QRTrust Logo
Vertrouw niet elke QR-code.
Terug naar blog
Beveiliging

NIS2-wet 2025: Waarom bedrijven met openbare QR-codes nu moeten handelen

12 min. leestijd

De nieuwe NIS2-implementatiewet van 2 december 2025 verscherpt de cyberbeveiligingseisen aanzienlijk. Quishing-aanvallen zijn meldplichtig, bestuurders zijn persoonlijk aansprakelijk. Boetes tot €10 miljoen dreigen.

Op 5 december 2025 is de NIS2-implementatiewet in werking getreden – een mijlpaal voor de cyberbeveiliging in Duitsland. Voor bedrijven die QR-codes in de openbare ruimte gebruiken, betekent dit: Handel nu, of riskeer enorme boetes en persoonlijke aansprakelijkheid van het management.

Wat is de NIS2-wet?

De NIS2-implementatiewet (Bundesgesetzblatt 2025 I Nr. 301) zet de EU-richtlijn 2022/2555 om in Duits recht. Het breidt de kring van getroffen bedrijven aanzienlijk uit en verscherpt de eisen voor IT-beveiliging, incidentmeldingen en bestuurdersaansprakelijkheid.

De wet maakt onderscheid tussen 'essentiële entiteiten' en 'belangrijke entiteiten' – beide categorieën zijn onderworpen aan strenge verplichtingen.

Wie is getroffen?

De wet treft veel meer bedrijven dan eerder gedacht:

Essentiële entiteiten

Vanaf 250 werknemers OF >€50 miljoen omzet

Energie, Transport, Financiën, Gezondheidszorg, Water, Digitale infrastructuur, Ruimtevaart

Belangrijke entiteiten

Vanaf 50 werknemers OF >€10 miljoen omzet

Post/Koerier, Afvalbeheer, Chemie, Voeding, Maakindustrie, Digitale diensten, Onderzoek

Typische QR-code toepassingen in getroffen sectoren:

  • Beheerders van oplaadstations (Energiesector)
  • Aanbieders van parkeermeters (Transport)
  • Banken met QR-codes in brieven (Financiën)
  • Ziekenhuizen met patiëntenarmbanden (Gezondheidszorg)
  • Restaurantketens met digitale menukaarten (Voeding)

De belangrijkste verplichtingen volgens § 30 BSI-wet

De wet schrijft uitgebreide risicobeheermaatregelen voor:

1

Risicoanalyse

QR-codes als aanvalsvector moeten worden meegenomen in de risicoanalyse

2

Incidentrespons

Processen voor het afhandelen van quishing-incidenten moeten worden opgezet

3

Toeleveringsketenbeveiliging

QR-code drukkerijen en transportroutes moeten worden gecontroleerd

4

Training

Medewerkers en klanten moeten worden geïnformeerd over quishing-gevaren

5

Multi-factor authenticatie

Vereist voor toegang tot QR-code beheersystemen

Meldplicht: 24 uur tijd

Bij quishing-aanvallen gelden strikte meldtermijnen volgens § 32:

24h

24 uur: Eerste melding

Onmiddellijke melding aan BSI met eerste verdenkingen

72h

72 uur: Gedetailleerde melding

Ernst, impact en indicatoren van compromittering

1M

1 maand: Eindrapport

Volledige beschrijving, oorzaken en genomen maatregelen

Voorbeeld Dortmund 2025: De 90+ gemanipuleerde parkeermeters hadden onder NIS2 binnen 24 uur gemeld moeten worden – met alle gevolgen voor de exploitant.

Persoonlijke aansprakelijkheid van het management

§ 38 van de nieuwe wet maakt bestuurders en CEO's persoonlijk verantwoordelijk:

Het management is verplicht risicobeheermaatregelen te implementeren en toe te zien. Bij plichtsverzuim zijn zij aansprakelijk voor de door hen veroorzaakte schade.

Dit betekent: Wie als CEO of bestuurder quishing-risico's negeert, is persoonlijk aansprakelijk – niet alleen het bedrijf.

Bovendien moet het management regelmatig trainingen volgen om risico's te kunnen identificeren en beoordelen.

Boetes: Tot 10 miljoen euro

De sancties volgens § 65 zijn drastisch:

Essentiële entiteiten

Tot €10 miljoen of 2% van de wereldwijde jaaromzet

Belangrijke entiteiten

Tot €7 miljoen of 1,4% van de wereldwijde jaaromzet

Rekenvoorbeeld nutsbedrijf met €800 miljoen omzet: De maximale boete voor een niet-gemeld quishing-incident bedraagt €16 miljoen.

QRTrust: De technische oplossing voor NIS2-compliance

QRTrust is het enige Duitse QR-code beveiligingsplatform dat specifiek is ontwikkeld voor NIS2-vereisten:

Risicoanalyse voldaan:Threat Intelligence Dashboard met realtime dreigingsoverzicht voor uw QR-codes
Geautomatiseerde incidentrespons:Onmiddellijke detectie en waarschuwing bij quishing-pogingen
Meldplicht ondersteund:Voorgeformatteerde rapporten voor BSI-meldingen, complete audit trail
Bewijsbeveiliging:Chain of Evidence voor vervolging: screenshots, tijdstempels, hashwaarden
AVG-conform:Duitse servers, geen gegevensoverdracht naar derde landen

Aanbeveling: Begin nu

Bedrijven met openbare QR-codes moeten onmiddellijk handelen:

Direct (deze week)

Controleer uw NIS2-toepasselijkheid op basis van omvangcriteria en sectorclassificatie

Korte termijn (1-3 maanden)

Maak een inventaris van alle openbare QR-codes en hun doel-URL's

Middellange termijn (3-6 maanden)

Implementeer QRTrust Enterprise voor continue monitoring

Lange termijn

Stel processen op voor regelmatige audits en documentatie

Conclusie: NIS2 maakt QR-code beveiliging verplicht

Met de NIS2-implementatiewet maken openbare QR-codes deel uit van de te beschermen IT-infrastructuur. Quishing-aanvallen zijn meldplichtige beveiligingsincidenten, en het management is persoonlijk aansprakelijk.

Het goede nieuws: Met QRTrust kunt u aan alle eisen voldoen – voordat het eerste incident plaatsvindt. Investeer in preventie in plaats van in boetes.

Rechtsbronnen

  • Bundesgesetzblatt 2025 I Nr. 301: NIS2-implementatiewet
  • BSI-wet 2025 (BSIG) §§ 28-65
  • EU-richtlijn 2022/2555 (NIS2-richtlijn)

Gratis NIS2 eerste consultatie

Laten we samen bekijken hoe QRTrust uw NIS2-compliance kan ondersteunen.

Plan nu een consultatie

*Over QRTrust: QRTrust is het eerste Duitse QR-code beveiligingsplatform, ontwikkeld in Dortmund. Met AI-ondersteunde realtime detectie, lokale bedreigingsdatabase en 6-laags beveiligingscontrole beschermt QRTrust burgers, overheden en bedrijven tegen quishing-aanvallen. AVG-conform, gehost in Duitsland. Deelnemer aan start2grow, de starterscompetitie van de Dortmunder Economische Ontwikkeling.*

Terug naar blog