NIS2 in transport en logistiek: valt jouw vervoersbedrijf eronder?

Moderne logistiek draait op software: planningssystemen, track-and-trace, warehouse management en EDI-koppelingen met klanten. Valt zo'n systeem uit door een cyberaanval, dan staat de keten stil. Daarom is transport een kritieke sector onder NIS2. In dit artikel lees je wat de Nederlandse Cyberbeveiligingswet (verwacht op 1 juli 2026) betekent voor vervoers- en logistieke bedrijven, en wanneer je eronder valt.

Snel weten of jouw bedrijf eronder valt? Doe de gratis NIS2-check — antwoord in 2 minuten.

Valt jouw transport- of logistieke bedrijf onder NIS2?

Transport staat in Annex I van de NIS2-richtlijn — de sectoren met hoge kritikaliteit (zie het volledige overzicht van NIS2-sectoren). De sector omvat vier takken:

Wegvervoer (inclusief wegbeheerders en intelligente transportsystemen)
Spoorvervoer
Luchtvervoer (luchtvaartmaatschappijen, luchthavens)
Maritiem vervoer (rederijen, havens, binnenvaart)

Of je daadwerkelijk onder de wet valt, hangt af van je omvang: je valt direct onder NIS2 als je minimaal middelgroot bent — ≥50 medewerkers óf ≥€10 miljoen omzet/balanstotaal.

Veel kleinere transporteurs en logistiek dienstverleners vallen daarmee net buiten de directe scope. Maar let op: de logistiek zit vol ketenrelaties, en grote opdrachtgevers die wél onder NIS2 vallen, geven hun beveiligingseisen door. Lees daarover NIS2 als toeleverancier.

Wat is er specifiek voor transport en logistiek van belang?

Operationele continuïteit — uitval van planning, WMS of track-and-trace legt de operatie plat. Bedrijfscontinuïteit en herstel zijn cruciaal.
Ketenkoppelingen — EDI- en API-verbindingen met klanten en partners zijn een aanvalsoppervlak én een ketenrisico.
OT en voertuigsystemen — boordcomputers, terminalsystemen en magazijnautomatisering hangen steeds vaker aan het netwerk.
Just-in-time — weinig buffer in de keten betekent dat een incident snel grote gevolgen heeft.

Wat moet je als vervoers- of logistiek bedrijf doen?

Bepaal je positie met de gratis NIS2-check: val je direct onder de wet, en als essentiële of belangrijke entiteit?
Meet je rijpheid met de gap-analyse tegen de tien NCSC-zorgplichtmaatregelen.
Beveilig de ketenkoppelingen — segmenteer netwerken, beheer toegang en monitor je EDI/API-verbindingen.
Borg de continuïteit van kritieke systemen met back-ups, herstelprocedures en oefeningen.
Werk de basis bij met de whitepaper: de 10 stappen naar NIS2-compliance en lees NIS2-zorgplicht: de 10 maatregelen.

Volgende stap: doe de gratis check en daarna de gap-analyse — binnen een half uur weet je waar je staat.

Veelgestelde vragen

Valt een klein transportbedrijf onder NIS2? Vaak niet direct: vervoerders met minder dan 50 medewerkers en minder dan €10 miljoen omzet vallen meestal buiten de directe scope. Wel krijgen veel kleinere bedrijven beveiligingseisen via grote opdrachtgevers die wél onder NIS2 vallen. Doe de NIS2-check voor zekerheid.

Geldt NIS2 ook voor expediteurs en logistiek dienstverleners? Dat hangt af van je activiteit en omvang. Puur vervoer over weg, spoor, lucht of water valt onder de transportsector van Annex I. Lever je vooral logistieke diensten zonder zelf te vervoeren, dan val je mogelijk niet direct onder de wet, maar nog wel via ketenrelaties. De check geeft uitsluitsel.

Is een vervoersbedrijf een essentiële of belangrijke entiteit? Een groot transportbedrijf in Annex I is doorgaans een essentiële entiteit, met het zwaarste toezicht en de hoogste boetes. Middelgrote bedrijven vallen meestal in de categorie belangrijke entiteit.

Wat als mijn klant NIS2-eisen stelt terwijl ik er zelf niet onder val? Dan gelden de eisen contractueel, niet wettelijk — maar ze zijn wel reëel. Grote opdrachtgevers zijn verplicht hun keten te beheersen. Zie NIS2 als toeleverancier.

Wanneer treedt de Cyberbeveiligingswet in werking? De wet wordt verwacht op 1 juli 2026. De volledige tijdlijn staat in NIS2-deadline: wanneer treedt de Cyberbeveiligingswet in werking?.