What is the NIS2 Directive?

NIS2 (Directive 2022/2555) is the EU's updated cybersecurity regulation. It replaces the original NIS Directive and significantly expands the scope of organisations that must comply with cybersecurity requirements. It covers essential and important entities across 18 sectors.

When is the NIS2 deadline?

NIS2 entered into force on January 16, 2023. Member states had until October 17, 2024 to transpose it into national law. Many countries missed this deadline — Germany's NIS2UmsuCG entered into force on December 6, 2025. Affected entities must comply from the date their national law takes effect.

Who is affected by NIS2?

NIS2 applies to essential entities (energy, transport, banking, health, water, digital infrastructure, ICT service management, public administration, space) and important entities (postal services, waste management, chemicals, food, manufacturing, digital providers, research). Generally: organisations with 50+ employees or €10M+ annual turnover in these sectors.

What are the penalties for NIS2 non-compliance?

Essential entities face fines up to €10 million or 2% of global annual turnover (whichever is higher). Important entities face fines up to €7 million or 1.4% of global annual turnover. Management can be held personally liable.

What does NIS2 require for websites and digital services?

NIS2 Art. 21 requires risk-based security measures including: encryption in transit (HTTPS/TLS), access control, incident detection and reporting (24h early warning, 72h notification), supply chain security, business continuity, and regular security assessments. SiteGuardian monitors these technical requirements continuously.

EU-richtlijn 2022/2555

NIS2-compliance.
Continue monitoring, gedocumenteerd bewijs.

De NIS2-richtlijn verplicht organisaties in 18 sectoren om cyberbeveiligingsmaatregelen te implementeren — op straffe van boetes tot € 10 miljoen. Nationale wetten treden nu in werking in de hele EU.

EU-richtlijn

Van kracht

Sinds 16 januari 2023

Nationale omzetting

Lopend

Deadline was 17 oktober 2024

Duitsland (NIS2UmsuCG)

Van kracht

Sinds 6 december 2025

Getroffen entiteiten moeten voldoen vanaf de datum dat hun nationale wet van kracht wordt. Controleer de omzettingsstatus van uw land.

Scan nu uw website Controleer welke regels van toepassing zijn

Is NIS2 op u van toepassing?

NIS2 is van toepassing op essentiële en belangrijke entiteiten in 18 sectoren. Als uw organisatie meer dan 50 werknemers of een omzet van meer dan €10 mln. heeft in een van deze sectoren, valt u waarschijnlijk onder de regeling.

Energie

Essentieel

Transport

Essentieel

Banken

Essentieel

Gezondheid

Essentieel

Digitale infrastructuur

Essentieel

ICT-diensten

Essentieel

Chemie

Belangrijk

Productie

Belangrijk

Postdiensten

Belangrijk

Cloud / SaaS

Belangrijk

Voeding

Belangrijk

Onderzoek

Belangrijk

De kosten van non-compliance

Essentiële entiteiten

€10M

of 2% van de wereldwijde jaaromzet

afhankelijk van welk bedrag hoger is

Belangrijke entiteiten

€7M

of 1,4% van de wereldwijde jaaromzet

afhankelijk van welk bedrag hoger is

Het management kan persoonlijk aansprakelijk worden gesteld op grond van NIS2 Art. 20.

Wat NIS2 vereist — en wat SiteGuardian monitort

NIS2 Art. 21 definieert 10 maatregelen voor cyberbeveiligingsrisicobeheer. SiteGuardian monitort continu de technische maatregelen.

Art. 21(2)(a)

Risicoanalyse en beveiligingsbeleid

Gemonitord

SiteGuardian biedt continue beveiligingspostuur-scoring, DNSSEC-validatie, controle op kwetsbaarheidsmelding (security.txt), verberging van serverversie en een onveranderbaar auditspoor met hash-keten manipulatiedetectie.

Art. 21(2)(b)

Incidentafhandeling

Gemonitord

SiteGuardian detecteert incidenten in realtime, ondersteunt NIS2-conforme meldingsworkflows (24u vroegtijdige waarschuwing, 72u melding, 30-dagen eindrapport) en genereert vooraf ingevulde incidentrapporten voor uw nationale CSIRT.

Art. 21(2)(c)

Bedrijfscontinuïteit

SiteGuardian bewaakt de beschikbaarheid vanuit meerdere regio's en waarschuwt bij uitval. Backupbeheer, disaster-recovery-plannen en crisisbeheer vereisen organisatorische maatregelen.

Art. 21(2)(d)

Toeleveringsketenbeveiliging

Gemonitord

SiteGuardian classificeert monitors in eigen infrastructuur, leveranciers en partners. Het beoordeelt de beveiligingspostuur van leveranciers, verifieert DMARC/SPF/DKIM-handhaving en volgt concentratierisico's in de toeleveringsketen over 5 volwassenheidsniveaus.

Art. 21(2)(e)

Veilige ontwikkeling

SiteGuardian bewaakt de kwaliteit van het Content Security Policy, detecteert unsafe-inline/unsafe-eval-richtlijnen en controleert beveiligingsheaders tegen injectie-aanvallen. Veilige SDLC-processen vereisen organisatorische maatregelen.

Art. 21(2)(f)

Effectiviteitsbeoordeling

Gemonitord

SiteGuardian volgt uw compliancescore in de tijd, genereert 90-dagen trendrapportages en biedt voor/na-vergelijkingen om de effectiviteit van uw beveiligingsverbeteringen te meten.

Art. 21(2)(g)

Cyberhygiëne en training

Gemonitord

SiteGuardian bewaakt continu de technische cyberhygiëne: HTTPS-handhaving, HSTS, beveiligingsheaders, MFA en DNS-hardening. Trainings- en bewustwordingsprogramma's vereisen organisatorische maatregelen buiten geautomatiseerde monitoring.

Art. 21(2)(h)

Cryptografie en versleuteling

Gemonitord

SiteGuardian valideert TLS 1.2+-handhaving, detecteert verouderde protocollen en zwakke ciphersuites, controleert forward secrecy (PFS), bewaakt SSL-certificaatgeldigheid en verifieert HSTS-preload-gereedheid.

Art. 21(2)(i)

Toegangsbeheer en assetmanagement

SiteGuardian verplicht MFA (TOTP/SSO) op alle accounts, biedt rolgebaseerde toegangscontrole en onderhoudt een asset-inventaris van alle bewaakte diensten. HR-beveiligingsbeleid vereist organisatorische maatregelen.

Art. 21(2)(j)

Multifactorauthenticatie

Gemonitord

SiteGuardian vereist TOTP of Google SSO voor platformtoegang, bewaakt de MFA-status van alle teamleden en verifieert versleutelde communicatiekanalen (TLS, DANE, MTA-STS) voor e-mailtransport.

Begin vandaag met voorbereiden

Scan uw website om te zien waar u staat. SiteGuardian koppelt elke bevinding aan NIS2-artikelen — zodat u precies weet wat u moet oplossen.

Gratis beveiligingsscan Compliance-abonnementen bekijken

Voor altijd gratis voor 1 monitor. Geen creditcard vereist.

Veelgestelde vragen

Wat is de NIS2-richtlijn?

NIS2 (Richtlijn 2022/2555) is de geactualiseerde EU-cyberbeveiligingsverordening die de oorspronkelijke NIS-richtlijn vervangt. De richtlijn breidt het toepassingsgebied aanzienlijk uit naar 18 sectoren en introduceert strengere vereisten voor incidentmelding, risicobeheer en toeleveringsketenbeveiliging.

Wanneer gaat NIS2 in?

NIS2 trad in werking op 16 januari 2023. Lidstaten hadden tot 17 oktober 2024 om het om te zetten in nationaal recht. Veel landen misten deze deadline — de Duitse NIS2UmsuCG trad in werking op 6 december 2025. Getroffen entiteiten moeten voldoen vanaf de datum dat hun nationale wet van kracht wordt.

Is NIS2 op mijn bedrijf van toepassing?

Als uw organisatie meer dan 50 werknemers of een jaaromzet van meer dan €10 mln. heeft en actief is in een van de 18 genoemde sectoren (energie, transport, bankwezen, gezondheidszorg, digitale infrastructuur, ICT, productie, enz.), valt u waarschijnlijk onder de regeling. Gebruik onze compliance-checktool om het te ontdekken.

Wat zijn de meldingstermijnen?

Volgens NIS2 Art. 23: 24 uur voor een vroegtijdige waarschuwing, 72 uur voor de formele incidentmelding en 1 maand voor het eindrapport. SiteGuardian volgt deze termijnen automatisch wanneer een incident wordt geopend.

Hoe helpt SiteGuardian bij NIS2?

SiteGuardian monitort continu de beveiligingspostuur van uw website (versleuteling, headers, DNS, e-mailauthenticatie) en koppelt bevindingen aan NIS2-artikelen. Bij een incident classificeert het de regelgevingsimpact en volgt het meldingstermijnen. Compliancerapporten documenteren uw maatregelen voor auditors.

NIS2-compliance. Continue monitoring, gedocumenteerd bewijs.

Is NIS2 op u van toepassing?

De kosten van non-compliance

Wat NIS2 vereist — en wat SiteGuardian monitort

Risicoanalyse en beveiligingsbeleid

Incidentafhandeling

Bedrijfscontinuïteit

Toeleveringsketenbeveiliging

Veilige ontwikkeling

Effectiviteitsbeoordeling

Cyberhygiëne en training

Cryptografie en versleuteling

Toegangsbeheer en assetmanagement

Multifactorauthenticatie

Begin vandaag met voorbereiden

Veelgestelde vragen

Weet u het zeker?

NIS2-compliance.
Continue monitoring, gedocumenteerd bewijs.