NIS2-compliancestatistieken 2026: 50+ feiten over reikwijdte, boetes en gereedheid
De NIS2-richtlijn is de meest ingrijpende herziening van cybersecurityregelgeving in de geschiedenis van de Europese Unie. Ze vervangt de oorspronkelijke NIS-richtlijn uit 2016 en breidt de reikwijdte uit van enkele honderden aanbieders van essentiële diensten per lidstaat tot naar schatting 160.000 entiteiten in de gehele EU.
Deze pagina bundelt geverifieerde statistieken over de reikwijdte, omzettingsstatus, sanctiekader, nalevingsgereedheid, kosten en het bredere cybersecuritylandschap dat NIS2 beoogt aan te pakken. Elk cijfer is afkomstig van officiële EU-agentschappen, toezichthouders en geverifieerde brancherapporten.
Reikwijdte en omvang van NIS2
NIS2 heeft het aantal organisaties dat onder EU-cybersecurityvereisten valt drastisch uitgebreid. De oorspronkelijke NIS-richtlijn had betrekking op een beperkte groep aanbieders van essentiële diensten. NIS2 is van toepassing op elke middelgrote of grote onderneming die actief is in 18 aangewezen sectoren.
| Statistiek | Bron |
|---|---|
| ~160.000 entiteiten in de EU vallen onder de reikwijdte van NIS2 | European Commission Impact Assessment |
| 18 sectoren gedekt (11 essentieel + 7 belangrijk) | NIS2-richtlijn, Bijlagen I en II |
| Van toepassing op middelgrote ondernemingen (50+ werknemers of EUR 10M+ omzet) en grote ondernemingen (250+ werknemers of EUR 50M+ omzet) | European Commission NIS2 FAQ |
| Duitsland alleen: ~29.500+ getroffen bedrijven | BSI-schatting, via DLA Piper |
| Finland: reikwijdte uitgebreid van ~1.100 entiteiten onder NIS1 naar ~5.500 onder NIS2 (5x toename) | Secomea NIS2 country tracker |
11 sectoren van hoge kritikaliteit (Bijlage I - Essentiële entiteiten)
- Energie (elektriciteit, olie, gas, waterstof, stadsverwarming)
- Vervoer (lucht, spoor, water, weg)
- Bankwezen
- Infrastructuur voor de financiële markt
- Gezondheidszorg (ziekenhuizen, laboratoria, farmaceutische bedrijven, medische hulpmiddelen)
- Drinkwater
- Afvalwater
- Digitale infrastructuur (IXP's, DNS, TLD-registers, cloud, datacentra, CDN's)
- ICT-dienstverlening (B2B - managed service providers, managed security service providers)
- Overheid (centrale overheid)
- Ruimtevaart
7 andere kritieke sectoren (Bijlage II - Belangrijke entiteiten)
- Post- en koeriersdiensten
- Afvalbeheer
- Chemische stoffen (productie, fabricage, distributie)
- Levensmiddelen (productie, verwerking, distributie)
- Maakindustrie (medische hulpmiddelen, computers, elektronica, machines, motorvoertuigen)
- Digitale aanbieders (onlinemarktplaatsen, zoekmachines, sociale netwerken)
- Onderzoeksorganisaties
Omzettingsstatus van NIS2
De deadline voor EU-lidstaten om NIS2 in nationale wetgeving om te zetten was 17 oktober 2024. De meerderheid van de lidstaten heeft deze deadline niet gehaald.
| Statistiek | Bron |
|---|---|
| 20 van de 27 EU-lidstaten hadden de omzetting voltooid per 1 januari 2026 | Wavestone NIS2 Transposition Tracker |
| Op 7 mei 2025 stuurde de Europese Commissie met redenen omklede adviezen aan 19 lidstaten wegens het niet melden van volledige omzetting | Skadden; Goodwin Law |
| Omzettingsdeadline: 17 oktober 2024 | NIS2-richtlijn, Artikel 41 |
Landen die NIS2 volledig hebben omgezet
| Land | Datum van omzetting |
|---|---|
| Kroatië | 15 februari 2024 (eerste) |
| Letland | 1 september 2024 |
| België | 18 oktober 2024 |
| Italië | 16 oktober 2024 |
| Litouwen | 17 oktober 2024 |
| Griekenland | 27 november 2024 |
| Slowakije | 1 januari 2025 |
| Hongarije | Januari 2025 |
| Slovenië | 19 juni 2025 |
| Tsjechië | 1 november 2025 |
| Duitsland | 6 december 2025 |
Bron: Wavestone NIS2 Transposition Tracker (per januari 2026)
Landen met goedgekeurde wetgeving maar openstaand kader
Zweden, Denemarken, Oostenrijk, Portugal, Malta, Finland, Estland, Roemenië, Cyprus (9 landen)
Landen nog in conceptfase
Luxemburg, Frankrijk, Spanje, Nederland, Polen, Bulgarije (6 landen)
Bron: Wavestone NIS2 Transposition Tracker
NIS2-sancties en boetes
NIS2 introduceert een getrapt sanctiekader op basis van de classificatie van entiteiten. In tegenstelling tot de AVG, die één maximum kent, maakt NIS2 onderscheid tussen essentiële en belangrijke entiteiten.
| Type entiteit | Maximale boete | Bron |
|---|---|---|
| Essentiële entiteiten | EUR 10.000.000 of 2% van de wereldwijde jaaromzet (het hoogste bedrag geldt) | NIS2-richtlijn, Artikel 34 |
| Belangrijke entiteiten | EUR 7.000.000 of 1,4% van de wereldwijde jaaromzet (het hoogste bedrag geldt) | NIS2-richtlijn, Artikel 34 |
| Lidstaten mogen boetes boven deze drempels vaststellen, maar niet eronder | NIS2-richtlijn, Artikel 34 |
NIS2 vs AVG: vergelijking van sancties
| Regelgeving | Maximale boete | Omzetdrempel |
|---|---|---|
| AVG | EUR 20.000.000 | 4% van de wereldwijde omzet |
| NIS2 (essentiële entiteiten) | EUR 10.000.000 | 2% van de wereldwijde omzet |
| NIS2 (belangrijke entiteiten) | EUR 7.000.000 | 1,4% van de wereldwijde omzet |
Persoonlijke aansprakelijkheid voor het management
NIS2 introduceert directe verantwoordingsplicht voor bestuursorganen. Bestuursleden en senior leidinggevenden kunnen persoonlijk aansprakelijk worden gesteld voor niet-naleving. Bij ernstige nalatigheid kunnen bevoegde autoriteiten een tijdelijk verbod opleggen aan personen om leidinggevende functies uit te oefenen.
Bron: DLA Piper NIS2 Directors' Personal Liability Analysis
NIS2-nalevingsgereedheid
Gegevens over nalevingsgereedheid schetsen een zorgwekkend beeld. Aanzienlijke delen van de getroffen organisaties zijn zich niet bewust van NIS2 of zijn niet voorbereid op de vereisten.
| Statistiek | Bron |
|---|---|
| 38% van de productie-entiteiten is niet op de hoogte van NIS2 | ENISA NIS Investments 2024 |
| 40% van de afvalwaterbeheerentiteiten is niet op de hoogte van NIS2 | ENISA NIS Investments 2024 |
| 89% van de organisaties zegt aanvullend personeel nodig te hebben voor NIS2-compliance | ENISA NIS Investments 2024 |
| 30% van de organisaties heeft in de afgelopen 12 maanden geen beveiligingsbeoordeling gehad | ENISA NIS Investments 2025 |
| 63% van de MKB-bedrijven heeft geen beveiligingsbeoordeling gehad | ENISA NIS Investments 2025 |
| 28% van de organisaties heeft 3+ maanden nodig om kritieke kwetsbaarheden te patchen | ENISA NIS Investments 2025 |
| 50%+ van de MKB-bedrijven heeft 3+ maanden nodig om kritieke systemen te patchen | ENISA NIS Investments 2025 |
| 43% van de ICT-dienstverleners heeft geen beveiligingstestprogramma | ENISA NIS Investments 2025 |
| 82% van de organisaties rapporteerde een positieve cybersecurity-impact van NIS1-compliance | WALLIX, met verwijzing naar ENISA-onderzoek |
Kosten van NIS2-compliance
De kosten van het implementeren van NIS2 variëren aanzienlijk op basis van de omvang van de entiteit, bestaande volwassenheid en sector. De impactbeoordeling van de Europese Commissie en onafhankelijke analyses bieden de volgende schattingen.
| Statistiek | Bron |
|---|---|
| EU-brede totale implementatiekosten: EUR 31,2 miljard per jaar (0,31% van de omzet van getroffen sectoren) | Frontier Economics |
| Essentiële entiteiten die al NIS1-compliant zijn: ~EUR 107.000 gemiddelde aanpassingskosten | Tarlogic |
| Belangrijke entiteiten die vanaf nul beginnen: ~EUR 180.000 gemiddelde kosten | Tarlogic |
| Belangrijke entiteiten met 27% bestaande implementatie: ~EUR 131.000 gemiddelde kosten | Tarlogic |
| Bedrijven zullen naar verwachting hun cybersecurityuitgaven in de eerste jaren met maximaal 22% verhogen | ENISA-impactbeoordeling, via WALLIX |
| Mediaan EU-cybersecuritybudget (2025): EUR 1,5 miljoen | ENISA NIS Investments 2025 |
| Aandeel IT-budget voor cybersecurity: 9% in 2023, gestegen van 7,1% in 2022 | ENISA NIS Investments 2024 |
| Mediaan informatiebeveiligingsbudget verdubbeld van EUR 0,7M naar EUR 1,4M tussen 2022 en 2023 | ENISA NIS Investments 2024 |
| 70% van de organisaties noemt regelgevende compliance als belangrijkste investeringsreden | ENISA NIS Investments 2025 |
| 34% van de MKB-bedrijven kan geen aanvullend budget aanvragen voor NIS2-compliance | ENISA NIS Investments 2025 |
Vereisten voor incidentmelding onder NIS2
NIS2 introduceert een driefasig kader voor incidentmelding met strikte tijdlijnen, waarmee de vereisten van de oorspronkelijke NIS-richtlijn aanzienlijk worden aangescherpt.
| Meldingsfase | Deadline | Doel |
|---|---|---|
| Vroegtijdige waarschuwing | Binnen 24 uur na kennisname | Eerste melding aan de bevoegde autoriteit |
| Volledige melding | Binnen 72 uur | Gedetailleerde beoordeling van ernst en impact |
| Eindrapport | Binnen 1 maand | Analyse van de grondoorzaak, mitigatie, grensoverschrijdende impact |
Bron: NIS2-richtlijn, Artikel 23
Incidentstatistieken onder NIS1
| Statistiek | Bron |
|---|---|
| 188 incidenten gemeld door nationale autoriteiten uit 26 EU-lidstaten en 2 EVA-landen (jaarlijkse samenvatting 2024) | ENISA CIRAS |
| 55% van de entiteiten voor digitale infrastructuur die onder nationale meldingsplicht vallen, had geen meldingsplichtige incidenten | ENISA NIS Investments 2024 |
Sectorvolwassenheid onder NIS2
ENISA's NIS360-beoordeling brengt sectoren in kaart op basis van hun cybersecurityvolwassenheid in verhouding tot hun kritikaliteit. Dit onthult welke sectoren het grootste risico lopen op niet-naleving.
Meest volwassen sectoren (volwassenheid komt overeen met kritikaliteit)
- Elektriciteit
- Telecommunicatie
- Bankwezen
Sectoren in de "risicozone" (kritikaliteit overtreft volwassenheid)
- ICT-dienstverlening
- Ruimtevaart
- Overheidsinstellingen
- Maritiem vervoer
- Gezondheidszorg
- Gas
Bron: ENISA NIS360 2024
Toezichtmodel
| Type entiteit | Toezichtbenadering |
|---|---|
| Essentiële entiteiten | Proactief (ex-ante) en reactief (ex-post) toezicht |
| Belangrijke entiteiten | Alleen reactief toezicht (ex-post - alleen na een incident of bewijs van niet-naleving) |
Bron: European Commission NIS2 FAQ
EU-cyberdreigingslandschap
De volgende statistieken uit ENISA's Threat Landscape-rapport geven context voor waarom NIS2 noodzakelijk was.
| Statistiek | Bron |
|---|---|
| 4.875 cybersecurity-incidenten geanalyseerd tussen juli 2024 en juni 2025 | ENISA Threat Landscape 2025 |
| DDoS en hacktivisme zijn verantwoordelijk voor ~80% van alle geregistreerde incidenten | ENISA Threat Landscape 2025 |
| Slechts 2% van de hacktivistische DDoS-aanvallen resulteerde in daadwerkelijke dienstverstoring | ENISA Threat Landscape 2025 |
| Phishing is verantwoordelijk voor ~60% van alle inbraakpogingen | ENISA Threat Landscape 2025 |
| 80%+ van de phishingcampagnes maakt nu gebruik van AI-gegenereerde of AI-verbeterde inhoud | ENISA Threat Landscape 2025 |
| 53,7% van de incidenten was gericht op essentiële entiteiten zoals gedefinieerd door NIS2 | ENISA Threat Landscape 2025 |
| 42.595 nieuwe kwetsbaarheden onthuld - een stijging van 27% ten opzichte van het voorgaande jaar | ENISA Threat Landscape 2025 |
| 82 ransomwarevarianten ingezet tegen EU-organisaties | ENISA Threat Landscape 2025 |
| Top 3 ransomwarevarianten: Akira (11,6%), SafePay (10,1%), Qilin (7,5%) | ENISA Threat Landscape 2025 |
| 90% van de organisaties verwachtte meer cyberaanvallen in 2024 | ENISA NIS Investments 2024 |
Meest getroffen sectoren
| Sector | Aandeel in incidenten |
|---|---|
| Overheid | 19% |
| Vervoer | 11% |
| Financiën | 9% |
| Digitale infrastructuur | 8% |
Bron: ENISA Threat Landscape 2025
Toeleveringsketenbeveiliging onder NIS2
NIS2 schrijft toeleveringsketenbeveiliging voor als een van de 10 verplichte risicobeheersmaatregelen onder Artikel 21. Dit weerspiegelt de groeiende dreiging van aanvallen via de toeleveringsketen in heel Europa.
| Statistiek | Bron |
|---|---|
| 90% van de organisaties beweert praktijken voor risicobeheer van de toeleveringsketen te hebben | ENISA NIS Investments 2025 |
| 47% van de organisaties vreest compromittering via derden als een van de grootste toekomstige bedreigingen | ENISA NIS Investments 2025 |
| Kwetsbaarheidsexploitatie is verantwoordelijk voor 21% van de incidenten, veelal via toeleveringsketencomponenten | ENISA Threat Landscape 2025 |
Cybersecuritypersoneel in de EU
NIS2-compliance vereist gekwalificeerde cybersecurityprofessionals. Het huidige tekort aan talent in heel Europa maakt dit een van de meest uitdagende aspecten van compliance.
| Statistiek | Bron |
|---|---|
| EU-cybersecurityvaardigheidstekort: 299.000 professionals | ENISA NIS Investments 2025 |
| Europa heeft ~1,4 miljoen cybersecurityprofessionals maar heeft ~1,8 miljoen nodig (tekort van ~424.000) | Source Group International |
| 75% van de organisaties heeft moeite om cybersecuritytalent aan te trekken | ENISA NIS Investments 2025 |
| 71% van de organisaties heeft moeite om cybersecuritypersoneel te behouden | ENISA NIS Investments 2025 |
| 76% van het cybersecuritypersoneel mist formele kwalificaties of gecertificeerde training | ENISA NIS Investments 2024 |
| 59% van de MKB-bedrijven heeft moeite om cybersecuritytalent te werven | ENISA NIS Investments 2024 |
| Verhouding cybersecurity- tot IT-personeel: 10,6% | ENISA NIS Investments 2025 |
| IT-FTE's gewijd aan cybersecurity: 11,1% (4e achtereenvolgende jaar van daling) | ENISA NIS Investments 2024 |
| Verwacht tekort aan cybersecuritypersoneel in Duitsland: tot 106.000 medewerkers | Net Group |
| Wereldwijd tekort aan cybersecuritypersoneel: 4,8 miljoen onvervulde functies (2024), een stijging van 19% ten opzichte van het voorgaande jaar | ISC2 |
| 52% van de organisaties zegt dat de voornaamste zorg is "niet het juiste personeel hebben" tegenover 48% die zegt "niet genoeg personeel hebben" | ISC2 |
NIS2: 10 minimale beveiligingsmaatregelen
Artikel 21 van de NIS2-richtlijn vereist dat entiteiten ten minste deze 10 categorieën beveiligingsmaatregelen implementeren:
- Beleid inzake risicoanalyse en beveiliging van informatiesystemen
- Procedures voor incidentafhandeling
- Bedrijfscontinuïteit en crisisbeheer (inclusief back-upbeheer en noodherstel)
- Beveiliging van de toeleveringsketen (inclusief beveiligingsgerelateerde aspecten van de relaties tussen entiteiten en hun directe leveranciers of dienstverleners)
- Beveiliging bij de aanschaf, ontwikkeling en het onderhoud van netwerk- en informatiesystemen (inclusief afhandeling en openbaarmaking van kwetsbaarheden)
- Beleid en procedures om de effectiviteit van cybersecurityrisicobeheersmaatregelen te beoordelen
- Basispraktijken voor cyberhygiëne en cybersecuritytraining
- Beleid en procedures met betrekking tot het gebruik van cryptografie en, waar passend, versleuteling
- Beveiliging van personeel, toegangscontrolebeleid en beheer van bedrijfsmiddelen
- Het gebruik van multifactorauthenticatie of oplossingen voor continue authenticatie, beveiligde spraak-, video- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen
Bron: NIS2-richtlijn, Artikel 21(2)
Belangrijke NIS2-data en tijdlijn
| Datum | Gebeurtenis |
|---|---|
| 27 december 2022 | NIS2 gepubliceerd in het Publicatieblad van de Europese Unie |
| 16 januari 2023 | NIS2 in werking getreden |
| 17 oktober 2024 | Deadline voor lidstaten om NIS2 in nationale wetgeving om te zetten |
| 18 oktober 2024 | NIS2 werd van toepassing in lidstaten die op tijd hadden omgezet |
| 7 mei 2025 | Europese Commissie stuurde met redenen omklede adviezen aan 19 niet-conforme lidstaten |
| 17 april 2025 | Deadline voor lidstaten om een lijst van essentiële en belangrijke entiteiten op te stellen |
Veelgestelde vragen
V: Hoeveel bedrijven vallen onder NIS2?
A: De Europese Commissie schat dat ongeveer 160.000 entiteiten in de EU onder de reikwijdte van NIS2 vallen. Dit omvat middelgrote ondernemingen met 50+ werknemers of EUR 10M+ omzet en grote ondernemingen met 250+ werknemers of EUR 50M+ omzet die actief zijn in een van de 18 aangewezen sectoren.
V: Wat zijn de maximale NIS2-boetes?
A: Essentiële entiteiten riskeren boetes tot EUR 10.000.000 of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Belangrijke entiteiten riskeren boetes tot EUR 7.000.000 of 1,4% van de wereldwijde jaaromzet. Lidstaten mogen hogere maximumboetes vaststellen in hun nationale omzetting.
V: Welke EU-landen hebben NIS2 geïmplementeerd?
A: Per januari 2026 hebben 20 van de 27 EU-lidstaten de NIS2-omzetting voltooid. Kroatië was het eerste land (februari 2024), gevolgd door Letland, België, Italië, Litouwen, Griekenland, Slowakije, Hongarije, Slovenië, Tsjechië en Duitsland. Zes landen bevinden zich nog in de conceptfase, waaronder Frankrijk, Spanje en Nederland.
V: Hoeveel kost NIS2-compliance?
A: De kosten variëren aanzienlijk op basis van de omvang van de entiteit en de bestaande volwassenheid. Entiteiten die al aan NIS1 voldeden, besteden mogelijk circa EUR 107.000 aan aanpassingen. Belangrijke entiteiten die vanaf nul beginnen, worden geconfronteerd met gemiddelde kosten van ongeveer EUR 180.000. De EU-brede totale implementatiekosten worden geschat op EUR 31,2 miljard per jaar.
V: Wat zijn de NIS2-deadlines voor incidentmelding?
A: NIS2 vereist een driefasige aanpak: een vroegtijdige waarschuwing binnen 24 uur na kennisname van een significant incident, een volledige melding binnen 72 uur met een beoordeling van de ernst en impact, en een eindrapport binnen een maand met een analyse van de grondoorzaak en mitigatiemaatregelen.
V: Kunnen bestuursleden persoonlijk aansprakelijk worden gesteld onder NIS2?
A: Ja. NIS2 introduceert directe verantwoordingsplicht voor bestuursorganen. Bestuursleden en senior leidinggevenden kunnen persoonlijk aansprakelijk worden gesteld voor niet-naleving van cybersecurityrisicobeheerverplichtingen. Bij ernstige nalatigheid kunnen autoriteiten een tijdelijk verbod opleggen aan personen om leidinggevende functies uit te oefenen.
Alle statistieken op deze pagina zijn afkomstig van officiële EU-agentschappen, toezichthouders en geverifieerde brancherapporten. Primaire bronnen omvatten ENISA NIS Investments Reports (2024, 2025), ENISA Threat Landscape 2025, ENISA NIS360 2024, de European Commission NIS2 FAQ, Wavestone NIS2 Transposition Tracker, Frontier Economics, ISC2 en de tekst van de NIS2-richtlijn. Deze pagina wordt regelmatig bijgewerkt wanneer nieuwe gegevens beschikbaar komen.
Laatst bijgewerkt: maart 2026