NIS2 voor hostingproviders en hun klanten: wat verandert er concreet

De EU NIS2-richtlijn schaalt cloud- en hostingproviders in als essentiële entiteiten, de zwaarste categorie. Wat dat betekent voor providers, hun klanten en de mogelijke boetes.

De NIS2-richtlijn (voluit Richtlijn (EU) 2022/2555) is de grootste herziening van Europese cybersecuritywetgeving in jaren. Sinds oktober 2024 vervangt ze de originele NIS-richtlijn, en ze plaatst cloudproviders, hostingbedrijven, datacenters, CDN-aanbieders en DNS-providers in de zwaarste risicocategorie: essentiële entiteiten.

Dat is geen administratief detail. Het betekent proactief overheidstoezicht, verplichte incidentmelding binnen 24 uur, persoonlijke aansprakelijkheid voor bestuurders en boetes tot €10 miljoen of 2% van de wereldwijde omzet. En de verplichtingen stoppen niet bij de provider; ze werken door naar klanten via de ketenbeveiligingseisen.

Toch heeft 19 van de 27 EU-lidstaten de richtlijn nog niet volledig omgezet in nationaal recht. Nederland incluis. De verwarring over wie wat moet doen (en wanneer) is begrijpelijk.

TL;DR: NIS2 schaalt hosting- en cloudproviders in als essentiële entiteiten, met de strengste verplichtingen: incidentmelding binnen 24 uur, bestuursverantwoordelijkheid, ketenbeveiligingseisen en boetes tot €10 miljoen of 2% van de wereldwijde omzet. Klanten van NIS2-plichtige providers profiteren van een hoger beveiligingsniveau, maar NIS2-plichtige klanten zullen ook de compliance van hun hostingprovider moeten beoordelen. De Cyberbeveiligingswet ligt nog bij de Tweede Kamer (april 2026).

Inhoudsopgave

Wat NIS2 verandert ten opzichte van NIS1

De eerste NIS-richtlijn uit 2016 had een beperkt bereik (zo'n zeven sectoren) en gaf lidstaten veel vrijheid om zelf te bepalen welke organisaties eronder vielen. Het gevolg: gefragmenteerde implementatie, inconsistente handhaving, en digitale infrastructuur die grotendeels buiten echt toezicht viel.

NIS2 pakt dat aan. Aangenomen op 14 december 2022 en van kracht sinds januari 2023, breidt de richtlijn het bereik uit naar 18 sectoren. Er komt een uniforme omvangsdrempel in plaats van nationale discretie, er gelden minimumboetes, en, dat is nieuw, bestuurders zijn persoonlijk aansprakelijk voor cybersecuritytekortkomingen.

De deadline voor omzetting in nationaal recht was 17 oktober 2024. De meeste lidstaten hebben die gemist. De Europese Commissie stuurde in mei 2025 een met redenen omkleed advies naar 19 landen, met de dreiging van doorverwijzing naar het Europees Hof. Begin 2026 hebben ongeveer 8 tot 10 lidstaten de omzetting afgerond. België draait al sinds oktober 2024. Duitsland volgde in december 2025.

Waarom hostingproviders essentiële entiteiten zijn

NIS2 verdeelt organisaties in twee lagen. Essentiële entiteiten (Bijlage I) vallen onder proactief toezicht: inspecties ter plekke, audits, het volledige pakket. Belangrijke entiteiten (Bijlage II) worden alleen reactief gecontroleerd, dus pas na een incident.

Cloudproviders, datacenterexploitanten, CDN-aanbieders, DNS-providers en managed service providers staan expliciet in Bijlage I onder "digitale infrastructuur." Dat is de essentiële categorie. De logica is duidelijk: als een hostingprovider uitvalt, gaan tientallen of honderden bedrijven mee.

De algemene omvangsdrempel is een middelgrote onderneming of groter, specifiek 50 of meer werknemers, of een jaaromzet boven €10 miljoen. Daaronder ben je in de meeste gevallen vrijgesteld. Maar sommige categorieën vallen er altijd onder, ongeacht grootte: DNS-providers, TLD-registraties, gekwalificeerde vertrouwensdienstverleners en aanbieders van openbare elektronische communicatienetwerken. Een klein DNS-hostingbedrijf met 12 medewerkers? Gewoon in scope.

De belangrijkste verplichtingen

Artikel 21 definieert tien minimale cybersecuritymaatregelen. Voor hostingproviders zijn dit de maatregelen met de meeste operationele impact:

  • Incidentmelding met harde deadlines. Een significant incident (denk aan een volledige service-uitval of datalek) moet binnen 24 uur worden gemeld bij de nationale CSIRT (vroegtijdige waarschuwing), gevolgd door een uitgebreide melding binnen 72 uur en een volledig oorzaakrapport binnen een maand.
  • Ketenbeveiliging. Je moet de cybersecurity van je directe leveranciers beoordelen (hardwareleveranciers, softwareaanbieders, onderaannemers) en beveiligingseisen opnemen in contracten. Deze verplichting werkt twee kanten op: klanten die zelf NIS2-plichtig zijn, gaan jou auditen.
  • Bestuursverantwoordelijkheid. Het bestuur moet cybersecuritymaatregelen formeel goedkeuren, toezien op de uitvoering en zelf cybersecuritytraining volgen. Dit is geen afvinkoefening; bestuurders kunnen persoonlijk aansprakelijk worden gesteld.
  • Multi-factor authenticatie verplicht. Artikel 21(j) eist MFA of continue authenticatie. Geen aanbeveling, maar een verplichting.
  • Kwetsbaarhedenbeheer. Een formeel proces voor het ontdekken, volgen en melden van kwetsbaarheden. Als je managed WordPress-omgevingen draait, raakt dit direct aan hoe je omgaat met pluginkwetsbaarheden en beveiligingsincidenten.

Daar komt bij: voor digitale dienstverleners geldt al Uitvoeringsverordening (EU) 2024/2690, die deze principes vertaalt naar meer dan 150 concrete technische maatregelen. Deze verordening is van kracht sinds november 2024, onafhankelijk van nationale omzetting.

Wat dit betekent voor klanten van hostingproviders

NIS2 creëert een compliance-cascade via de ketenbeveiligingseisen. Als jouw organisatie zelf een NIS2-entiteit is (bijvoorbeeld een zorginstelling, logistiek bedrijf of financiële dienstverlener) dan ben je verplicht om de cybersecuritypraktijken van je directe leveranciers te beoordelen. Dus ook die van je hostingprovider.

Concreet gaan NIS2-plichtige klanten hun hostingprovider vragen om:

  • Bewijs van een formeel cybersecurity-risicomanagementprogramma
  • Contractuele afspraken over incidentrapportage, beveiligingseisen en auditrechten
  • Aantoonbare NIS2-compliance of een gelijkwaardig beveiligingsniveau

Kan de hostingprovider dat niet leveren? Dan heeft de klant een wettelijke reden om over te stappen.

Ben je een kleine ondernemer die niet direct onder NIS2 valt? Dan profiteer je toch indirect. Een hostingprovider die NIS2-compliance serieus neemt, verhoogt het beveiligingsniveau voor iedereen op zijn infrastructuur: betere incidentrespons, sneller patchen, strengere toegangscontrole.

De parallel met de AVG is treffend. Toen de AVG in werking trad, begon ieder bedrijf verwerkersovereenkomsten te vragen aan leveranciers. NIS2 gaat eenzelfde golf veroorzaken, maar dan voor cybersecuritygaranties. Heb je het AVG- en cookieconsentproces al doorlopen? Dan herken je het patroon.

De Nederlandse situatie: wachten op de Cyberbeveiligingswet

Nederland miste de deadline van oktober 2024 en ontving in mei 2025 een met redenen omkleed advies van de Commissie. De Nederlandse implementatiewet, de Cyberbeveiligingswet (Cbw), is op 7 juni 2025 ingediend bij de Tweede Kamer en op 23 maart 2026 plenair besproken. Er moet nog gestemd worden in de Tweede Kamer, en daarna volgt behandeling door de Eerste Kamer. De streefdatum van de overheid is Q2 2026.

Zolang de Cyberbeveiligingswet niet in werking is getreden, gelden er formeel geen NIS2-verplichtingen in Nederland. De bestaande Wbni (Wet beveiliging netwerk- en informatiesystemen) blijft van kracht.

Maar: de Uitvoeringsverordening (EU) 2024/2690 voor digitale dienstverleners is een EU-verordening, die geldt rechtstreeks, zonder nationale omzetting. Hostingproviders, cloudproviders, CDN-aanbieders en managed service providers vallen daar nu al onder.

Na inwerkingtreding van de Cbw krijgen organisaties ongeveer 10 maanden om zich te registreren en aan de eisen te voldoen. Agentschap Telecom wordt naar verwachting toezichthouder voor digitale infrastructuur, NCSC verzorgt incidentmeldingen en RDI doet proactieve nalevingsbeoordelingen.

Boetes en persoonlijke aansprakelijkheid

De boetestructuur lijkt bewust op die van de AVG. Essentiële entiteiten riskeren minimaal €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Belangrijke entiteiten: minimaal €7 miljoen of 1,4%. Dit zijn minimumdrempels; lidstaten mogen hoger gaan.

Wat echt nieuw is: persoonlijke gevolgen voor bestuurders. Onder Artikel 20 kunnen bestuursleden van essentiële entiteiten tijdelijk worden uitgesloten van bestuursfuncties als hun nalatigheid heeft bijgedragen aan een overtreding. Dit is het mechanisme waarmee de richtlijn afdwingt dat cybersecurity niet alleen een IT-aangelegenheid blijft.

Er zijn nog geen NIS2-specifieke boetes opgelegd (april 2026), grotendeels omdat de meeste lidstaten de richtlijn nog niet hebben omgezet. Maar het handhavingsapparaat wordt opgebouwd. In België is de registratiedeadline al verstreken. In Duitsland verzamelt de BSI registraties. Het tijdsvenster vóór actieve handhaving wordt kleiner.

Wanneer NIS2 niet op jou van toepassing is

Niet iedere hostingpartij of webprofessional valt onder NIS2. Ben je een freelance developer, een klein bureau met minder dan 50 medewerkers en onder €10 miljoen omzet, of een ondernemer met een WordPress-site? Dan legt NIS2 je geen directe verplichtingen op, tenzij je toevallig DNS-, TLD-registratie- of vertrouwensdiensten levert.

Wel opletten: lidstaten mogen kleinere organisaties met een hoog risicoprofiel aanwijzen. En als je klant bent bij een hostingprovider die wél onder NIS2 valt, profiteer je van hun nalevingsverplichtingen zonder zelf de last te dragen.

NIS2 vervangt ook de AVG niet. Eén ransomware-aanval op een hostingprovider kan beide triggeren: de NIS2-melding binnen 24 uur aan de nationale CSIRT én de AVG-melding binnen 72 uur aan de Autoriteit Persoonsgegevens. Verschillende wetten, verschillende toezichthouders, verschillende termijnen, allebei tegelijk van toepassing.

Key takeaways

  • NIS2 schaalt cloudproviders, hostingbedrijven, datacenters, CDN-aanbieders en DNS-providers in als essentiële entiteiten, de zwaarste categorie, met proactief toezicht.
  • De omvangsdrempel is 50+ medewerkers of €10 miljoen+ omzet. DNS-providers en TLD-registraties vallen er altijd onder.
  • Belangrijkste verplichtingen: incidentmelding in 24u/72u/1 maand, bestuursverantwoordelijkheid en -training, ketenbeveiliging en verplichte MFA.
  • NIS2-plichtige klanten gaan de beveiligingshouding van hun hostingprovider beoordelen, vergelijkbaar met hoe de AVG verwerkersovereenkomsten triggerde.
  • De Cyberbeveiligingswet ligt nog bij het parlement. De EU-uitvoeringsverordening voor digitale dienstverleners geldt al.
  • Boetes: tot €10 miljoen of 2% van de wereldwijde omzet voor essentiële entiteiten, plus persoonlijke aansprakelijkheid voor bestuurders.

Terugkerende server- of deploymentproblemen?

Ik help teams productie betrouwbaar maken met CI/CD, Kubernetes en cloud—zodat fixes blijven en deploys geen stress meer zijn.

Bekijk DevOps consultancy

Gerelateerde artikelen

  1. Eigen mailserver in 2026: moeilijker dan ooit, maar ook belangrijker dan ooit

    Gmail weigert niet-conforme mail op protocolniveau. Microsoft doet hetzelfde. Een eigen mailserver draaiende houden in 2026 betekent SPF, DKIM, DMARC, MTA-STS, TLS, DNSSEC, correcte PTR-records en een onberispelijke afzenderreputatie. Wanneer is het de moeite waard?

    1813 woorden
  2. EU-datasoevereiniteit: waarom 'gehost in Frankfurt' niet AVG-compliant is

    Data opslaan in een EU-datacenter maakt het niet soeverein. De Amerikaanse CLOUD Act kan AWS, Azure en Google Cloud dwingen om in de EU opgeslagen data te overhandigen. Wat dit betekent voor jouw bedrijf en hoe je een hostingprovider beoordeelt.

    1673 woorden
  3. Microsoft SMTP Basic Auth voor Office 365 verdwijnt: wat je nu echt moet doen met je WordPress-site

    Verstuurt je WordPress-site e-mail via een Office 365-mailbox met gebruikersnaam en wachtwoord? Die setup heeft een einddatum. Wat er echt is veranderd in 2026, en wat je moet doen.

    1767 woorden

Begin met typen om te zoeken, of blader door de kennisbank en blog.