Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

NIS2: cyberbeveiliging wordt bestuursverantwoordelijkheid in het vervoer

Vastgesteld 2026-06-14 · bijgewerkt 2026-06-16 · ≈ 1 min lezen · Dirk Baaijen

Vervoer is onder NIS2 (Richtlijn (EU) 2022/2555) een essentiële sector. Middelgrote en grote entiteiten moeten risicobeheersmaatregelen treffen, incidenten snel melden en cyberbeveiliging op bestuursniveau beleggen. NL: Cyberbeveiligingswet (NIS2-omzetting) per 1 juli 2026.

Download de regime-cheatsheet (PDF) ↓

NIS2 (Richtlijn (EU) 2022/2555) is geen sectorregeling voor IT-bedrijven — het raakt het hart van het vervoer. Lucht-, spoor-, weg- en watervervoer staan expliciet op de lijst van essentiële sectoren, en middelgrote en grote entiteiten in die sectoren vallen onder de plicht.

Wat NIS2 verplicht

Drie elementen zijn bepalend.

  • Risicobeheersmaatregelen. Entiteiten moeten passende technische en

organisatorische maatregelen treffen — van toeleveringsketenbeveiliging en kwetsbaarhedenbeheer tot continuïteit en opleiding.

  • Incidentmelding. Significante incidenten moeten snel worden gemeld aan

de nationale autoriteit: een vroege waarschuwing binnen 24 uur en een formele melding binnen 72 uur.

  • Bestuurlijke verantwoordelijkheid. NIS2 legt de verantwoordelijkheid

voor naleving expliciet bij het bestuur, inclusief de plicht zich te laten scholen. Cyberbeveiliging is daarmee een directiethema, geen IT-detailkwestie.

Stand van zaken

De omzettingstermijn liep af op 17 oktober 2024; in Nederland treedt de Cyberbeveiligingswet (de NIS2-omzetting) per 1 juli 2026 in werking. De implementatie in nationale wetgeving verschilt per lidstaat en is in een deel van de EU nog in uitvoering; de Commissie is handhavingsprocedures gestart tegen lidstaten die te laat zijn. Het uitgangspunt staat echter vast: vervoersentiteiten boven de drempel moeten voldoen.

Wat het voor jou betekent

Twee vragen bepalen je positie:

  1. **Heb je de risicobeheersmaatregelen en de meldprocedure (24u/72u)

ingericht?** Ontbreken ervan is direct handhaafbaar.

  1. Is de bestuurlijke verantwoordelijkheid voor cyberbeveiliging belegd?

NIS2 maakt het bestuur aanspreekbaar.

Wil je weten welke EU-regimes naast NIS2 jouw organisatie raken — de Data Act, eFTI, EMSWe, de AI Act — en waar je readiness zit? Doe de Transport & Logistiek-scan.

Bronnen

  1. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlijn (EU) 2022/2555 (NIS2): cyberbeveiligingsplichten voor essentiële en belangrijke entiteiten; omzetting uiterlijk 17 oktober 2024.
  2. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
    Europese Commissie — NIS2: reikwijdte (18 sectoren, waaronder vervoer), risicobeheer en bestuurlijke verantwoordelijkheid.

Deel op LinkedIn

Lees ook

W

NIS2: de wegwijzer voor cyberbeveiliging en bestuur

NIS2 maakt cyberbeveiliging een bestuursverantwoordelijkheid voor essentiële en belangrijke entiteiten — waaronder vervoer en logistiek. Deze wegwijzer bundelt wie eronder valt, welke maatregelen en meldplichten gelden, de bestuursaansprakelijkheid en de ketenverplichtingen.

U

AI in telecom: netwerkbeheer, fraudedetectie en NIS2

Telecombedrijven zetten AI in voor netwerkoptimalisatie en fraudedetectie. De AI Act raakt vooral fraudedetectie die klanten beoordeelt, terwijl NIS2 strenge eisen stelt aan de cyberbeveiliging en incidentmelding van deze essentiële infrastructuur.

U

Valt mijn transport- of logistiekbedrijf onder NIS2?

Vervoer is een essentiële sector onder NIS2, dus de vraag is vooral je omvang. Middelgrote en grote bedrijven (vanaf ~50 medewerkers) vallen doorgaans onder de plicht; micro en klein meestal niet. De nationale omzetting bepaalt de details. Zo check je het.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.