Feb 24, 2026
Businesscase voor bezoekersregistratie: ROI berekenen en intern budget krijgen
Geschreven door Jill, Content Manager - Geschreven: 12 februari 2024 - Laatst bijgewerkt: 16 maart 2026
De NIS2-richtlijn is de Europese wetgeving die de beveiliging van netwerk- en informatiesystemen verplicht verbetert. Sinds oktober 2024 moeten meer dan 160.000 organisaties in 18 sectoren voldoen aan strengere eisen rond risicobeheer, meldingsplicht en toegangscontrole. Boetes kunnen oplopen tot 10 miljoen euro of 2% van de globale jaaromzet.
De nieuwe wet verandert de spelregels rond risicobeheer en meldingsplicht, omvat aanzienlijk meer sectoren en voorziet strengere straffen voor wie niet volgt. Wat betekent dit voor uw bedrijf? En hoe bereidt u zich voor?
In dit artikel beantwoorden we de volgende vragen:
- Wat is NIS2?
- Wat is er nieuw?
- Welke sectoren en organisaties zijn betrokken?
- Wat zijn de spelregels?
- Welke sancties zijn er?
- Hoe bereidt u uw organisatie voor?
1. Wat is de NIS2-richtlijn?
De NIS2-Richtlijn (voluit: Network and Information Security Directive 2022/0383) is de basis van de Europese wetgeving op het gebied van internetveiligheid. Het doel is de beveiliging van netwerk- en informatiesystemen in heel Europa te verbeteren. De wet verplicht operatoren van kritieke infrastructuur en aanbieders van essentiële diensten passende beveiligingsmaatregelen te nemen en incidenten te rapporteren aan de bevoegde autoriteiten.
NIS2 is een herziening van de oorspronkelijke NIS1-Richtlijn uit 2016 en trad in werking in januari 2023. EU-lidstaten hadden tot 17 oktober 2024 de tijd om de richtlijn om te zetten in nationale wetgeving. In totaal zijn meer dan 160.000 organisaties in Europa betrokken.
2. Wat is er nieuw ten opzichte van NIS1?
De veiligheid van onze maatschappij heeft flinke druk ervaren door COVID-19, de oorlog in Oekraïne en opkomende cyberdreigingen. Tegelijkertijd is onze samenleving steeds meer afhankelijk geworden van netwerk- en informatiesystemen. Hierdoor was modernisering nodig om de digitale en economische veerkracht van de EU-lidstaten te versterken.
De drie belangrijkste veranderingen ten opzichte van NIS1:
- Breder toepassingsgebied - aanzienlijk meer sectoren vallen onder de wetgeving
- Strengere beveiligingsmaatregelen en rapportage - aangescherpte verplichtingen
- Zwaardere sancties - strengere gevolgen bij niet-naleving
3. Welke sectoren en bedrijven zijn betrokken?
De NIS2-richtlijn is van toepassing op 18 sectoren, verdeeld in twee categorieën: ‘zeer kritieke sectoren’ en ‘andere kritieke sectoren’. Organisaties in beide categorieën moeten aan dezelfde eisen voldoen. Het verschil zit voornamelijk in de toezichtsmaatregelen en sancties.
Overzicht van de 18 sectoren in NIS2
Zeer kritieke sectoren (11)
- Energie
- Vervoer
- Bankwezen
- Infrastructuur voor de financiële markt
- Gezondheidszorg
- Drinkwater
- Afvalwater
- Digitale infrastructuur
- Beheer van ICT-diensten
- Overheid
- Ruimtevaart
Andere kritieke sectoren (7)
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Vervaardiging, productie en distributie van chemische stoffen
- Productie, verwerking en distributie van levensmiddelen
- Vervaardiging (medische hulpmiddelen, informaticaproducten, elektrische apparatuur, machines, motorvoertuigen, andere transportmiddelen)
- Digitale aanbieders
- Onderzoek
Essentiële versus belangrijke entiteiten
NIS2 definieert twee soorten organisaties:
Essentiële entiteiten
- Organisaties in ‘zeer kritieke’ sectoren met meer dan 250 werknemers of een jaaromzet van meer dan 50 miljoen euro of een balanstotaal hoger dan 43 miljoen euro
- Gekwalificeerde aanbieders van vertrouwensdiensten, registers voor topleveldomeinnamen en DNS-dienstverleners, ongeacht hun omvang
- Aanbieders van openbare elektronische communicatienetwerken of -diensten met 50-250 werknemers of meer dan 10 miljoen euro omzet
- Overheidsinstanties
- Elke andere belangrijke organisatie die de enige aanbieder van de dienst binnen het land is
Belangrijke entiteiten
- Organisaties in ‘andere kritieke’ sectoren met meer dan 50 werknemers of een jaaromzet van meer dan 10 miljoen euro
- Organisaties in ‘zeer kritieke’ sectoren met 50-250 werknemers of een jaaromzet van 10 tot 50 miljoen euro
Kleine ondernemingen (minder dan 50 werknemers en minder dan 10 miljoen euro omzet) zijn niet automatisch uitgesloten. Lidstaten kunnen ze als ’essentieel’ of ‘belangrijk’ beschouwen als hun diensten een sleutelrol spelen.
Essentiële organisaties worden proactief gecontroleerd op naleving, terwijl belangrijke organisaties pas worden onderzocht na een klacht.
NIS2-verplichtingen voor organisaties buiten de EU
Als uw organisatie niet in de EU gevestigd is maar diensten verleent binnen de EU, dan moet u zich houden aan de NIS2-richtlijn. U moet een vertegenwoordiger aanwijzen in een van de EU-lidstaten waar u diensten levert.
Wat als u buiten het toepassingsgebied valt?
Indien uw organisatie buiten het toepassingsgebied valt, hoeft u zich geen zorgen te maken over boetes. Maar de kans is groot dat u alsnog impact ondervindt. Klanten die wel onder NIS2 vallen, kunnen van u verwachten dat u aan een bepaald niveau van cyberveiligheid voldoet.
Het kan verstandig zijn om uw beveiligingsmaatregelen toch af te stemmen op NIS2, zodat de samenwerking met andere bedrijven gemakkelijker verloopt.
4. Wat zijn de nalevingsvereisten van NIS2?
1. Registratie
Ten laatste op 17 april 2025 moeten lidstaten een lijst opstellen van alle essentiële en belangrijke entiteiten. De registratie bevat:
- Naam, adres en registratienummer
- Sector
- Contactgegevens
- Lidstaten waar u actief bent
- Toegewezen IP-adressen
2. De vier hoofddomeinen van NIS2-verplichtingen
| Domein | Vereiste |
|---|---|
| Risicobeheer | Maatregelen om cyberrisico’s te minimaliseren: incidentbeheer, beveiliging toeleveringsketen, netwerkbeveiliging, toegangscontrole en encryptie |
| Aansprakelijkheid | Management moet opgeleid worden, toezicht houden op cybersecuritymaatregelen en risico’s aanpakken |
| Meldingsplicht | Processen om beveiligingsincidenten met significante impact snel te melden |
| Continuïteit | Plannen om continuïteit te waarborgen bij cyberincidenten |
3. De 10 basisbeveiligingsmaatregelen van NIS2
- Risicoanalyse en beveiliging van informatiesystemen
- Evaluatie van beveiligingsmaatregelen
- Beleid en procedures voor cryptografie en encryptie
- Plan voor het afhandelen van beveiligingsincidenten
- Beveiliging bij verwerving, ontwikkeling en onderhoud van systemen
- Cybersecuritytraining en basispraktijken rond cyberhygiene
- Toegangsbeleid voor werknemers met toegang tot gevoelige data
- Plan voor bedrijfscontinuïteit (back-upbeheer, crisisbeheer, noodvoorzieningen)
- Gebruik van multifactorauthenticatie en versleuteling van communicatie
- Beveiliging van de toeleveringsketen en leveranciersrelaties
4. Meldingsvereisten bij beveiligingsincidenten
| Termijn | Actie |
|---|---|
| Binnen 24 uur | ‘Early warning’ naar het CSIRT of de nationale autoriteit |
| Binnen 72 uur | Incidentmelding met eerste beoordeling, ernst en impact |
| Binnen 1 maand | Eindrapport met gedetailleerde beschrijving, oorzaak en genomen maatregelen |
5. Welke sancties gelden bij niet-naleving?
Boetes en sancties per categorie
| Essentiële entiteiten | Belangrijke entiteiten | |
|---|---|---|
| Boetes | 10 miljoen euro of 2% van de globale jaaromzet | 7 miljoen euro of 1,4% van de globale jaaromzet |
| Niet-geldelijke sancties | Nalevingsbeschikkingen, bindende instructies, beveiligingsaudits, kennisgeving aan klanten, strafrechtelijke sancties voor management | Nalevingsbeschikkingen, bindende instructies, beveiligingsaudits, kennisgeving aan klanten, strafrechtelijke sancties voor management |
| Toezicht | Actieve controles: externe audits, inspecties, documentatieverzoeken | Toezicht achteraf: actie bij bewijs van niet-naleving |
Lidstaten kunnen bepalen dat boetes niet van toepassing zijn op overheidsinstanties. De andere sancties zijn echter wel van toepassing.
6. Hoe bereidt u uw bedrijf voor op NIS2?
Valt uw organisatie binnen het toepassingsgebied? Dan is het tijd om actie te ondernemen. Volg deze zes stappen:
1. Maak een risicoanalyse. Wat zijn de mogelijke beveiligingsrisico’s? Hoe waarschijnlijk zijn ze? Wat is de potentiële impact? Welke maatregelen treft u nu al?
2. Update uw beveiligingsbeleid. Pas bestaande maatregelen aan of ontwikkel nieuwe op basis van de risicoanalyse. Voldoe aan de tien basisvereisten van NIS2.
3. Implementeer de beveiligingsmaatregelen. Denk aan sterkere netwerkbeveiliging, strengere toegangscontroles, encryptie en beveiliging van de toeleveringsketen. Een digitaal bezoekersbeheersysteem kan hierbij aanzienlijk helpen: het geeft controle over bezoekersbeheer, beveiligt persoonlijke informatie en vereenvoudigt incidentrapportage.
4. Ontwikkel procedures voor het detecteren, monitoren, oplossen en melden van incidenten.
5. Train uw management en personeel. Maak cruciale medewerkers bewust van risico’s en veiligheidsmaatregelen.
6. Bereid u voor op audits en inspecties. Houd duidelijke gegevens bij van beveiligingsbeleid, risicoanalyses, incidentrapporten en nalevingsactiviteiten.
Conclusie
De NIS2-richtlijn is een mijlpaal in het EU-beleid om de cybersecurity te versterken. Het naleven van NIS2 is niet slechts een wettelijke verplichting, maar ook een kans om uw cyberveiligheid te versterken en vertrouwen op te bouwen bij klanten en partners.
Een digitaal bezoekersbeheersysteem speelt hierbij een cruciale rol. Het verbetert de toegangscontrole, beschermt persoonsgegevens, houdt nauwkeurige logs bij van bezoekersactiviteiten en vereenvoudigt - in geval van een beveiligingsincident - het incidentmanagement en de rapportage.
Om een idee te krijgen van hoe digitaal bezoekersbeheer uw bedrijf kan helpen, kunt u Vizito 14 dagen gratis uitproberen. Chat met ons of boek een demo om te ontdekken hoe Vizito uw receptie kan verbeteren.
Recente blog posts
Probeer Vizito gratis
Start uw gratis proefperiode
Schrijf u in binnen enkele seconden - geen creditcard vereist.
Doorgaan met Microsoft Doorgaan met Googleof
