De NIS2-richtlijn en jouw documenten: Wat EU-bedrijven moeten weten
NIS2 is de grootste uitbreiding van EU-cybersecurityregelgeving in tien jaar. Het geldt voor meer dan 160.000 entiteiten in 18 sectoren — en het merendeel van wat het vereist is documentatie. Risicoregisters, incidentregistraties, beleidsgoedkeuringen, leveranciersbeoordelingen, trainingslogs. Dit is wat je daadwerkelijk moet doen.
Laatst bijgewerkt: april 2026
Het korte antwoord
- → NIS2 is in de eerste plaats een documentatie- en governance-uitdaging, geen technologische. Zeven van de tien verplichte beveiligingsmaatregelen onder Artikel 21 gaan fundamenteel over gedocumenteerde processen, goedgekeurd beleid en controleerbaar bewijs.
- → Als je organisatie actief is in een van de 18 gedekte sectoren en 50 of meer werknemers heeft (of een jaaromzet van meer dan € 10 miljoen), val je zeer waarschijnlijk binnen de reikwijdte — als essentiële of belangrijke entiteit.
- Kortom: Een documentbeheersysteem maakt je op zichzelf niet NIS2-compliant. Maar slecht documentbeheer — ontbrekend beleid, geen versiegeschiedenis, geen goedkeuringstrajecten — garandeert dat je zakt voor een audit.
Wat is NIS2 en waarom is het belangrijk?
De Network and Information Security Directive 2 (NIS2) is Richtlijn (EU) 2022/2555, aangenomen in december 2022 en van kracht sinds januari 2023. Het vervangt de oorspronkelijke NIS-richtlijn uit 2016. De toename in reikwijdte is enorm: NIS1 besloeg ongeveer 15.000 entiteiten in 7 sectoren. NIS2 geldt voor meer dan 160.000 entiteiten in 18 sectoren. Dat is een vertienvoudiging.
Lidstaten moesten NIS2 uiterlijk op 17 oktober 2024 in nationale wetgeving hebben omgezet. Sinds april 2026 hebben 21 van de 27 lidstaten dit gedaan. De Europese Commissie stuurde in mei 2025 met redenen omklede adviezen naar 19 lidstaten omdat zij de volledige omzetting niet hadden gemeld. Duitsland voltooide de omzetting in december 2025. Frankrijk zal naar verwachting medio 2026 de Loi Résilience afronden. De handhaving is al begonnen.
| Aspect | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Entiteiten binnen reikwijdte | ~15.000 | ~160.000+ |
| Gedekte sectoren | 7 | 18 |
| Maximale boete | Verschilde per lidstaat | € 10 mln of 2% van de wereldwijde omzet |
| Aansprakelijkheid van het management | Geen | Persoonlijke aansprakelijkheid (Art. 20) |
| Incidentrapportage | “Zonder onnodige vertraging” | 24u / 72u / 1 maand (Art. 23) |
| Vereisten voor de toeleveringsketen | Geen | Verplicht (Art. 21(2)(d)) |
Toch is volgens een CyberSmart-enquête onder 670 bedrijfsleiders in acht EU-landen, gepubliceerd in april 2026, slechts 16% van de bedrijven die binnen de reikwijdte vallen volledig NIS2-compliant. De belangrijkste barrières zijn budgettaire beperkingen en een gebrek aan begeleiding bij het implementeren van de maatregelen. Deze gids behandelt het tweede probleem.
Val je binnen de reikwijdte?
NIS2 is van toepassing op entiteiten die actief zijn in een van de 18 aangewezen sectoren EN voldoen aan de omvangsdrempel. Er zijn twee classificaties van entiteiten: essentieel (hogere verplichtingen, proactief toezicht) en belangrijk (lichter toezicht, maar dezelfde kernbeveiligingsmaatregelen zijn van toepassing).
De algemene omvangsdrempel is een middelgrote onderneming of groter: 50 of meer werknemers, OF een jaaromzet van meer dan € 10 miljoen, OF een jaarlijks balanstotaal van meer dan € 10 miljoen. Sommige entiteiten vallen hieronder ongeacht hun omvang — waaronder DNS-providers, TLD-registers, aanbieders van vertrouwensdiensten en aanbieders van openbare elektronische communicatienetwerken.
De 18 sectoren zijn verdeeld over twee bijlagen. Beide dragen dezelfde beveiligingsvereisten van Artikel 21. Het verschil zit in de manier waarop toezichthoudende autoriteiten met je communiceren:
| Classificatie | Sectoren (Bijlage) | Toezicht |
|---|---|---|
| Essentieel (Bijlage I) | Energie, transport, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten (B2B), overheidsinstanties, ruimtevaart | Proactief — autoriteiten kunnen op elk moment audits uitvoeren, inspecteren en om bewijsmateriaal vragen |
| Belangrijk (Bijlage II) | Postdiensten, afvalbeheer, chemische stoffen, levensmiddelenproductie en -distributie, productie (medische hulpmiddelen, elektronica, machines, voertuigen), digitale aanbieders (marktplaatsen, zoekmachines, sociale netwerken), onderzoek | Reactief — autoriteiten onderzoeken na een incident of wanneer er aanwijzingen zijn voor niet-naleving |
Let op: het voorstel voor een wijziging van de Commissie van januari 2026 introduceert een nieuwe categorie "kleine mid-caps" voor entiteiten met minder dan 750 werknemers en een omzet van minder dan € 150 miljoen. Volgens dit voorstel zouden kleine mid-caps als belangrijk in plaats van essentieel worden geclassificeerd, zelfs als ze actief zijn in sectoren van Bijlage I. Dit bevindt zich nog in de fase van wetgevingsonderhandelingen en is nog niet van kracht.
De 10 verplichte beveiligingsmaatregelen (Artikel 21)
Artikel 21, lid 2, somt tien minimale beveiligingsmaatregelen op die elke entiteit die binnen het toepassingsgebied valt, moet implementeren. Dit zijn geen suggesties — het zijn wettelijke vereisten, verder uitgewerkt in de Uitvoeringsverordening (EU) 2024/2690 van de Commissie.
Het belangrijkste inzicht: kijk naar de kolom "Vereist document". Zeven van de tien maatregelen gaan fundamenteel over het hebben van gedocumenteerd, goedgekeurd en controleerbaar beleid of procedures. Dit is waar documentbeheer direct relevant wordt.
| # | Vereiste | Wat het betekent | Vereist document |
|---|---|---|---|
| (a) | Risicoanalyse en beleid inzake informatiebeveiliging | Identificeer je risico's, beoordeel ze en documenteer hoe je ze aanpakt | Risicoregister, methodologie voor risicobeoordeling, beveiligingsbeleid |
| (b) | Incidentbehandeling | Detecteer, reageer op en leer van beveiligingsincidenten | Incidentresponsplan, escalatiematrix, sjabloon voor evaluatie na incidenten |
| (c) | Bedrijfscontinuïteit en crisisbeheer | Back-upbeheer, disaster recovery en crisisrespons | Bedrijfscontinuïteitsplan, herstelplan (disaster recovery), back-upbeleid |
| (d) | Beveiliging van de toeleveringsketen | Beoordeel en beheer cybersecurity-risico's van je leveranciers | Beveiligingsbeleid voor leveranciers, beoordelingsverslagen van leveranciers |
| (e) | Beveiliging bij verwerving, ontwikkeling en onderhoud | Afhandeling van kwetsbaarheden en veilige ontwikkelingspraktijken | Procedure voor patchbeheer, beleid voor openbaarmaking van kwetsbaarheden |
| (f) | Testen van effectiviteit | Beoordeel of je beveiligingsmaatregelen daadwerkelijk werken | Interne auditplanning, testrapporten, KPI-dashboard |
| (g) | Basisprincipes van cyberhygiëne en training | Train personeel en maak beveiligingspraktijken onderdeel van de routine | Trainingsplan, presentielijsten, bewustwordingsmateriaal |
| (h) | Cryptografie en versleuteling | Beleid voor versleuteling van gegevens in rust en in transit | Cryptografiebeleid, procedure voor sleutelbeheer |
| (i) | Beveiliging van personeel en toegangscontrole | Beheer wie toegang heeft tot wat, van indiensttreding tot uitdiensttreding | Toegangscontrolebeleid, procedure voor in-, door- en uitstroom |
| (j) | Multi-factor authenticatie en veilige communicatie | MFA op kritieke systemen, beveiligde spraak/video/tekst | Beleid voor MFA-handhaving, standaarden voor veilige communicatie |
NIS2 is een documentatieprobleem
Dit is waar de meeste NIS2-gidsen tekortschieten. Ze leggen de 10 maatregelen uit, sommen de sectoren op en gaan verder. Maar de werkelijke uitdaging op het gebied van compliance is niet het implementeren van een firewall of het inschakelen van MFA — de meeste middelgrote bedrijven hebben dat al. De uitdaging is om het te bewijzen.
Auditors controleren je firewall-regels niet. Ze controleren je documentatie. Ze willen zien dat er beleid bestaat, dat het actueel is (beoordeeld in de afgelopen 12 maanden), dat er gedocumenteerde goedkeuring van het management is en dat er versies zijn met een wijzigingsgeschiedenis. Onder NIS2 is het bewijs de compliance.
De Uitvoeringsverordening (EU) 2024/2690 vertaalt Artikel 21 naar ongeveer 30 specifieke documenten die entiteiten moeten produceren en onderhouden. Deze zijn niet optioneel — dit is wat toezichthoudende autoriteiten zullen opvragen tijdens een audit of na een incident.
| Type bewijs | Wat auditors controleren | Hoe een DMS helpt |
|---|---|---|
| Beleidsdocumenten | Huidige versie, goedkeuring management, beoordelingsdatum, versiegeschiedenis | Versiebeheer, goedkeuringsworkflows, audit trail bij elke wijziging |
| Risicoregister | Koppeling activa-risico-beheersmaatregel, genoemde eigenaren, status van behandeling, beoordelingslogs | Gestructureerde opslag met metadata, zoeken op eigenaar of status |
| Incidentverslagen | Tijdlijn, classificatie, responsacties, evaluatie na incident, minimale bewaartermijn van 5 jaar | Onveranderlijke auditlogs, bewaarbeleid, full-text search |
| Beoordelingen van leveranciers | Ingevulde vragenlijsten van leveranciers, beveiligingsclausules in contracten, periodieke beoordelingen | Contractopslag, taggen per leverancier, herinneringen voor verlenging |
| Trainingsverslagen | Presentielijsten, voltooiingsdata, bewijs van managementtraining | Documentarchivering, zoeken op datum, georganiseerd per categorie |
| Managementbesluiten | Notulen van de directie waaruit cybersecurity-discussies blijken, goedkeuring van risico-acceptatie | Goedkeuringsworkflows met tijdstempels en genoemde goedkeurders |
Het terugkerende thema is traceerbaarheid. Elk document moet antwoord geven op: wie heeft het gemaakt, wanneer, wie heeft het goedgekeurd, wanneer is het voor het laatst beoordeeld en wat is er veranderd ten opzichte van de vorige versie. Een map op een gedeelde schijf biedt dit niet. Een DMS met versiegeschiedenis en goedkeuringsworkflows wel.
Incidentrapportage: de 24-72-1 regel
Artikel 23 verplicht een incidentrapportageproces in drie fasen voor significante incidenten. Het missen van deze deadlines is op zichzelf al een overtreding van de compliance. Elke fase vereist gedocumenteerd bewijs — wat betekent dat de kwaliteit van je incidentverslagen direct gekoppeld is aan je juridische risico.
Vroege waarschuwing
Stel je nationale CSIRT binnen 24 uur op de hoogte nadat je kennis hebt genomen van een significant incident. Dit is een voorlopige melding — geen volledige analyse.
Incidentmelding
Dien een eerste beoordeling van het incident in: ernst, impact, indicatoren van inbreuk en grensoverschrijdende effecten.
Eindrapport
Lever een uitgebreid rapport in: oorzaakanalyse, genomen herstelmaatregelen en grensoverschrijdende impact. Als het incident nog gaande is, dien dan in plaats daarvan een voortgangsrapportage in.
In de praktijk moeten organisaties die geen gestructureerd documentbeheer hebben, zich haasten om incidentbewijs te verzamelen onder tijdsdruk. Degenen die georganiseerde verslagen bijhouden — met tijdstempels, versiegeschiedenis en doorzoekbare archieven — kunnen binnen enkele uren produceren wat toezichthouders nodig hebben, in plaats van weken.
Hoe staat je land ervoor?
NIS2 had uiterlijk op 17 oktober 2024 in nationale wetgeving moeten zijn omgezet. In werkelijkheid verloopt de implementatie traag. Vanaf april 2026 hebben 21 van de 27 lidstaten de omzetting voltooid volgens de ECSO-tracker. De Europese Commissie heeft in mei 2025 met redenen omklede adviezen gestuurd naar 19 staten, waarbij ze twee maanden de tijd kregen om de omzetting te voltooien of een procedure bij het Hof van Justitie tegemoet te zien.
Hier is de status van de zes grootste EU-economieën:
| Land | Status | Details |
|---|---|---|
| Duitsland | Omgezet | BSI-wet aangenomen op 6 december 2025. Van kracht zonder overgangsperiode. Eerste boete opgelegd: € 850.000 tegen een cloudprovider (februari 2026). |
| Frankrijk | In behandeling | Loi Résilience aangenomen in eerste lezing door de Nationale Vergadering. Definitieve aanname verwacht in Q1/Q2 2026. ANSSI is onderzoeken gestart naar 14 entiteiten. |
| Italië | Omgezet | Wetsbesluit 138/2024 van kracht sinds oktober 2024. ACN meldt meer dan 4.800 geregistreerde entiteiten; ongeveer 2.000 zijn nog niet geregistreerd. |
| Spanje | Vastgelopen | Geen wetgevingsvoortgang verwacht op de korte termijn. |
| Nederland | In behandeling | Cyberbeveiligingswet (Cbw) in voorbereiding. Deadline voor zelfbeoordeling voor entiteiten vastgesteld op juni 2026. |
| Polen | In behandeling | Wijziging van de wet op het nationale cyberbeveiligingssysteem nadert voltooiing. |
Zelfs als je land NIS2 nog niet heeft omgezet, is de richtlijn van toepassing.
NIS2 is sinds 18 oktober 2024 van kracht als EU-recht. Nationale autoriteiten zullen de vereisten met terugwerkende kracht handhaven zodra de omzetting is voltooid. Nu beginnen met compliance — in plaats van te wachten op nationale wetgeving — is de enige verdedigbare positie.
De sancties zijn reëel
NIS2 introduceert twee categorieën administratieve boetes, gemodelleerd naar de boetestructuur van de GDPR. Lidstaten kunnen maxima vaststellen die boven deze ondergrenzen liggen, maar niet eronder.
| Type entiteit | Maximale boete | Omzetalternatief | Aanvullende bevoegdheden |
|---|---|---|---|
| Essentieel | € 10.000.000 | of 2% van de wereldwijde jaaromzet (welke van de twee het hoogst is) | Bindende instructies, beveiligingsaudits op kosten van de entiteit, tijdelijke bestuursverboden |
| Belangrijk | € 7.000.000 | of 1,4% van de wereldwijde jaaromzet (welke van de twee het hoogst is) | Bindende instructies, beveiligingsaudits op kosten van de entiteit |
Artikel 20 voegt persoonlijke aansprakelijkheid toe: bestuursorganen moeten risicobeheersmaatregelen voor cyberbeveiliging goedkeuren en toezien op de implementatie ervan. Bestuursleden kunnen persoonlijk aansprakelijk worden gesteld voor niet-naleving. In sommige lidstaten, waaronder Duitsland, strekt dit zich uit tot tijdelijke verboden op het bekleden van bestuursfuncties.
De handhaving volgt het vroege GDPR-patroon. Het Duitse BSI vaardigde in Q4 2025 47 formele kennisgevingen uit en legde in februari 2026 de eerste financiële boete op (€ 850.000 tegen een cloudprovider). Het Franse ANSSI heeft 14 onderzoeken geopend. Het Italiaanse ACN heeft zich gericht op de handhaving van registraties. Verwacht wordt dat het aantal aanzienlijke financiële boetes in de loop van 2026–2027 zal toenemen naarmate de nationale handhaving volwassen wordt.
Het vereenvoudigingsvoorstel van januari 2026
Op 20 januari 2026 publiceerde de Europese Commissie een voorstel voor gerichte wijzigingen van NIS2 als onderdeel van een breder cyberbeveiligingspakket. Het verklaarde doel is om compliance te vereenvoudigen, de rechtszekerheid te vergroten en de implementatie te harmoniseren. Het voorstel zal de gewone wetgevingsprocedure doorlopen, met een politiek akkoord gericht op begin 2027.
Dit is wat er mogelijk verandert — en wat niet:
Verandert NIET
- ×De 10 verplichte beveiligingsmaatregelen (Artikel 21)
- ×Documentatie- en bewijsvereisten
- ×Deadlines voor incidentrapportage (24u/72u/1 maand)
- ×Boetestructuur en aansprakelijkheid van het management
Kan veranderen (voorstelfase)
- ✓Nieuwe categorie "kleine mid-caps" (<750 werknemers, < € 150M omzet) — geherclassificeerd als belangrijk in plaats van essentieel
- ✓Op certificering gebaseerd compliance-traject via het EU-kader voor cyberbeveiligingscertificering
- ✓Micro- en kleine DNS-providers vallen niet langer binnen het toepassingsgebied
- ✓Maximale harmonisatie voor uitvoeringshandelingen — minder nationale verschillen
De richting is duidelijk: NIS2 wordt eenvoudiger om na te leven, niet zwakker. De kernverplichtingen blijven bestaan. Als je compliance uitstelt in de hoop dat de wijzigingen je zullen vrijstellen, neem je een juridisch risico. Het voorstel verkleint het toepassingsgebied aan de randen, maar vermindert de vereisten voor entiteiten die binnen het toepassingsgebied blijven niet.
Praktische checklist voor het mkb
Als je dit leest omdat je compliance officer zei "we vallen misschien binnen het toepassingsgebied" — dan is dit het minimaal haalbare pad voorwaarts. Dit is geen uitgebreid NIS2-implementatieplan. Het is de set acties die je van nul naar audit-ready brengt voor de documentatievereisten.
Bepaal of je binnen het toepassingsgebied valt
Controleer je sector aan de hand van Bijlagen I en II. Pas de drempelwaarde voor omvang toe (50+ werknemers of € 10M+ omzet). Als je twijfelt, raadpleeg dan het register van je nationale autoriteit — verschillende lidstaten hebben lijsten met entiteiten of tools voor zelfbeoordeling gepubliceerd.
Classificeer als essentieel of belangrijk
Sectoren in Bijlage I zijn over het algemeen essentieel; sectoren in Bijlage II zijn over het algemeen belangrijk. Het onderscheid heeft invloed op de intensiteit van het toezicht, maar niet op de kernvereisten van Artikel 21. Documenteer de onderbouwing van je classificatie.
Voer een gap-analyse uit op de 10 maatregelen
Beantwoord voor elk van de 10 maatregelen van Artikel 21: hebben we een gedocumenteerd beleid? Is het goedgekeurd door het management? Is het in de afgelopen 12 maanden beoordeeld? Hebben we bewijs van implementatie? Noteer de hiaten.
Bouw je bewijspakket op
Begin met de drie kernregisters: risico, incident en leverancier. Voeg een informatiebeveiligingsbeleid, een bedrijfscontinuïteitsplan en een trainingslogboek toe. Elk document heeft een eigenaar, een beoordelingsdatum, versiebeheer en goedkeuring van het management nodig.
Stel levenscyclusbeheer voor documenten in
Elk NIS2-beleidsdocument heeft een aanmaakdatum, een goedkeuringsverslag, een beoordelingsschema en een versiegeschiedenis nodig. Als je dit in een gedeelde map beheert, raak je binnen enkele maanden het overzicht kwijt. Een DMS met goedkeuringsworkflows en audit trails maakt dit houdbaar.
Plan managementbeoordelingen en trainingen in
Artikel 20 vereist dat bestuursorganen cyberbeveiligingsmaatregelen goedkeuren en trainingen volgen. Plan driemaandelijkse beoordelingen, documenteer de aanwezigheid en houd besluiten bij. Dit is het bewijs dat auditors als eerste controleren.
Hoe Veluvanto helpt bij NIS2-documentatie
Veluvanto is geen GRC-platform. Het vervangt je methodologie voor risicobeoordeling of je incident response-procedures niet. Wat het wel doet, is de documentbeheerlaag bieden die NIS2-bewijsvoering houdbaar maakt — het deel waar de meeste bedrijven na de eerste compliance-inspanning mee worstelen.
- ✓Documentopslag met versiebeheer: elke bewerking wordt gelogd met tijdstempel, gebruiker en vorige versie. Je kunt de staat van elk document op elk moment in de tijd reconstrueren — precies wat auditors vereisen.
- ✓Goedkeuringsworkflows: stuur beleidsdocumenten ter goedkeuring naar het management met een bijgehouden status. De goedkeuringsketen creëert de bewijslast die Artikel 20 vereist.
- ✓Volledige audit trail: elke actie op een document (uploaden, bekijken, bewerken, goedkeuren, archiveren) wordt gelogd. Geen handmatige tracking nodig — compliance-bewijs wordt automatisch gegenereerd.
- ✓AI-gestuurd zoeken en organiseren: vind elk document in seconden met zoekopdrachten in natuurlijke taal. Wanneer een auditor vraagt naar je beveiligingsbeoordelingen van leveranciers uit Q3, kun je ze onmiddellijk ophalen in plaats van door mappen te zoeken.
- ✓Dataresidency in de EU en versleuteling: documenten worden opgeslagen in de EU met AES-256 versleuteling in rust en in transit. Er verlaat geen data de EU-datagrens — in tegenstelling tot bepaalde AI-tools die verwerking via Amerikaanse datacenters routeren tijdens piekmomenten.
- ✓GDPR-compliant door ontwerp: isolatie per tenant, SSE-C versleuteling en beheer van de levenscyclus van gegevens. NIS2 en GDPR overlappen elkaar aanzienlijk in hun documentatievereisten — een systeem dat aan de ene voldoet, brengt je een heel eind richting de andere.
Het moeilijkste deel van NIS2-compliance is niet de initiële opzet — het is het behouden van bewijsmateriaal in de loop van de tijd. Beleid veroudert, beoordelingen worden overgeslagen, trainingsverslagen verdwijnen. Een DMS dat versiebeheer afdwingt, goedkeuringen bijhoudt en elke actie logt, verandert compliance van een driemaandelijkse worsteling in een proces op de achtergrond.
Bronnen en verdere lectuur
Deze gids is gebaseerd op de volgende primaire bronnen. Data tussen haakjes geven de publicatie- of laatste updatedatum van elke bron aan.
- Richtlijn (EU) 2022/2555 (NIS2-richtlijn) — Volledige tekst op EUR-Lex (december 2022)
- Uitvoeringsverordening (EU) 2024/2690 van de Commissie — Technische maatregelen voor NIS2-naleving (oktober 2024)
- COM(2026) 13 — Voorstel voor gerichte NIS2-wijzigingen en afstemming op de Cyberbeveiligingsverordening (januari 2026)
- ECSO NIS2 Transposition Tracker — 21/27 lidstaten omgezet vanaf april 2026
- Europese Commissie, Met redenen omkleed advies aan 19 lidstaten over NIS2-omzetting (mei 2025)
- CyberSmart, "Slechts 16% van de bedrijven voldoet volledig aan NIS2" — Enquête onder 670 bedrijfsleiders (april 2026)
- ENISA, NIS2 Technische implementatierichtlijnen (2025)
- Duitsland BSI — Eerste NIS2-boete: € 850.000 tegen cloudserviceprovider (februari 2026)
- Effectbeoordeling van de Europese Commissie — NIS2-toepassingsgebied: ~160.000 entiteiten in 18 sectoren
Gerelateerde gidsen
GDPR en documentbeheer
Hoe je persoonsgegevens opslaat, organiseert en beschermt in je DMS — NIS2 en GDPR hebben een aanzienlijke overlap in documentatie
EU AI Act & documentbeheer
De andere grote EU-compliance-deadline in 2026 — transparantieverplichtingen voor AI-functies in je DMS
Workflows voor documentgoedkeuring
Hoe je goedkeuringsketens opzet voor beleidsdocumenten — de basis voor NIS2-governancebewijs