Ga naar inhoud

NIS2 ·

NIS2 in 2026: wat essentiële en belangrijke entiteiten nu moeten aantonen

Update mei 2026. De Europese NIS2-richtlijn is in Nederland vertaald naar nationale wet- en regelgeving. Voor veel organisaties in vitale en belangrijke sectoren is de vraag niet meer of ze moeten handelen, maar hoe snel ze kunnen aantonen dat maatregelen werken — richting toezicht, opdrachtgevers en eigen bestuur.

Wat is er in Nederland veranderd?

Organisaties die onder de scope van NIS2 vallen, moeten onder meer bestuurlijke aansprakelijkheid en governance rond cyberrisico’s borgen, incidenten binnen meldtermijnen rapporteren waar van toepassing, risico’s in de keten actief beoordelen en maatregelen aansluiten op actuele dreigingen — niet alleen op papier. In de praktijk zien we dat opdrachtgevers in energie, zorg, logistiek en IT-dienstverlening contractueel dezelfde thema’s vragen.

  • bestuurlijke aansprakelijkheid en governance rond cyberrisico’s borgen;
  • incidenten binnen meldtermijnen rapporteren (waar van toepassing);
  • risico’s in de keten (leveranciers, SaaS, outsourcers) actief beoordelen;
  • maatregelen aansluiten op actuele dreigingen — niet alleen op papier.

De drie bewijsvragen voor 2026

  1. Wie is eigenaar? Niet alleen CISO, maar ook bestuur en lijnmanagement met mandaat.
  2. Wat is uw scope? Welke diensten, locaties, systemen en leveranciers vallen onder het managementsysteem?
  3. Hoe toont u werking aan? Logs, testresultaten, changebesluiten, oefeningen — versiebeheer en datums tellen.

Relatie met ISO 27001

Veel organisaties combineren NIS2 met ISO 27001-certificering. ISO 27001 levert structuur via risicoanalyse, SoA en auditcycli; NIS2 dwingt bestuur en keten scherper. Een certificaat vervangt geen NIS2-toezicht. Gebruik één risicoregister en tag wat NIS2-specifiek is.

Praktische eerste stappen

  • Gap-analyse tegen NIS2 én bestaande ISO/ISMS-documentatie.
  • Prioriteer leveranciers — begin met identity, backup en monitoring.
  • Koppel aan readiness-overzicht en NIS2 hub.

In 2026 zien we dat ketenpartijen steeds vaker NIS2-governance naast ISO 27001-bewijs beoordelen. Documenteer welke maatregelen beide kaders dekken en waar NIS2 aanvullende eisen stelt voor bestuur en meldplicht. Dat voorkomt discussie tijdens surveillance of toezicht en versnelt antwoorden op security-vragenlijsten van grote opdrachtgevers.

Plan kwartaalreviews met lijnmanagement over open ketenrisico’s en incidentlessen. Bestuur wil besluiten over acceptatie, investering en prioriteit — geen losse slides. Koppel die besluiten aan management review zodat auditors en toezichthouders dezelfde lijn zien als uw opdrachtgevers.

Werk incidentplaybooks uit met concrete meldtermijnen en escalatie naar bestuur. Oefen jaarlijks met een keten-scenario, bijvoorbeeld uitval van kritieke SaaS of ransomware bij een outsourcer. Leg lessons learned vast in het verbeterregister en koppel ze aan risicobehandeling in de SoA.

Communicatie naar ketenpartners

NIS2-verwachtingen bereiken u ook via leveranciers en klanten: security-vragenlijsten, contractclausules en auditrechten. Houd antwoorden consistent met uw risicoregister en management review — ketenpartners vergelijken documenten over tijd.

Investeer in duidelijke scope-communicatie: welke diensten, locaties en systemen vallen onder het managementsysteem? Onduidelijke scope is een bron van discussie bij toezicht en certificering.

Publiceer intern een eenpager NIS2-scope: welke entiteit, welke diensten, wie meldt incidenten. Externe partijen vragen steeds vaker om die helderheid vóór contractondertekening. Update de eenpager wanneer scope of keten significant wijzigt.

Bestuur en keten in één ritme

NIS2 maakt van cybersecurity een bestuursverantwoordelijkheid — geen IT-project dat jaarlijks een update krijgt. Plan kwartaalgesprekken waarin bestuur expliciet scope, open ketenrisico’s en investeringen afweegt. Leg besluiten vast in management review; toezichthouders en grote opdrachtgevers vragen steeds vaker om die notulen of een samenvatting.

Voor leveranciers in vitale ketens geldt: uw klanten moeten kunnen uitleggen hoe u als schakel in hun NIS2-scope past. Stuur proactief een security one-pager met certificering, incidentcontact en scope — dat versnelt inkoop en voorkomt last-minute vragenlijsten.

Combineer NIS2-gap-analyse met uw ISO 27001-planning: dubbele workshops kosten tijd. Eén risicoregister met tags NIS2/ISO bespaart maanden en houdt auditors en toezicht op één verhaal.

Voor essentiële en belangrijke entiteiten geldt: documenteer expliciet welke diensten onder NIS2 vallen en welke leveranciers u als kritiek beschouwt. Update die lijst minstens kwartaal of na grote contractwijzigingen. Ketenpartijen gebruiken dezelfde lijst bij due diligence — inconsistentie tussen questionnaire en werkelijkheid is een veelgezien probleem in 2026.

Overweeg een tabletop met bestuur waarin u een fictief ketenincident doorloopt: melding, communicatie, herstel, lessons learned. Leg uitkomsten vast in hetzelfde incidentregister dat u voor ISO 27001 gebruikt.

Vervolgstappen in uw ISMS

Vertaal dit artikel naar één concrete actie in uw risicoregister of verbeterplan: eigenaar, deadline, gewenst bewijs. Bespreek voortgang in het eerstvolgende management review-overleg — auditors en ketenpartners willen besluiten zien, niet alleen beleidsintentie. Koppel waar mogelijk aan bestaande ISO 27001-, NIS2- of AVG-documentatie zodat u geen parallelle mappen onderhoudt.

Heeft u vragen over scope, certificering of keteneisen? Gebruik onze readiness-overzicht en kennisbank-pagina’s voor diepere guidance. Dit artikel vervangt geen juridisch of auditorisch advies voor uw specifieke situatie.

Deel relevante bevindingen kort met lijnmanagement en inkoop — compliance wordt pas werkbaar wanneer de hele organisatie dezelfde prioriteiten herkent. Herhaal de gekozen actie kwartaal in teamoverleg en update evidence-locaties in uw SoA of controleplan zodat surveillance steekproeven snel te beantwoorden zijn.

Wat doet u deze week?

Kies één concreet actiepunt uit dit artikel, wijs een eigenaar en zet het in uw risico- of verbeterregister met deadline. Deel het kort in teamoverleg — zo wordt compliance iets wat de lijn herkent. Herhaal dit kwartaal in management review zodat bestuur voortgang ziet, niet alleen intentie.

Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.

Verdiep in de kennisbank

Doe de NIS2 readiness scan

Zet NIS2-eisen naast je bestaande ISMS en prioriteer acties.

Start NIS2-scan

← Terug naar overzicht