NIS2 in Nederland: de Cyberbeveiligingswet uitgelegd

10 min leestijdBijgewerkt 4 juli 2026

NIS2 is de Europese cyberbeveiligingsrichtlijn die in Nederland wordt ingevoerd via de Cyberbeveiligingswet. Duizenden Nederlandse organisaties die nooit eerder onder cyberwetgeving vielen, krijgen er een zorgplicht, een meldplicht en persoonlijke verantwoordelijkheid voor het bestuur bij. Deze gids legt uit wie eronder valt, wat de wet vraagt, en wat dat concreet betekent voor je logging en monitoring.

Van NIS2-richtlijn naar Cyberbeveiligingswet

NIS2 (Richtlijn (EU) 2022/2555) is de opvolger van de eerste NIS-richtlijn en moest uiterlijk 17 oktober 2024 in nationale wetgeving zijn omgezet. Nederland doet dat met de Cyberbeveiligingswet (Cbw), de opvolger van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Nederland heeft de Europese deadline niet gehaald; controleer de actuele status van de wet bij de RDI of het NCSC.

Wachten op de formele inwerkingtreding is echter riskant én onnodig: de eisen van de richtlijn zijn al jaren bekend, toezichthouders verwachten dat organisaties zich voorbereiden, en de maatregelen die de wet vraagt (risicobeheer, logging, detectie, incident-respons) zijn precies de dingen die je ook zonder wet wilt hebben op de dag dat het misgaat.

De grootste verschuiving ten opzichte van de Wbni: die wet raakte enkele honderden vitale aanbieders. De Cyberbeveiligingswet raakt naar schatting duizenden Nederlandse organisaties, inclusief middelgrote bedrijven die zichzelf nooit als “vitaal” hebben gezien.

Val ik onder NIS2?

De wet kent twee categorieën, met verschillend toezicht en verschillende boetes:

  • Essentiële entiteiten: grote organisaties in sectoren als energie, transport, bankwezen, financiële marktinfrastructuur, zorg, drinkwater en afvalwater, digitale infrastructuur, overheidsdiensten en ruimtevaart.
  • Belangrijke entiteiten: middelgrote en grote organisaties in onder meer post en koeriersdiensten, afvalbeheer, chemie, levensmiddelen, industrie (waaronder medische hulpmiddelen en elektronica), digitale aanbieders en onderzoek.

De omvangsgrens ligt in de basis bij circa 50 medewerkers of 10 miljoen euro jaaromzet. Kleinere organisaties kunnen er toch onder vallen, bijvoorbeeld als enige aanbieder van een essentiële dienst of als onderdeel van een groter concern. Er geldt bovendien een registratieplicht: organisaties die onder de wet vallen moeten zich registreren bij de toezichthouder.

Twijfel je? De Rijksoverheid biedt een online NIS2-zelfevaluatie waarmee je in enkele minuten formeel toetst of je organisatie onder de wet valt en in welke categorie.

De zorgplicht: welke maatregelen moet je nemen?

De kern van de wet is de zorgplicht: passende en evenredige technische en organisatorische maatregelen om de risico’s voor je netwerk- en informatiesystemen te beheersen. De richtlijn noemt expliciet onder meer:

  • risicoanalyse en beleid voor informatiebeveiliging;
  • incidentafhandeling: kunnen detecteren, analyseren, beperken en herstellen, en dat kunnen aantonen;
  • bedrijfscontinuïteit, back-ups en crisisbeheer;
  • beveiliging van de toeleveringsketen (supply chain);
  • beveiliging bij ontwikkeling, aanschaf en onderhoud van systemen;
  • beleid om de effectiviteit van maatregelen te meten;
  • cyberhygiëne en security-training;
  • cryptografie en waar passend encryptie;
  • toegangsbeveiliging, personeelsbeveiliging en asset-beheer;
  • multifactorauthenticatie en beveiligde communicatie.

Nieuw ten opzichte van de oude situatie is de persoonlijke verantwoordelijkheid van het bestuur: bestuurders moeten de maatregelen goedkeuren, toezien op de uitvoering, en zelf een cybersecurity-opleiding volgen. Bij ernstige nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld.

De meldplicht: 24 uur, 72 uur, één maand

Significante incidenten moet je melden bij het nationale CSIRT (voor de meeste organisaties het NCSC) en de toezichthouder, in drie stappen:

  1. Binnen 24 uur: een vroegtijdige waarschuwing, met een eerste inschatting of er sprake is van kwaadwillig handelen en of het incident grensoverschrijdende gevolgen kan hebben.
  2. Binnen 72 uur: een volledige incidentmelding met een eerste beoordeling van ernst, impact en, waar beschikbaar, indicatoren van compromittering (IOC’s).
  3. Binnen één maand: een eindrapport met een gedetailleerde beschrijving van het incident, de vermoedelijke oorzaak, de genomen maatregelen en de grensoverschrijdende impact.

Die termijnen zijn kort. Wie pas na een incident begint met logs verzamelen, haalt ze niet: binnen 24 uur iets zinnigs zeggen over kwaadwillig handelen vereist dat de relevante logs er al zijn, doorzoekbaar zijn, en dat detectie het incident überhaupt heeft opgemerkt.

Toezicht, boetes en aansprakelijkheid

De Rijksinspectie Digitale Infrastructuur (RDI) is voor veel sectoren de toezichthouder; daarnaast houden sectorale toezichthouders toezicht op hun eigen domein, zoals DNB voor de financiële sector. Essentiële entiteiten krijgen proactief toezicht (audits en inspecties vooraf); belangrijke entiteiten reactief toezicht (na signalen of incidenten).

De boetes zijn van AVG-kaliber:

  • essentiële entiteiten: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet;
  • belangrijke entiteiten: tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Daarnaast kan de toezichthouder bindende aanwijzingen geven, en bij essentiële entiteiten in het uiterste geval bestuurders tijdelijk uit hun functie laten ontheffen.

Wat dit concreet betekent voor logging en monitoring

Logging en monitoring komen in bijna elke verplichting terug: je kunt geen incident detecteren, geen 24-uursmelding onderbouwen en geen eindrapport schrijven zonder de juiste logs. Praktisch komt de zorgplicht hierop neer:

Centraliseer je logs

Logs van servers, netwerkapparatuur, identity providers, cloud-diensten en applicaties horen in één doorzoekbaar systeem. Een incident reconstrueren over tien losse systemen heen lukt niet binnen 72 uur.

Bewaar ze lang genoeg, aantoonbaar

De wet noemt geen vaste termijn; het criterium is dat je incidenten kunt onderzoeken en rapporteren. In de praktijk is 6 tot 18 maanden gangbaar, met een doorzoekbare hot-laag en een goedkoper archief. Leg je keuze en onderbouwing vast, dat is precies waar een toezichthouder naar vraagt.

Monitor realtime, niet achteraf

De meldtermijnen veronderstellen dat je incidenten zíet gebeuren. Dat vraagt om detectieregels op je logs (mislukte inlogpogingen, afwijkend gedrag, verdachte netwerkverbindingen) en om alerting die een mens op tijd bereikt, zonder te verdrinken in vals alarm.

Houd een audit trail bij

Wie heeft wat wanneer gedaan, ook in je logplatform zelf? Een manipulatiebestendige audit trail onderbouwt zowel je incidentrapportage als je verantwoording richting toezichthouder.

Dit is de kant die LogPulse afdekt: gecentraliseerd logbeheer met instelbare retentie per plan, 50+ ingebouwde detecties met MITRE ATT&CK-mapping, risicogebaseerde alerting die een handvol echte incidenten oplevert in plaats van duizenden meldingen, en compliance-rapportages die je detecties en data aan NIS2-verplichtingen koppelen. Alle data blijft in de EU (GCP Amsterdam), wat de verantwoording richting toezichthouder en verwerkersafspraken aanzienlijk versimpelt.

Stappenplan: aan de slag

  1. Stel vast of je onder de wet valt via de NIS2-zelfevaluatie van de Rijksoverheid, en in welke categorie.
  2. Informeer het bestuur: zij zijn straks persoonlijk verantwoordelijk en moeten de aanpak goedkeuren.
  3. Doe een risicoanalyse en breng in kaart welke systemen en leveranciers kritiek zijn voor je dienstverlening.
  4. Centraliseer logging en richt detectie in: dit is de fundering onder zowel de zorgplicht als de meldplicht.
  5. Oefen de meldprocedure: weet wie binnen 24 uur het NCSC en de toezichthouder informeert, en met welke informatie.
  6. Documenteer alles: maatregelen, keuzes, retentietermijnen en oefeningen. Compliance die je niet kunt aantonen, bestaat voor een toezichthouder niet.

Meer weten over hoe LogPulse de logging-, detectie- en rapportagekant invult? Zie NIS2-compliance met LogPulse of start gratis en richt je eerste detecties vandaag in.

Veelgestelde vragen

Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de Europese NIS2-richtlijn en de opvolger van de Wet beveiliging netwerk- en informatiesystemen (Wbni). De wet legt essentiële en belangrijke entiteiten een zorgplicht (beveiligingsmaatregelen, waaronder logging en monitoring), een meldplicht voor significante incidenten en een registratieplicht op, met toezicht door de RDI en sectorale toezichthouders.
Valt mijn organisatie onder NIS2?
NIS2 geldt voor middelgrote en grote organisaties (vanaf circa 50 medewerkers of 10 miljoen euro jaaromzet) in aangewezen sectoren, van energie, transport, zorg en digitale infrastructuur tot post, afvalbeheer, chemie en digitale aanbieders. Sommige organisaties vallen er ongeacht omvang onder, bijvoorbeeld als enige aanbieder van een essentiële dienst. Doe de NIS2-zelfevaluatie van de Rijksoverheid om het formeel vast te stellen.
Wat is het verschil tussen de Wbni en de Cyberbeveiligingswet?
De Wbni implementeerde de eerste NIS-richtlijn en raakte enkele honderden aanbieders van essentiële diensten. De Cyberbeveiligingswet implementeert NIS2 en is veel breder: meer sectoren, ook middelgrote bedrijven, expliciete eisen aan risicobeheer (waaronder logging, detectie en incidentafhandeling), persoonlijke verantwoordelijkheid van bestuurders en fors hogere boetes.
Hoe lang moet ik logs bewaren onder NIS2?
NIS2 en de Cyberbeveiligingswet noemen geen vaste bewaartermijn. De norm is risicogebaseerd: lang genoeg om een incident te kunnen detecteren, onderzoeken en melden, inclusief de eindrapportage die binnen een maand af moet zijn. In de praktijk hanteren organisaties 6 tot 18 maanden, vaak gesplitst in een doorzoekbare hot-laag en een goedkoper archief.
Maakt LogPulse mijn organisatie NIS2-compliant?
Nee, geen enkel product maakt je vanzelf compliant. LogPulse dekt wel de logging-, detectie- en monitoringkant van de zorgplicht: gecentraliseerd logbeheer met instelbare retentie, realtime detecties met MITRE ATT&CK-mapping, incident-workflows die de 24-uurs- en 72-uursmeldingen onderbouwen, en compliance-rapportages die detecties aan NIS2-controls koppelen. De data blijft in de EU (GCP Amsterdam).

Logging en monitoring, op één EU-gehoste engine

Centraliseer, bewaar en monitor je logs met AI-ondersteund zoeken en een risicogebaseerde SIEM, AVG-conform en gehost in de EU. Start gratis.

Start gratis

Wij gebruiken cookies om het siteverkeer te analyseren en je ervaring te verbeteren. Er worden geen cookies geplaatst zonder jouw toestemming. Privacybeleid