijkste cyberbeveiligingseisen onder NIS2

Volgens de richtlijn werkt u met een risicogebaseerde aanpak, wat betekent dat de maatregelen die u neemt evenredig met de grootte van je bedrijf en de bedreigingen waarmee het kan worden geconfronteerd. Deze zijn meestal geformaliseerd in een beheersysteem voor informatiebeveiliging (ISMS). Hiertoe voer je de volgende activiteiten uit:

Regelmatig risicobeoordelingen uitvoeren
Gedocumenteerde beveiligingsbeleidslijnen onderhouden die de rollen, verantwoordelijkheden en controles van de organisatie formaliseren
Een proces instellen voor het afhandelen van beveiligingsincidenten, inclusief preventie, detectie, rapportage en respons binnen gespecificeerde termijnen voor het in kennis stellen van autoriteiten
Ervoor zorgen dat plannen voor back-upbeheer, noodherstel en crisisbeheer aanwezig en operationeel zijn tijdens onderbrekingen
due diligence en voortdurende controle van leveranciers uitvoeren, waaronder het opstellen van beveiligingseisen en het verzamelen van bewijsmateriaal van leveranciers
Basissysteembeveiliging implementeren, zoals toegangscontrole, encryptie, MFA en patchen
Geef personeel en management ISMS-training en stel procedures op voor veilig in- en uitstappen

Deskundige ondersteuning voor NIS2-vereisten

Bepaal compliance-gaten, implementeer controles en blijf klaar voor audits met Innowise.

Nieuwe NIS2-nalevingstermijnen

De EU verplichtte de lidstaten om de richtlijn voor 17 oktober 2024 om te zetten. Sommige lidstaten hebben dat gedaan, andere niet. De deadlines hangen nu dus af van waar je geregistreerd bent, aangezien ze op nationaal niveau worden vastgesteld en per jurisdictie verschillen.

Registratie van entiteiten

Dit gebeurt meestal binnen een paar maanden nadat de nationale wet van kracht is geworden of wanneer je bent geclassificeerd als essentieel of belangrijk.

Cyberbeveiligingsmaatregelen

Verwacht vanaf het moment dat de wet op jou van toepassing is. In de praktijk vanaf de eerste dag, hoewel handhaving door toezichthouders gefaseerd kan plaatsvinden.

Eerste nalevingscontrole

Als je wordt geselecteerd, gebeurt dit meestal binnen 18 tot 24 maanden, hoewel de autoriteiten sneller kunnen gaan, afhankelijk van je risicoprofiel.

Deze tijdschema's zijn indicatief en kunnen variëren afhankelijk van de manier waarop elke lidstaat NIS2 op nationaal niveau implementeert en handhaaft, dus controleer goed wat in jouw land van toepassing is.

Sancties voor niet-naleving

Dat is waar het genuanceerder begint te worden. De richtlijn stelt een minimum vast en geen maximum: Lidstaten moeten een minimumniveau voor maximumboetes vaststellen, maar ze kunnen altijd hoger gaan als ze dat willen. Volgens artikel 34 moeten ze ervoor zorgen dat de boetes doeltreffend, evenredig en afschrikkend. In gewone taal, groot genoeg om pijn te doen, eerlijk in verhouding tot wat je fout hebt gedaan en ernstig genoeg dat niemand ernaar kijkt en denkt “het risico waard”.”

De richtlijn verdeelt dit in twee niveaus voor maximale boetes:

Voor essentiële entiteiten

≥ €10 miljoen

of 2 procent van je wereldwijde jaaromzet, als dat hoger is

Voor belangrijke entiteiten

≥ € 7 miljoen

of 1,4 procent van de wereldwijde jaaromzet, als dat hoger is

Om te zien hoe dit in de praktijk werkt, nemen we Polen als voorbeeld. De Poolse wetgeving weerspiegelt deze NIS2-drempels. Voor grotere organisaties geldt de op omzet gebaseerde berekening, dus als je wereldwijd 1 miljard euro binnenhaalt, is 2 procent 20 miljoen euro. Voor ernstige overtredingen die de nationale defensie, staatsveiligheid of openbare veiligheid bedreigen, gaat de Poolse wet verder: boetes tot 100 miljoen PLN (ongeveer 23 miljoen euro).

Compleet andere schaal, toch? Dus niet alleen grote spelers moeten zich zorgen maken over het percentage, maar iedereen in de verkeerde sector.

Waarom NIS2 een grote verandering is voor bedrijven in Polen

Er zijn twee dingen veranderd.

Ten eerste, verantwoordelijkheid. Als een bedrijf vroeger een zwakke beveiliging had, was de verantwoordelijkheid vaak zo gespreid dat niemand zich blootgesteld voelde. Nu zijn directies expliciet aansprakelijk. Dat verandert de manier waarop deze gesprekken intern verlopen.

Ten tweede, de schaal. Duizenden Poolse bedrijven die nooit te maken hadden met verplichte cyberbeveiligingsaudits, hebben dat nu wel. En de strikte 24-uursperiode voor vroegtijdige waarschuwing en de 72-uursperiode voor formele rapportage betekenen dat je monitoring en processen moet implementeren voordat er iets gebeurt.

Studies Toon dat ongeveer de helft van de kleine en middelgrote ondernemingen basisbeveiligingscontroles heeft geïmplementeerd en dat ongeveer de helft in de afgelopen twee jaar een incident heeft meegemaakt. Deze cijfers suggereren dat veel organisaties met een achterstand beginnen.

* Computer Security Incident Response Team van het Ministerie van Defensie.

** Computer Security Incident Response Team van het Research and Academic Computer Network, het nationale onderzoeksinstituut van Polen.

Meer over dit onderwerp

Blog

Navigeren door DORA: de EU-verordening voor digitale veerkracht

Blog

Cyberbeveiliging in het bankwezen: belang, bedreigingen, uitdagingen

Blog

Hoe datalekken in de gezondheidszorg voorkomen: de beste beveiligingsmethoden

Contacteer ons

Boek een gesprek of vul het onderstaande formulier in en we nemen contact met je op zodra we je aanvraag hebben verwerkt.

Naam

Bedrijf

E-mail

Telefoon

Bericht

Stuur ons een spraakbericht

Documenten bijvoegen

Bestand uploaden

Je kunt 1 bestand van maximaal 2 MB bijvoegen. Geldige bestandsformaten: pdf, jpg, jpeg, png.

Door op Verzenden te klikken, stemt u ermee in dat Innowise uw persoonsgegevens verwerkt volgens onze Privacybeleid om u van relevante informatie te voorzien. Door je telefoonnummer op te geven, ga je ermee akkoord dat we contact met je opnemen via telefoongesprekken, sms en messaging-apps. Bellen, berichten en datatarieven kunnen van toepassing zijn.

U kunt ons ook uw verzoek sturen
naar contact@innowise.com

Wat gebeurt er nu?

Zodra we je aanvraag hebben ontvangen en verwerkt, nemen we contact met je op om de details van je projectbehoeften en tekenen we een NDA om vertrouwelijkheid te garanderen.

Na het bestuderen van uw wensen, behoeften en verwachtingen zal ons team een projectvoorstel opstellen met de omvang van het werk, de teamgrootte, de tijd en de geschatte kosten voorstel met de omvang van het werk, de grootte van het team, de tijd en de geschatte kosten.

We zullen een afspraak met je maken om het aanbod te bespreken en de details vast te leggen.

Tot slot tekenen we een contract en gaan we meteen aan de slag met je project.