Ga naar inhoud

NIS2 ·

NIS2 in 2026: wat essentiële en belangrijke entiteiten nu moeten aantonen

Illustratie: NIS2 implementatie 2026 in Nederland
NIS2: governance, keten en aantoonbare beheersmaatregelen worden in 2026 leidend voor veel Nederlandse organisaties.

Update mei 2026. De Europese NIS2-richtlijn is in Nederland vertaald naar nationale wet- en regelgeving. Voor veel organisaties in vitale en belangrijke sectoren is de vraag niet meer of ze moeten handelen, maar hoe snel ze kunnen aantonen dat maatregelen werken — richting toezicht, opdrachtgevers en eigen bestuur.

Wat is er in Nederland veranderd?

Organisaties die onder de scope van NIS2 vallen, moeten onder meer:

  • bestuurlijke aansprakelijkheid en governance rond cyberrisico’s borgen;
  • incidenten binnen meldtermijnen rapporteren (waar van toepassing);
  • risico’s in de keten (leveranciers, SaaS, outsourcers) actief beoordelen;
  • maatregelen aansluiten op actuele dreigingen — niet alleen op papier.

In de praktijk zien we dat opdrachtgevers in energie, zorg, logistiek en IT-dienstverlening contractueel dezelfde thema’s vragen, ook wanneer een organisatie formeel nog geen “essentiële entiteit” is.

De drie bewijsvragen voor 2026

Toezichthouders en grote klanten stellen in 2026 vaak deze vragen:

  1. Wie is eigenaar? Niet alleen CISO, maar ook bestuur en lijnmanagement met mandaat.
  2. Wat is uw scope? Welke diensten, locaties, systemen en leveranciers vallen onder het managementsysteem?
  3. Hoe toont u werking aan? Logs, testresultaten, changebesluiten, oefeningen — versiebeheer en datums tellen.

Relatie met ISO 27001

Veel organisaties combineren NIS2 met ISO 27001-certificering. Dat kan slim zijn: ISO 27001 levert structuur (risico, SoA, audit), NIS2 dwingt bestuur en keten scherper. Let op: een ISO-certificaat vervangt geen NIS2-toezicht, en omgekeerd geldt hetzelfde.

Praktische eerste stappen deze maand

  • Maak een gap-analyse tegen NIS2 én bestaande ISO/ISMS-documentatie.
  • Prioriteer leveranciers met hoogste impact — begin met identity, backup en monitoring.
  • Plan een tabletop voor incidentmelding (wie belt wie, binnen welke uren).
  • Koppel resultaten aan je readiness-overzicht zodat bestuur één dashboard ziet.

Let op: dit artikel is educatief. Voor juridische interpretatie van uw sectorale regels raadpleegt u uw adviseur of sectororganisatie.

Verdiep in de kennisbank

Doe de NIS2 readiness scan

Zet NIS2-eisen naast je bestaande ISMS en prioriteer acties.

Start NIS2-scan

← Terug naar overzicht