NIS2 in 2026: zo krijg je grip op de nieuwe cyberregels

NIS2 gaat het werk van veel organisaties veranderen. Meer aandacht voor cyberbeveiliging, scherpere eisen en een duidelijke rol voor bestuur en management. Voor veel organisaties voelt dat als extra druk. Wat moet je regelen? Wanneer begint het? En hoe voorkom je dat dit uitmondt in een nieuw compliance-project naast alles wat al loopt?

‍

De neiging om af te wachten is begrijpelijk. Cyberregels voelen al snel technisch en abstract. Zeker als ze ook nog eens op bestuursniveau landen. Tegelijkertijd weten we ook hoe iets afloopt als je te lang wacht.. Dan wordt het druk, onrustig en vooral reactief.

‍

In deze blog lees je wat NIS2 betekent, voor wie het geldt en hoe je je organisatie stap voor stap voorbereidt met grip en overzicht.

‍

‍

Voor wie NIS2 relevant is

‍

‍

Organisaties die direct onder NIS2 vallen

‍

NIS2 maakt onderscheid tussen essentiële en belangrijke entiteiten. Het gaat om organisaties waarvan verwacht wordt dat ze digitaal overeind blijven, ook als het misgaat.

‍

Essentiële entiteiten vind je onder andere in:

• energie en water
• transport en logistiek
• banken en financiële infrastructuur
• zorg en gezondheidsdiensten
• digitale infrastructuur zoals cloud en datacenters
• IT-dienstverlening en managed services
• overheid en publieke dienstverlening

‍

Belangrijke entiteiten zijn onder meer actief in:

• post- en koeriersdiensten
• afvalverwerking
• chemie en maakindustrie
• voedselproductie
• onderzoeksinstellingen

Daarnaast speelt omvang een rol. Vanaf vijftig medewerkers en tien miljoen euro omzet of balanstotaal kom je sneller in beeld. Kleinere organisaties kunnen worden aangewezen als ze een cruciale rol spelen in een keten.

‍

Organisaties die indirect geraakt worden

‍

Ook organisaties die formeel buiten scope vallen, krijgen met NIS2 te maken. Klanten die onder NIS2 vallen, worden verantwoordelijk voor hun leveranciers.

‍

Dat merk je in gesprekken, contracten en aanbestedingen. Vragen over beveiliging, continuïteit en incidentafhandeling worden concreter. Wie daar geen helder verhaal bij heeft, loopt vroeg of laat vast.

‍

Organisaties die vooruit willen kijken

‍

Ik spreek ook organisaties die zeggen dat ze misschien net buiten scope vallen, maar dit toch goed willen regelen. Dat is logisch.

‍

Want NIS2 sluit aan op wat al jaren als goede praktijk geldt. In die zin is het  een meetlat. Het laat zien waar je staat en waar je kwetsbaar bent.

‍

Waarom dit nu speelt

‍

NIS2 geldt al sinds begin 2023 op Europees niveau. Maar 2026 is het jaar waarin NIS2 juridisch van kracht wordt in Nederland. Vanaf dat moment gelden de verplichtingen uit de richtlijn via de Cyberbeveiligingswet en kunnen toezichthouders hierop handhaven.

‍

Dat betekent dat organisaties die onder NIS2 vallen, in 2026 aantoonbaar moeten voldoen aan de eisen op het gebied van risicomanagement, incidentmelding, governance en continuïteit.

NIS2 is daarbij geen eenmalige verplichting. De richtlijn vraagt om structurele inrichting van processen, verantwoordelijkheden en toezicht. Omdat deze onderwerpen meerdere lagen raken, laat dit zich niet op het laatste moment organiseren.

‍

Daarom is 2026 een bepalend jaar. Het markeert het moment waarop NIS2 overgaat van voorbereiding naar toetsing. Wat dan telt, is wat er daadwerkelijk is ingericht en geborgd.

‍

‍

Wat NIS2 van je organisatie vraagt

‍

NIS2 draait niet om één maatregel of document. Het gaat om samenhang.

‍

Risicomanagement in de praktijk

‍

Organisaties moeten passende technische en organisatorische maatregelen treffen. Dat begint vaak met overzicht.

‍

Denk aan:

• een helder informatiebeveiligingsbeleid
• beveiliging van netwerken en systemen
• toegangsbeheer en identity management
• logging en monitoring
• versleuteling waar dat logisch is
• structureel patch- en changemanagement
• aandacht voor risico’s in de keten

De vraag is steeds dezelfde. Sluit dit aan bij hoe de organisatie werkt, ook als het even tegenzit.

‍

Bestuur en eigenaarschap

‍

NIS2 legt verantwoordelijkheid expliciet bij het bestuur.

‍

Het bestuur:

• keurt het beveiligingsbeleid goed
• houdt toezicht op de uitvoering
• zorgt dat kennis en bewustzijn op niveau zijn

Cyberbeveiliging wordt daarmee onderdeel van reguliere besluitvorming.

‍

Incidenten en meldingen

‍

Bij ernstige incidenten gelden vaste termijnen voor melding en opvolging.

‍

Dat vraagt om duidelijke afspraken. Wie beoordeelt een incident? Wie communiceert? Wie neemt besluiten? Als dat vooraf helder is, ontstaat rust op momenten waarop spanning anders snel oploopt.

‍

Continuïteit en herstel

‍

NIS2 verwacht dat organisaties voorbereid zijn op verstoring.

‍

Dat betekent:

• plannen voor kritieke processen
• back-up en herstel
• oefenen met scenario’s

Het doel is niet om elk risico volledig uit te sluiten, maar juist om grip te houden op momenten dat zich iets voordoet.

‍

‍

De relatie met ISO 27001

‍

Veel onderdelen van NIS2 sluiten aan op ISO 27001. En dat is niet geheel toevallig.

Een volwassen ISO 27001-structuur biedt een stevig fundament. NIS2 legt daar vooral extra nadruk op governance, meldingen en ketenverantwoordelijkheid.

‍

Ik zie ISO 27001 als de basis. NIS2 helpt om die basis breder te verankeren.

‍

‍

Zo kun je dit stap voor stap aanpakken

‍

1. Breng de scope in kaart
   Kijk naar sector, omvang en rol binnen de keten.
2. Bepaal waar je staat
   Een nulmeting geeft inzicht zonder oordeel.
3. Maak governance expliciet
   Leg eigenaarschap vast en betrek het bestuur.
4. Richt incidentafspraken in
   Zorg dat rollen en processen vooraf duidelijk zijn.
5. Neem de keten mee
   Identificeer afhankelijkheden en bespreek verwachtingen.
6. Zorg voor aantoonbaarheid
   Laat zien dat afspraken worden gevolgd.

‍

Veelvoorkomende aandachtspunten

‍

Uit praktijk zijn dit met name signalen om extra voor te waken:

• Aannemen dat bestaande maatregelen voldoende zijn
• Onderschatten van de rol van governance
• Te laat starten met ketenafstemming

‍

Wat dit je organisatie oplevert

‍

Een bewuste aanpak van NIS2 zorgt voor:

• rust in 2026
• duidelijkheid voor bestuur en management
• beter inzicht in cyberrisico’s
• vertrouwen bij klanten en partners
• minder ad-hoc handelen bij incidenten

‍

Hoe Aymigo helpt

‍

Met Aymigo help ik organisaties om NIS2 overzichtelijk en werkbaar te maken. Als integraal onderdeel van de bestaande manier van werken.

Dat betekent:

• aansluiten op wat er al is
• aandacht voor eigenaarschap en governance
• praktische keuzes die rust geven

‍

Wil je verkennen wat dit voor jouw organisatie betekent? Dan kijk ik graag met je mee waar de meeste duidelijkheid te winnen is.