×

Digitale Overheid

Europees recht en beleid

Laatste update: 19 augustus 2025

Contact:

De Richtlijn Netwerk- en informatiebeveiliging (NIS2) (Richtlijn 2022/2555) streeft naar hoog gezamenlijk niveau van cyberbeveiliging om de betrouwbaarheid en veiligheid van netwerk- en informatiesystemen te garanderen.

Hoewel de Richtlijn uiterlijk 17 oktober 2024 omgezet had moeten worden in nationale wetgeving, is dit tot op heden nog niet gebeurd. Het voorstel voor de Cyberbeveiligingswet (Cbw) die de Richtlijn moet implementeren ligt momenteel (17 november 2025) bij de Tweede Kamer. Het Europese grondbeginsel van rechtstreekse werking bepaalt echter dat bij non-implementatie een Europese richtlijn nog steeds van toepassing is. Voor meer informatie, lees onze praktijkvraag over de impact van de NIS2-richtlijn op gemeenten.

Inhoud

De nieuwe Richtlijn bevat regels op de volgende gebieden: 

  • Verplichtingen voor de lidstaten voor het vaststellen van nationale cyberbeveiligingsstrategieën en het instellen van bevoegde autoriteiten, centrale contactpunten en computer security response teams (CSIRT’s); 
  • Risicobeheersmaatregelen en rapportageverplichtingen voor essentiële organisaties en kritieke sectoren; 
  • Regels en verplichtingen over het delen van cyberbeveiligingsinformatie; 
  • Toezichts- en handhavingsverplichtingen voor de lidstaten. 

Toepassing NIS2-richtlijn en decentrale overheden als essentiële entiteiten

De NIS2-richtlijn maakt onderscheid tussen centrale, regionale en lokale overheidsinstanties. De NIS2-richtlijn is van toepassing op voor overheidsinstanties op centraal en regionaal niveau (artikel 2 lid 2 onder f). Deze centrale en regionale overheidsinstanties vallen onder de sector die als zeer kritiek is aangemerkt (Bijlage I). Daarnaast kunnen lidstaten zelf bepalen of de NIS2-richtlijn ook geldt voor overheidsinstanties op lokaal niveau (artikel 2 lid 5).

Verder maakt de NIS2-richtlijn onderscheid tussen essentiële en belangrijke entiteiten (artikel 3 lid 1 en 2). Het onderscheid maakt uit voor het toepasselijke toezicht op de entiteit: belangrijke entiteiten staan onder toezicht achteraf (artikel 33), terwijl essentiële entiteiten onder toezicht voor- én achteraf staan (artikel 32). Het voorstel voor de Cyberbeveiligingswet bevestigt dat provincies, gemeenten en waterschappen waarschijnlijk als ‘essentiële entiteiten van rechtswege’ worden aangemerkt (artikel 8 lid 1 onder h).

Verplichtingen voor decentrale overheden

Essentiële entiteiten, waaronder decentrale overheden, hebben verschillende verplichtingen onder de NIS2-richtlijn. 

  1. Zorgplicht (artikel 21): Essentiële entiteiten moeten zelf een risicoanalyse uitvoeren en op basis daarvan passende en evenredige technische, operationele en organisatorische maatregelen nemen ter beveiliging van hun netwerk- en informatiesystemen en ter voorkoming van incidenten. Voorbeelden van zulke maatregelen zijn back-upbeheer, training over cyberbeveiliging en multifactorauthenticatie (MFA). 
  2. Meldplicht (artikel 23): Essentiële entiteiten moeten significante incidenten binnen 24 uur melden aan het CSIRT en de toezichthouder via het centrale meldpunt van het NCSC. Een significant incident veroorzaakt een ernstige operationele verstoring van dienstverlening of aanzienlijke (im)materiële schade. Binnen 72 uur moet de essentiële entiteit een beoordeling van de ernst en gevolgen van het incident melden. Tot slot moet zij binnen één maand in detail rapporteren over de oorzaken en gevolgen van het incident en de genomen maatregelen. De verouderde Wbni introduceerde een CSIRT-stelsel van nationale en sectorale CSIRT’s. De sectorale CSIRT voor gemeenten is de Informatiebeveiligingsdienst (IBD). Voor de waterschappen is dat het CERT Watermanagement (CERT-WM). De provincies en de Rijksoverheid richten zich rechtstreeks tot het NCSC.  
  3. Registratieplicht (artikel 27): Essentiële entiteiten moeten zich registreren in een online entiteitenregister van het nationale CSIRT. In Nederland is dat het Nationaal Cyber Security Centrum (NCSC). 
  4. Toezicht (artikelen 31 en 31): Essentiële entiteiten zijn onderworpen aan toezicht op de naleving van de verplichtingen uit de Cyberbeveiligingswet en NIS2-richtlijn, waaronder de registratie-, zorg-, en meldplicht. De Nederlandse toezichthouder is de Rijksinspectie Digitale Infrastructuur (RDI). De RDI werkt geheel onafhankelijk, ook van de CSIRT’s. 

Non-implementatie en rechtstreekse werking

Een van de grote vraagstukken rondom de NIS2-richtlijn is of decentrale overheden moeten voldoen aan de verplichtingen daarin. Hoewel de Richtlijn uiterlijk 17 oktober 2024 omgezet had moeten worden in nationale wetgeving, is dit tot op heden nog niet gebeurd. Het voorstel voor de Cyberbeveiligingswet (Cbw) die de Richtlijn moet implementeren ligt momenteel (17 november 2025) bij de Tweede Kamer. Omdat de Richtlijn al wel sinds 18 oktober 2024 van toepassing is, is het raad dat decentrale overheden essentiële entiteiten onder artikel 3 lid 1 en 2 en Bijlage I zelfstandig voldoen aan de verplichtingen in de NIS2-richtlijn, dus ook zonder nationale omzetting. Volgens het beginsel van rechtstreekse werking mogen particulieren namelijk voldoende duidelijke en onvoorwaardelijke richtlijnbepalingen inroepen tegenover een lidstaat. Eerder onderzocht KED de verplichtingen van decentrale overheden onder de NIS2-richtlijn bij implementatiegebrek.

Meer lezen

Nationaal Cyber Security Centrum, Informatiebrochure cyberbeveiligingswet  

Rijksoverheid, Rapport over CSIRT-stelsel