Zware stalen kluisdeur op een kier in een moderne serverruimte, met zichtbare beveiligingsmechanismen en blauw-amberkleurig licht.

Wat is het verschil tussen NIS1 en NIS2?

/in /door

Het verschil tussen NIS1 en NIS2 zit hem in reikwijdte, strengheid en handhaving. Waar NIS1 een beperkte groep sectoren verplichtte tot basale beveiligingsmaatregelen, breidt NIS2 die scope aanzienlijk uit, stelt strengere eisen aan risicobeheer en incidentmelding, en maakt bestuurders persoonlijk aansprakelijk voor naleving. Voor organisaties in Nederland is dit extra relevant omdat NIS2 via de Cyberbeveiligingswet naar verwachting in het tweede kwartaal van 2026 van kracht wordt. In dit artikel beantwoorden we de meest gestelde vragen over het NIS1-NIS2 verschil, zodat je weet waar je als organisatie aan toe bent.

Waarom is NIS1 vervangen door NIS2?

NIS1 is vervangen door NIS2 omdat de oorspronkelijke richtlijn uit 2016 niet meer aansloot bij de snel veranderende dreigingen en de toenemende digitale afhankelijkheid van organisaties en samenleving. De cybersecurityrichtlijn NIS1 liet lidstaten te veel vrijheid in de implementatie, wat leidde tot grote verschillen in beschermingsniveaus binnen de EU en onvoldoende grip op grensoverschrijdende risico’s.

Bovendien bleek de reikwijdte van NIS1 te smal. Alleen organisaties in een handvol kritieke sectoren vielen eronder, terwijl de praktijk liet zien dat verstoringen in de digitale keten veel bredere gevolgen hebben. Denk aan ransomware-aanvallen die via een toeleverancier een heel netwerk platleggen. NIS2 is de logische reactie hierop: een richtlijn die breder, scherper en uniformer is, en die cybersecurity stevig verankert in de bestuurlijke verantwoordelijkheid van organisaties.

Welke organisaties vallen onder NIS2 maar niet onder NIS1?

NIS2 trekt de scope van de cybersecurityrichtlijn aanzienlijk breder dan NIS1. Sectoren die voorheen buiten de regelgeving vielen, vallen nu wel onder de NIS2 wetgeving Nederland. Denk aan de maakindustrie, voedselproductie, logistiek en transport, afvalwater, digitale dienstverleners en ICT-beheerders.

Concreet maakt NIS2 onderscheid tussen twee categorieën:

  • Essentiële entiteiten: grote organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg, drinkwater en financiële infrastructuur.
  • Belangrijke entiteiten: middelgrote organisaties in een bredere groep sectoren, waaronder ICT-dienstverlening, cloud, food en agri, en overheidsinstanties.

In de praktijk betekent dit dat veel organisaties met 50 of meer medewerkers en een jaaromzet of balanstotaal boven een bepaalde drempel nu voor het eerst te maken krijgen met formele NIS2 verplichtingen. Waar NIS1 misschien langs je organisatie scheerde, is de kans groot dat NIS2 dat niet meer doet.

Wat zijn de nieuwe verplichtingen onder NIS2?

NIS2 verplichtingen gaan verder dan de basismaatregelen die NIS1 voorschreef. Organisaties moeten aantoonbaar een samenhangend pakket aan technische en organisatorische maatregelen treffen, gericht op het beheersen van risico’s voor hun netwerk- en informatiebeveiliging.

De belangrijkste verplichtingen zijn:

  • Risicoanalyse: het systematisch in kaart brengen van dreigingen en kwetsbaarheden.
  • Incidentmelding: beveiligingsincidenten moeten binnen 24 uur gemeld worden bij de bevoegde autoriteit, met een uitgebreider rapport binnen 72 uur.
  • Incident response plan: een actueel plan voor het reageren op en herstellen van incidenten.
  • Ketenbeveiliging: aantoonbaar toezicht op de beveiliging van leveranciers en partners.
  • Cyberhygiëne en awareness: structurele training van medewerkers en bestuurders.
  • Toegangsbeheer en encryptie: technische maatregelen om onbevoegde toegang te voorkomen.
  • Bestuurlijke verantwoordelijkheid: bestuurders zijn persoonlijk aansprakelijk voor de naleving van deze maatregelen.

Dat laatste punt is nieuw en ingrijpend. Onder NIS1 was cybersecurity primair een IT-aangelegenheid. Onder NIS2 is het een bestuurlijk vraagstuk, waarbij directeuren en commissarissen aantoonbaar moeten beschikken over kennis van cyberrisico’s. Security binnen Microsoft 365 biedt een goede technische basis voor het invullen van een deel van deze verplichtingen.

Hoe verschilt de handhaving van NIS2 ten opzichte van NIS1?

De handhaving onder NIS2 is aanzienlijk strenger dan onder NIS1. Waar NIS1 de handhaving grotendeels overliet aan de lidstaten met weinig uniforme sancties, introduceert NIS2 concrete boetes en toezichtsmechanismen die vergelijkbaar zijn met de AVG.

Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet. Toezichthouders krijgen bovendien ruimere bevoegdheden om audits uit te voeren, inspecties te doen en corrigerende maatregelen op te leggen.

Nieuw is ook dat bestuurders persoonlijk aansprakelijk gesteld kunnen worden als zij hun zorgplicht niet nakomen. Dit betekent dat niet-naleving van de NIS2 richtlijn niet langer alleen een organisatierisico is, maar ook een persoonlijk risico voor de mensen aan de top.

Geldt NIS2 ook voor toeleveranciers en IT-partners?

Ja, NIS2 heeft nadrukkelijk aandacht voor de keten. Organisaties die zelf onder de richtlijn vallen, zijn verplicht om ook de beveiliging van hun toeleveranciers en IT-partners te beoordelen en te borgen. Dit wordt ketenbeveiliging of supply chain security genoemd.

In de praktijk betekent dit dat een NIS2-plichtige organisatie niet alleen haar eigen huis op orde moet hebben, maar ook contractuele en technische eisen mag stellen aan partijen die toegang hebben tot haar systemen of data. ICT-beheerders, cloudleveranciers en andere digitale dienstverleners komen daarmee indirect in het vizier van de NIS2 wetgeving Nederland, ook als zij zelf niet formeel als essentiële of belangrijke entiteit worden aangemerkt.

Voor IT-partners is dit een duidelijk signaal: klanten zullen steeds vaker vragen om aantoonbare beveiligingsmaatregelen, rapportages en certificeringen. Wie daar niet op voorbereid is, loopt het risico uit aanbestedingen of samenwerkingen te worden geweerd. Meer weten over hoe ICT-beheer en beveiliging samenkomen? Bekijk onze aanpak rondom ICT-beheer en ondersteuning.

Wanneer moet een organisatie voldoen aan NIS2?

De Europese NIS2 richtlijn had uiterlijk in oktober 2024 door alle EU-lidstaten omgezet moeten zijn in nationale wetgeving. Nederland loopt daarin vertraging op: de Cyberbeveiligingswet, de Nederlandse vertaling van NIS2, wordt naar verwachting in het tweede kwartaal van 2026 van kracht.

Dat betekent dat organisaties in 2026 formeel aan de NIS2 verplichtingen moeten voldoen zodra de wet in werking treedt. Maar wachten tot die datum is geen verstandige strategie. Een risicoanalyse uitvoeren, een incident response plan opstellen, leveranciers screenen en bestuurders trainen kost tijd. Organisaties die nu beginnen, staan straks sterk. Organisaties die wachten, lopen het risico om onder tijdsdruk maatregelen te nemen die oppervlakkig zijn of onvolledig.

Bovendien geldt: de dreiging wacht niet op de wetgever. De maatregelen die NIS2 voorschrijft, zijn ook zonder wettelijke verplichting zinvol om te implementeren.

Hoe Puur ICT helpt met NIS2-compliance

Wij begrijpen dat NIS2 voor veel organisaties een complex en veelomvattend vraagstuk is. Als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener helpen wij je stap voor stap naar aantoonbare naleving, zonder dat je zelf alle losse draden hoeft samen te brengen.

Wat wij voor je doen:

  • Nulmeting en gap-analyse: we brengen je huidige beveiligingssituatie in kaart en bepalen wat er nog ontbreekt om aan de NIS2 verplichtingen te voldoen.
  • Technische implementatie: via het Microsoft 365-ecosysteem zetten we de juiste beveiligingsmaatregelen in, van toegangsbeheer en encryptie tot monitoring en incidentdetectie.
  • Bestuurderstraining en awareness: we verzorgen trainingen waarmee bestuurders en medewerkers aantoonbaar voldoen aan de opleidingsplicht uit de Cyberbeveiligingswet.
  • Ketenbeveiliging: we helpen je bij het beoordelen en contractueel borgen van de beveiliging van jouw leveranciers en partners.
  • Doorlopend beheer en rapportage: na implementatie blijven we betrokken, zodat je altijd inzicht hebt in je beveiligingsstatus en proactief kunt bijsturen.

Klaar om NIS2 serieus aan te pakken? Neem contact op met Puur ICT en ontdek hoe wij jouw organisatie begeleiden naar volledige compliance, in begrijpelijke taal en met de persoonlijke aanpak waar we voor staan.

Gerelateerde artikelen

Misschien ook iets voor u
IT-beveiligingsprofessional bekijkt crisisrespons-checklist op laptop, rood alarmlicht op gezicht, collega's op achtergrond.Hoe stel je een crisisorganisatie in voor een cyberincident?
Kantoormedewerker bij laptop met fysiek hangslot en toegangspas op toetsenbord, symboliseert digitale beveiliging op de werkvloer.Hoe zorg je dat iedereen in je organisatie bewust omgaat met digitale veiligheid?
Weelderige groene plant met vertakte stengels groeiend uit een open laptoptoetsenbord op een wit modern bureau in natuurlijk daglicht.Hoe zorg je dat je digitale werkomgeving meegroeit met de manier waarop je organisatie verandert?
Gehandschoende handen die een beschadigd serverrek herstellen in een modern datacenter met blauw en amber licht.Wat is een goede strategie om je organisatie snel te laten herstellen na een cyberaanval?
Hand die een gloeiende blauwe bevestigingsknop op een laptop indrukt, naast een compliance-checklist en beveiligingsbadge op een wit bureau.Hoe registreer je je organisatie voor de Cyberbeveiligingswet?
Gouden messing hangslot op modern bureau naast geordende mappen, groene plant op achtergrond, kantoorbeveiliging.Hoe beveilig je je organisatie goed zonder dat het een enorm project of grote investering wordt?
Open compliance-dossier met auditchecklist op modern bureau, laptop op achtergrond met beveiligingsdashboard, kantooromgeving met natuurlijk licht.Hoe maak je NIS2-compliance aantoonbaar richting toezichthouders?
Hangslot op laptoptoetsenbord omringd door ethernetkabels en notitieboekje, symboliseert cybersecurity op kantoor.Waar begin je als je je organisatie cybersecurityproof wilt maken?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden