Contact
Chubb countries - mobile

We leveren onze diensten via een wereldwijd netwerk van meer dan 12.000 medewerkers, 200+ vestigingen en meer dan 20 alarmcentrales. Samen bieden we op maat gemaakte lokale services, ondersteund door teams van experts, 24/7 per dag, 365 dagen per jaar.

ASIA PACIFIC
EUROPE
NORTH AMERICA

KENNISBANK

NIS2 regelgeving

Contact opnemen Contact opnemen

Wat zijn de fysieke beveiligingsverplichtingen bij NIS 2?

NIS2: De wet verplicht ‘passende maatregelen

De NIS2 is een Europese richtlijn die door de Nederlandse overheid wordt omgezet in nationale wetgeving (de Cyberbeveiligingswet).
Artikel 21 van de richtlijn stelt dat organisaties “passende en evenredige technische, operationele en organisatorische maatregelen” moeten nemen.

Hoewel NIS2 sterk focust op de continuïteit van netwerk- en informatiesystemen, valt fysieke beveiliging hier expliciet onder omdat:

  • Continuïteit: Als je bedrijfspand afbrandt of je hardware wordt gestolen, is je dienstverlening onderbroken. NIS2 eist dat je maatregelen neemt voor bedrijfscontinuïteit.
  • Supply chain security: Je moet ook kijken naar de fysieke veiligheid van je leveranciers (bijvoorbeeld het datacenter waar je servers staan).
  • Toegangscontrole: Ongeautoriseerde fysieke toegang tot kritieke systemen wordt gezien als een groot beveiligingsincident.

Wat betekent NIS2 in de praktijk?

NIS2 duwt cybersecurity uit de “IT-hoek” en zet het neer als bestuursverantwoordelijkheid. Management moet maatregelen goedkeuren, de uitvoering aansturen en kan aansprakelijk worden gehouden bij tekortkomingen.

Voorbeeldsituatie:

Een organisatie levert een dienst die essentieel is (bijv. in de publieke sector of logistiek). Een ransomware-incident legt systemen plat. Onder NIS2 gaat het dan niet alleen om herstel, maar ook om: tijdige melding, bewijs dat je risicobeheersing op orde was en dat je ketenrisico’s beheerst (leveranciers/IT-dienstverleners).

Het belang van fysieke beveiliging naast technische maatregelen

Naast technische maatregelen vraagt fysieke beveiling in een pand de hoogste prioriteit. Heeft een bedrijf of overheidsinstelling de beveiliging niet goed op orde, dan zorgt dit voor een risisco met als gevolg:

  • Diefstal van hardware: Een laptop of externe harde schijf die van een bureau wordt gepakt.
  • Sabotage: Iemand die fysiek een apparaatje (zoals een Keylogger of een malafide wifi-router) in je netwerk prikt.
  • Manipulatie: Een persoon die zich voordoet als een onderhoudsmonteur om toegang te krijgen tot de serverruimte.

Welke beveiligingsmaatregelen kun je concreet treffen?

Welke maatregelen je precies moet nemen, hangt af van je risicoanalyse. Een klein softwarebedrijf op de derde verdieping van een verzamelgebouw heeft andere maatregelen nodig dan een drinkwaterbedrijf of een energiecentrale.

Veelvoorkomende maatregelen zijn:

  • Toegangscontrolesysteem: Toegangsbeheer tot gevoelige locaties en risicovolle gebieden door middel van een pas, code of gezichtsherkenning.
  • Cameratoezicht: Bij in- en uitgangen en kritieke ruimtes.
  • Bezoekersregistratie: Bezoekers niet onbeheerd door het pand laten lopen.
  • Beveiliging van serverruimtes: Een aparte, afgesloten ruimte met extra branddetectie en koeling.
  • Vernietiging van (papieren) data: Papierversnipperaars (shredders) en een veilig proces voor het afvoeren van oude, harde schijven.

Wanneer heeft een bedrijf te maken met NIS2 richtlijnen?

1. Indeling op sector

Om bedrijven in te kunnen schalen werkt de NIS2 richtlijn met sectorlijsten:

  • Annex I: “hoog kritisch”
  • Annex II: “overig kritisch”

Een bedrijf valt onder Annex I of Annex II op basis van bedrijfsactiviteiten (als juridische entiteit), met andere woorden: welke dienst/activiteit levert een bedrijf?

Welke sectoren vallen in Annex I?

Annex I = sectoren met “hoge kriticiteit”. Denk aan organisaties die direct vitale maatschappelijke/economische functies leveren, zoals:

  • Energie (elektriciteit, gas, waterstof, olie, stadsverwarming/-koeling)
  • Transport (lucht, rail, water, weg)
  • Banking & financiële marktinfrastructuur
  • Gezondheidszorg (incl. bepaalde farmaceutische/medische ketens)
  • Drinkwater en afvalwater
  • Digitale infrastructuur (datacenters, cloud, telecomnetwerken/-diensten)
  • ICT-dienstverlening
  • Ruimtevaart
  • (Bepaalde) overheidsorganisaties

Kort gezegd: als je primaire dienstverlening “onder de motorkap van de samenleving” zit (energie, zorg, telecom/cloud, transport), dan valt een bedrijf vaak in Annex I.

Welke sectoren vallen in Annex II?

Annex II = “overige kritieke sectoren”. Dit zijn sectoren die óók grote impact kunnen hebben, maar doorgaans iets indirecter:

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Chemische productie/handel
  • Voedselproductie, -verwerking en -distributie
  • Maakindustrie
  • Digitale aanbieders (online marktplaatsen, zoekmachines, social platforms)
  • Onderzoeksorganisaties

Kort gezegd: als je een kritieke keten ondersteunt (chemie, food, manufacturing, logistieke diensten, platforms), dan valt een bedrijf vaak in Annex II.

2. Indeling op bedrijfsgrootte en omzet

Naast een inschaling in Annex I of Annex II wordt een bedrijf ook beoordeeld op bedrijfsgrootte en omzet.

Een praktische eerste check is:

  • ≥ 50 medewerkers of > €10 mln omzet/balanstotaal
  • ≥ 250 medewerkers of > €50 mln omzet én > €43 mln balanstotaal

Let op: NIS2 kent uitzonderingen en specifieke typen organisaties die (ongeacht grootte) kunnen meetellen. Gebruik dit dus als startpunt, niet als eindconclusie.

Meldplicht: welke termijnen moet je halen?

Bij een significant incident gelden is een bedrijf verplicht gefaseerde te melden:

  • Binnen 24 uur: vroege waarschuwing
  • Binnen 72 uur: incidentmelding met eerste inschatting impact/severity
  • Binnen 1 maand: eindrapport (of voortgang + eindrapport bij lopend incident)

FAQ over de NIS2-richtlijn

Wat is het verschil tussen NIS2 en NIS1?

NIS2 vervangt NIS1 en breidt de omvang uit naar meer sectoren en organisaties, met scherpere eisen voor bestuur, risicobeheersing en toezicht en controle.
inklappen
Wanneer moet je als bedrijf NIS2 richtlijnen opvolgen?

In de basis als het bedrijf actief is in een sector uit Annex I/II en het bedrijf middelgroot of groot is (met uitzonderingen). Een eerste indicatie is sector + drempels (50+ medewerkers/€10 mln).
inklappen
Wat zijn de fysieke beveiligingsverplichtingen bij NIS 2?

Hoewel NIS2 sterk focust op de continuïteit van netwerk- en informatiesystemen, valt fysieke beveiliging hier expliciet onder omdat:

  • Continuïteit: Als je bedrijfspand afbrandt of je hardware wordt gestolen, is je dienstverlening onderbroken. NIS2 eist dat je maatregelen neemt voor bedrijfscontinuïteit.
  • Supply chain security: Je moet ook kijken naar de fysieke veiligheid van je leveranciers (bijvoorbeeld het datacenter waar je servers staan).
  • Toegangscontrole: Ongeautoriseerde fysieke toegang tot kritieke systemen wordt gezien als een groot beveiligingsincident.
inklappen
Welke beveiligingsmaatregelen kun je concreet treffen?

Welke maatregelen je precies moet nemen, hangt af van je risicoanalyse. Een klein softwarebedrijf op de derde verdieping van een verzamelgebouw heeft andere maatregelen nodig dan een drinkwaterbedrijf of een energiecentrale.

Veelvoorkomende maatregelen zijn:

  • Toegangscontrolesysteem: Toegangsbeheer tot gevoelige locaties en risicovolle gebieden door middel van een pas, code of gezichtsherkenning.
  • Cameratoezicht: Bij in- en uitgangen en kritieke ruimtes.
  • Bezoekersregistratie: Bezoekers niet onbeheerd door het pand laten lopen.
  • Beveiliging van serverruimtes: Een aparte, afgesloten ruimte met extra branddetectie en koeling.
  • Vernietiging van (papieren) data: Papierversnipperaars (shredders) en een veilig proces voor het afvoeren van oude, harde schijven.
inklappen
Wat moet een bedrijf minimaal hebben geregeld?

Een set cybersecurity-risicobeheersmaatregelen (beleid, incidentrespons, continuïteit, ketenbeveiliging, kwetsbaarhedenbeheer, MFA, training, etc.) én toezicht (goedkeuring/toezicht door management).
inklappen
Wat zijn de meldtermijnen bij een significant incident?

Vroege waarschuwing binnen 24 uur, incidentmelding binnen 72 uur, eindrapport binnen 1 maand (met voortgangsrapport bij lopende incidenten).
inklappen
Hoe zit het in Nederland met de Cyberbeveiligingswet (Cbw)?

Nederland implementeert NIS2 via de Cyberbeveiligingswet. Het wetsvoorstel is ingediend (4 juni 2025) en de overheid geeft aan dat implementatie vertraagd is; intussen geldt voor huidige doelgroepen de Wbni en kun je je alvast voorbereiden op Cbw-verplichtingen.
inklappen
Welke boetes kunnen worden opgelegd?

De Europese Commissie noemt als minimumkader voor maximale boetes: voor essentiële entiteiten minimaal €10 mln of 2% wereldwijde omzet; voor belangrijke entiteiten minimaal €7 mln of 1,4% wereldwijde omzet (afhankelijk van nationale uitwerking).
inklappen

Kies voor de juiste oplossing
Vooraf registreren en bezoekerspassen aanmaken met toegangscontrole in de cloud
Vooraf registreren en bezoekerspassen aanmaken met toegangscontrole in de cloud

Toegangscontrole systemen Toegangscontrole systemen

camera-profielherkenning
camera-profielherkenning

Slimme camerabeveiliging Slimme camerabeveiliging

alarmafhandeling-alarmcentralediensten
alarmafhandeling-alarmcentralediensten

Alarmcentralediensten Alarmcentralediensten

Contact Phone
Trots op het sterker en veiliger maken van bedrijven.

We leveren onze diensten via een wereldwijd netwerk van meer dan 12.000 medewerkers, 200+ vestigingen en meer dan 20 alarmcentrales. Samen bieden we op maat gemaakte lokale services, ondersteund door teams van experts, 24/7 per dag, 365 dagen per jaar.

Meer over Chubb Meer over Chubb
Global Organisation
Worldwide
North America
Canada
Middle East
Dubai
Europe
Austria
Belgium
France
Germany
Ireland
Spain
Netherlands
United Kingdom
Switzerland
Asia Pacific
Australia
China
Hong Kong SAR
India
New Zealand
Singapore
Macau SAR