Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Welke bedrijven moeten voldoen aan de NIS2?

25 mei 2026

Bedrijven die actief zijn in sectoren die worden aangemerkt als belangrijk of vitaal voor de samenleving, moeten voldoen aan de NIS2-richtlijn. De verplichting geldt zowel voor grote organisaties als voor een deel van het MKB, afhankelijk van de sector en de omvang van het bedrijf. In dit artikel beantwoorden we de meest gestelde vragen over NIS2-verplichtingen, zodat je snel weet waar jouw organisatie aan toe is.

Welke sectoren vallen onder de NIS2-richtlijn?

De NIS2-richtlijn is van toepassing op organisaties in sectoren die worden beschouwd als belangrijk voor de continuïteit van de samenleving en economie. De richtlijn maakt onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten. Welke categorie van toepassing is, bepaalt de mate van toezicht die een organisatie krijgt.

Essentiële sectoren

Organisaties in de volgende sectoren worden aangemerkt als essentieel en vallen onder het strengste toezichtregime:

  • Energie (elektriciteit, gas, olie, warmte, waterstof)
  • Transport (lucht, spoor, water, weg)
  • Bankwezen en financiëlemarktinfrastructuur
  • Gezondheidszorg
  • Drinkwater en afvalwater
  • Digitale infrastructuur (datacenters, cloudproviders, DNS-diensten)
  • ICT-dienstverlening (managed service providers)
  • Overheid
  • Ruimtevaart

Belangrijke sectoren

Naast de essentiële sectoren zijn er ook sectoren die worden aangemerkt als belangrijk. Denk aan post- en koeriersdiensten, afvalbeheer, chemische industrie, voedselproductie, maakindustrie en digitale aanbieders zoals zoekmachines en online marktplaatsen. Bedrijven in deze sectoren vallen ook onder de NIS2, maar krijgen reactief toezicht: de toezichthouder treedt alleen op als er aanwijzingen zijn van een overtreding.

Welke omvang moet een bedrijf hebben om onder NIS2 te vallen?

Als algemene regel geldt dat de NIS2-richtlijn van toepassing is op middelgrote en grote organisaties binnen de aangewezen sectoren. Een middelgroot bedrijf heeft meer dan 50 medewerkers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro. Een groot bedrijf heeft meer dan 250 medewerkers of een jaaromzet van meer dan 50 miljoen euro, gecombineerd met een balanstotaal van meer dan 43 miljoen euro.

Toch zijn er uitzonderingen op deze omvangsdrempel. Sommige organisaties vallen ongeacht hun grootte onder de NIS2. Dit geldt bijvoorbeeld voor aanbieders van bepaalde digitale diensten, organisaties die als enige aanbieder van een kritieke dienst in een lidstaat opereren, en overheidsinstanties. Voor managed service providers is de omvangsdrempel eveneens anders ingevuld, omdat zij rechtstreeks toegang hebben tot de systemen van hun klanten.

Hi, how are you doing?
Can I ask you something?
Hallo! 👋 Ik zie dat je je verdiept in de NIS2-richtlijn. Veel MKB-bedrijven worstelen op dit moment met dezelfde vraag: vallen wij eronder, en zo ja — wat moeten we dan doen? Wat omschrijft jouw situatie het beste?
Goed om te weten! Om je goed te kunnen helpen — hoe groot is jouw organisatie en in welke situatie zit je?
Duidelijk! Veel bedrijven zoals dat van jou starten met een NIS2-scan om snel helderheid te krijgen: wat staat er al goed, wat ontbreekt er nog, en wat zijn de prioriteiten. Wil jij ook weten waar jouw organisatie nu staat?
Top! Laat je gegevens achter en een specialist van NTNT neemt contact met je op voor een vrijblijvende NIS2-scan. Zo weet jij snel waar je aan toe bent. 🔒
Bedankt! ✅ Je aanvraag is ontvangen. Ons team bekijkt je gegevens en neemt contact met je op om de NIS2-scan verder te bespreken. Fijn dat je de stap zet — zo sta je straks sterker als de Cyberbeveiligingswet van kracht wordt.

Geldt de NIS2-richtlijn ook voor MKB-bedrijven?

Ja, de NIS2-richtlijn kan ook voor MKB-bedrijven gelden. Hoewel de richtlijn in de basis gericht is op middelgrote en grote organisaties, zijn er twee situaties waarin een kleiner bedrijf toch NIS2-plichtig kan zijn: wanneer het actief is in een sector waar geen omvangsdrempel geldt, of wanneer het als toeleverancier werkt voor een NIS2-plichtige organisatie.

Dat laatste punt is voor veel MKB-bedrijven relevant. Als jouw organisatie diensten levert aan een essentiële of belangrijke entiteit, en die entiteit heeft jou contractueel verplicht om aan bepaalde beveiligingseisen te voldoen, dan ben je indirect gebonden aan de NIS2-normen. Dit vloeit voort uit de supply chain security-verplichting in artikel 21 van de richtlijn: NIS2-plichtige organisaties moeten hun leveranciers beoordelen op cybersecuritymaatregelen en digitale beveiliging en die eisen contractueel vastleggen.

Daarnaast zijn er MKB-bedrijven die actief zijn als IT-dienstverlener of managed service provider. Voor die categorie geldt de NIS2 ongeacht de omvang, omdat zij directe toegang hebben tot de systemen van hun klanten en daarmee een verhoogd risico vormen voor de keten.

Wat zijn de gevolgen als een bedrijf niet voldoet aan NIS2?

Bedrijven die niet voldoen aan de NIS2-verplichtingen riskeren aanzienlijke boetes en aanvullende sancties. Voor essentiële entiteiten bedraagt de maximale boete 10 miljoen euro of 2% van de wereldwijde jaaromzet, waarbij het hoogste bedrag telt. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Naast financiële boetes zijn er ook niet-financiële sancties mogelijk. De toezichthouder kan een tijdelijk verbod opleggen op specifieke activiteiten, verplichte audits eisen, aanwijzingen geven om bepaalde maatregelen te treffen, of de overtreding openbaar bekendmaken. In ernstige gevallen is zelfs een tijdelijke schorsing van een bestuurder mogelijk. Die openbare bekendmaking is voor veel organisaties een grotere dreiging dan de boete zelf, omdat de reputatieschade lastig te herstellen is.

Factoren die de hoogte van een eventuele boete beïnvloeden zijn onder meer de ernst van de overtreding, het aantal getroffen personen of systemen, de mate van nalatigheid en eerdere overtredingen. Organisaties die proactief stappen hebben gezet, zoals het behalen van een ISO 27001-certificering, kunnen dit aanvoeren als verzachtende omstandigheid.

Hoe controleer je of jouw bedrijf NIS2-plichtig is?

De snelste manier om te controleren of jouw bedrijf onder de NIS2 valt, is de zelfevaluatietool op zelfevaluatie.rdi.nl. Deze tool, aangeboden door de Rijksinspectie Digitale Infrastructuur, helpt je in een paar stappen bepalen of jouw organisatie als essentiële of belangrijke entiteit wordt aangemerkt.

Naast de zelfevaluatietool kun je de volgende stappen doorlopen om jouw positie te bepalen:

  1. Controleer je sector: Val je in een van de aangewezen sectoren uit de NIS2-bijlagen?
  2. Controleer je omvang: Heb je meer dan 50 medewerkers of een omzet boven de 10 miljoen euro?
  3. Inventariseer je leveranciersrelaties: Heb je klanten die zelf NIS2-plichtig zijn en aan jou beveiligingseisen stellen?
  4. Controleer uitzonderingen: Ben je een IT-dienstverlener of managed service provider, ongeacht je omvang?

Als je na deze stappen nog twijfelt, is het verstandig om een gap-analyse te laten uitvoeren. Daarin breng je in kaart welke van de tien verplichte maatregelen al aanwezig zijn, wat er nog ontbreekt en wat de prioriteiten zijn. Dat geeft je niet alleen duidelijkheid over je verplichtingen, maar ook een concreet startpunt voor de implementatie.

Wanneer moest een bedrijf aan NIS2 voldoen?

De Europese NIS2-richtlijn had door EU-lidstaten uiterlijk op 17 oktober 2024 omgezet moeten worden in nationale wetgeving. Nederland heeft deze deadline niet gehaald. In 2026 is de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van NIS2, nog in behandeling. Organisaties die onder de richtlijn vallen, doen er verstandig aan zich nu al voor te bereiden, omdat de wet zodra zij in werking treedt direct van kracht wordt.

Praktisch betekent dit dat je niet kunt wachten tot de wet officieel is ingegaan. Het opbouwen van een compleet beveiligingsprogramma, het trainen van medewerkers, het inrichten van een incidentresponsplan en het registreren bij het NCSC kost tijd. Organisaties die nu beginnen met implementeren, staan sterker op het moment dat de toezichthouder actief gaat handhaven.

De registratie zelf verloopt via mijn.ncsc.nl en duurt circa 10 minuten als je de benodigde gegevens bij de hand hebt: contactinformatie, naam van de verantwoordelijke, een overzicht van diensten en een lijst van internetdomeinen.

Welke maatregelen moeten NIS2-plichtige bedrijven nemen?

NIS2-plichtige bedrijven moeten voldoen aan drie hoofdverplichtingen: een registratieplicht, een zorgplicht en een meldplicht. De zorgplicht is de meest uitgebreide van de drie en omvat tien concrete technische en organisatorische maatregelen die zijn vastgelegd in artikel 21 van de richtlijn.

De drie hoofdverplichtingen

De registratieplicht houdt in dat je jouw organisatie inschrijft in het nationale entiteitenregister via mijn.ncsc.nl. De zorgplicht verplicht je om passende maatregelen te nemen die proportioneel zijn aan het risicoprofiel, de sector en de omvang van jouw organisatie. De meldplicht geldt bij een significant incident: binnen 24 uur een vroegtijdige waarschuwing, binnen 72 uur een formele melding inclusief ernst en gevolgen, en binnen één maand een eindrapport met volledige analyse.

De tien verplichte maatregelen

De zorgplicht vertaalt zich naar de volgende tien maatregelen:

  1. Risicoanalyse en informatiebeveiligingsbeleid: een jaarlijks bijgewerkte risicoanalyse en een door het bestuur goedgekeurd cybersecuritybeleid
  2. Incidentafhandeling: een schriftelijk incident response plan met heldere rolverdeling en regelmatige oefening
  3. Bedrijfscontinuïteit en crisisbeheer: vastgelegde back-up- en herstelprocessen, inclusief offline back-ups en gedocumenteerde RTO en RPO
  4. Supply chain security: beoordeling van leveranciers op beveiligingsmaatregelen en contractueel vastgelegde eisen
  5. Beveiliging bij aankoop en ontwikkeling van systemen: security by design, actief patchmanagement en vulnerability management
  6. Effectiviteitsbeoordeling van maatregelen: minimaal jaarlijkse penetratietesten en periodieke audits
  7. Cyberhygiëne en bewustzijnstraining: verplichte beveiligingstraining voor alle medewerkers én bestuurders, inclusief phishing-simulaties
  8. Cryptografie en encryptie: een vastgelegd encryptiebeleid voor data-at-rest en data-in-transit, inclusief gedocumenteerd sleutelbeheer
  9. Toegangsbeheer en HR-security: MFA voor alle externe toegang, het least-privilege principe en een geformaliseerd Joiner/Mover/Leaver-proces
  10. Authenticatie en beveiligde communicatie: EDR op alle apparaten, SIEM-logging en tamper-proof audit logs

De maatregelen zijn niet bedoeld als een vaste checklist die je eenmalig afvinkt. Ze moeten proportioneel zijn aan jouw specifieke risicoprofiel en voortdurend worden bijgehouden. Een jaarlijkse review, gecombineerd met het opbouwen van een evidence pack, helpt je aantonen dat je aan de verplichtingen voldoet.

Hoe wij helpen met NIS2-compliance

NIS2 raakt veel onderdelen van jouw IT-omgeving tegelijk: van toegangsbeheer en back-ups tot medewerkerstraining en leveranciersbeoordelingen. Wij helpen MKB-bedrijven om dit overzichtelijk en beheersbaar te maken, zonder dat je er zelf alles van hoeft te weten.

Wat we voor je kunnen doen:

  • NIS2 zelfevaluatie en gap-analyse: we brengen in kaart welke maatregelen al aanwezig zijn, wat er ontbreekt en wat de prioriteiten zijn
  • Technische maatregelen: implementatie van MFA via Cisco Duo, wachtwoordbeheer via Keeper, en endpoint- en identiteitsbeveiliging via Huntress
  • Security Awareness Training: maandelijkse trainingsepisodes en phishing-simulaties via ons SAT-programma, zodat jouw medewerkers aantoonbaar zijn getraind
  • Documentatie en evidence pack: we helpen je beleidsdocumenten, risicoanalyses en trainingsregisters op te stellen die je kunt overleggen aan de toezichthouder
  • Doorlopend beheer: proactief monitoren, jaarlijkse reviews en begeleiding bij incidentmeldingen

Wil je weten waar jouw organisatie nu staat ten opzichte van de NIS2-vereisten? Neem contact op met NTNT voor een vrijblijvende NIS2-scan, en we helpen je verder.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.