Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wat is het doel van nis2?

23 mei 2026

Het doel van NIS2 is het verhogen van de digitale weerbaarheid van organisaties en netwerken binnen de Europese Unie door minimumnormen voor cybersecurity wettelijk te verankeren. De richtlijn verplicht organisaties in kritieke sectoren om concrete beveiligingsmaatregelen te treffen, incidenten te melden en bestuurders persoonlijk verantwoordelijk te houden voor cybersecurity. In dit artikel beantwoorden we de meest gestelde vragen over NIS2-compliance, de vereisten en wat dit betekent voor jouw organisatie.

Welke organisaties vallen onder de NIS2-richtlijn?

NIS2 is van toepassing op organisaties in 18 aangewezen sectoren die voldoen aan de drempelwaarden van minimaal 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro. Denk aan sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur en ICT-dienstenbeheer. Kleinere organisaties kunnen indirect verplichtingen krijgen via ketenverantwoordelijkheid.

Concreet vallen organisaties in drie groepen uiteen:

  • Groep 1 direct verplicht: Bedrijven in de 18 sectoren met 50 of meer medewerkers of een omzet boven de 10 miljoen euro moeten volledig aan de wet voldoen.
  • Groep 2 indirect verplicht via ketenverantwoordelijkheid: Formeel niet NIS2-plichtig, maar hun klanten zijn dat wel. Die klanten moeten hun leveranciers screenen, wat leidt tot beveiligingsvragenlijsten, contractuele eisen en mogelijk verplichte certificering.
  • Groep 3 marktgedreven: Cyberverzekeraars stellen hogere eisen en aanbestedingen vragen vaker om bewijs van cybersecuritymaatregelen, ook zonder wettelijke verplichting.

IT-dienstverleners verdienen speciale aandacht. Zij worden in NIS2 expliciet benoemd onder “ICT-dienstenbeheer (B2B)” als eigen sector. Een IT-dienstverlener valt onder NIS2 als hij 50 of meer medewerkers heeft en actief is als managed services provider, cloud provider, datacenter of softwaredienstverlener, als hij als enige kritieke diensten levert aan organisaties in NIS2-sectoren, of als hij door een NIS2-plichtige klant wordt aangemerkt als kritieke leverancier.

Naar schatting krijgen 50.000 tot 100.000 extra MKB-bedrijven indirecte NIS2-verplichtingen doordat de 8.000 tot 10.000 direct plichtige organisaties eisen gaan stellen aan hun toeleveranciers. Twijfel je of jouw organisatie onder de richtlijn valt? Via zelfevaluatie.rdi.nl kun je een eerste inschatting maken.

Wat zijn de concrete verplichtingen onder NIS2?

NIS2 legt in artikel 21 tien concrete technische en organisatorische maatregelen op die elke plichtige organisatie moet implementeren. Deze maatregelen richten zich op risicobeheersing, incidentafhandeling, bedrijfscontinuïteit en aantoonbaarheid. Hieronder een overzicht van de belangrijkste verplichtingen.

Technische en organisatorische maatregelen

  1. Risicoanalyse en informatiebeveiligingsbeleid: Een gedocumenteerde, jaarlijks bijgewerkte risicoanalyse en een door het bestuur goedgekeurd cybersecuritybeleid, bij voorkeur ingebed in een ISMS.
  2. Incidentafhandeling: Een schriftelijk incident response plan met heldere rolverdeling, communicatieprocedures en regelmatige oefening via scenario’s.
  3. Bedrijfscontinuïteit en crisisbeheer: Vastgelegde back-up en herstelprocessen met offline back-ups, gedocumenteerde RTO en RPO, en een Business Continuity Management-plan.
  4. Supply chain security: Beoordeling van alle leveranciers op cybersecuritymaatregelen, contractueel vastgelegde beveiligingseisen en jaarlijkse controle van kritieke leveranciers.
  5. Beveiliging bij aankoop en ontwikkeling van systemen: Security by design, actief patchmanagement en een secure software development lifecycle.
  6. Effectiviteitsbeoordeling: Minimaal jaarlijks aanbevolen penetratietesten en periodieke audits van beveiligingsmaatregelen.
  7. Cyberhygiëne en bewustzijnstraining: Verplichte beveiligingstraining voor alle medewerkers, phishing-simulaties en een trainingsplicht voor bestuurders.
  8. Cryptografie en encryptie: Gebruik van encryptie voor gevoelige gegevens en communicatie.
  9. Toegangsbeveiliging en identiteitsbeheer: MFA voor alle toegangspunten, niet alleen VPN, en strikte toegangscontrole.
  10. Meldplicht: Significante incidenten moeten binnen 24 uur gemeld worden bij de toezichthouder, met een volledig rapport binnen 72 uur.

Registratie en meldplicht

Naast de technische maatregelen geldt een registratieplicht bij het NCSC zodra de wet volledig in werking treedt. De meldplicht is getrapd: een eerste melding binnen 24 uur, een tussentijdse update binnen 72 uur en een eindrapport binnen een maand. Het niet tijdig melden van een incident kan direct leiden tot handhaving en boetes.


Hi, how are you doing?
Can I ask you something?
Hoi! Ik zie dat je meer wilt weten over NIS2 en wat dit betekent voor jouw organisatie. Veel MKB-bedrijven worstelen met precies die vraag. Hoe zou jij jouw situatie het best omschrijven?
Dat herkennen we bij veel organisaties. NIS2 raakt niet alleen de IT-afdeling — bestuurders zijn nu persoonlijk aansprakelijk. Waar staat jullie organisatie op dit moment?
Begrijpelijk — NIS2 geldt voor organisaties in 18 sectoren met 50+ medewerkers of meer dan €10 miljoen omzet. Maar ook kleinere bedrijven krijgen er indirect mee te maken via hun klanten. Hoe groot is jullie organisatie ongeveer?
Op basis van wat je hebt aangegeven kan NTNT je helpen met een vrijblijvende NIS2-quickscan — zodat je precies weet waar je staat en welke stappen het meest relevant zijn voor jouw organisatie. Laat je gegevens achter en we nemen contact met je op.
Bedankt! Jouw gegevens zijn ontvangen. Ons team bekijkt jouw aanvraag en neemt contact met je op om de NIS2-quickscan te bespreken en te kijken welke stappen het meest relevant zijn voor jouw organisatie.
Bij NTNT werken we al meer dan 25 jaar samen met MKB-bedrijven aan praktische IT-oplossingen — ook als het gaat om compliance en cybersecurity.

Hoe verschilt NIS2 van de oorspronkelijke NIS-richtlijn?

NIS2 is een fundamentele uitbreiding van de originele NIS-richtlijn uit 2016. Waar de eerste NIS-richtlijn een beperkt aantal sectoren en organisaties raakte, vergroot NIS2 het toepassingsgebied aanzienlijk, maakt de vereisten concreter en introduceert persoonlijke bestuurdersverantwoordelijkheid. De verschuiving is van “vertel me dat het goed zit” naar “laat het zien.”

De belangrijkste verschillen op een rij:

  • Groter bereik: NIS2 geldt voor 18 sectoren in plaats van de oorspronkelijke 7. IT-dienstverleners zijn nu een eigen, benoemde sector.
  • Concretere verplichtingen: De originele NIS-richtlijn beschreef maatregelen op hoofdlijnen. NIS2 schrijft tien specifieke maatregelen voor met duidelijke minimumvereisten.
  • Bestuurdersverantwoordelijkheid: NIS2 introduceert persoonlijke aansprakelijkheid voor bestuurders, inclusief een trainingsplicht. Dit bestond niet onder de originele richtlijn.
  • Ketenverantwoordelijkheid: NIS2 verplicht organisaties expliciet om hun leveranciers te screenen en beveiligingseisen contractueel vast te leggen.
  • Zwaardere handhaving: Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en tot 7 miljoen euro of 1,4% voor belangrijke entiteiten.
  • Geharmoniseerde aanpak: NIS2 streeft naar meer uniformiteit tussen EU-lidstaten, zodat organisaties die in meerdere landen actief zijn niet te maken krijgen met sterk uiteenlopende nationale regels.

Wat zijn de gevolgen van niet-naleving van NIS2?

Organisaties die niet voldoen aan de NIS2-richtlijn riskeren aanzienlijke financiële boetes, reputatieschade en operationele gevolgen. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Bestuurders kunnen bovendien persoonlijk aansprakelijk worden gesteld, wat een fundamenteel verschil is met eerdere cybersecuritywetgeving.

De gevolgen gaan verder dan alleen boetes:

  • Persoonlijke aansprakelijkheid van bestuurders: Bij grove nalatigheid kunnen bestuurders persoonlijk worden beboet of tijdelijk worden geschorst als verantwoordelijke. Onwetendheid wordt niet als excuus geaccepteerd.
  • Reputatieschade: De toezichthouder kan besluiten tot openbaarmaking van niet-naleving, wat klanten en partners direct raakt.
  • Verlies van zakelijke kansen: Aanbestedingen en klanten vragen steeds vaker om bewijs van NIS2-compliance. Organisaties die dit niet kunnen aantonen, vallen af als leverancier.
  • Operationele gevolgen: Bij een cyberincident zonder adequate maatregelen is de kans op langdurige uitval groter, met alle bedrijfsschade van dien.
  • Meldplicht-boetes: Het niet tijdig melden van een incident leidt apart tot handhaving, los van de vraag of de beveiligingsmaatregelen op orde waren.

Een belangrijk verschil met de AVG: bij de AVG is het primair de organisatie die wordt beboet, bij NIS2 kan het de individuele bestuurder zijn. Dit maakt NIS2-compliance een boardroom-onderwerp, niet alleen een IT- en cybersecurity-vraagstuk.

Hoe bereidt een MKB-bedrijf zich voor op NIS2-compliance?

Een MKB-bedrijf bereidt zich voor op NIS2-compliance door een gestructureerd implementatietraject van vijf fasen te doorlopen, startend met een positiebepaling en eindigend met doorlopende aantoonbaarheid. De meest voorkomende uitdaging voor het MKB is niet dat er niets geregeld is, maar dat bestaande maatregelen niet schriftelijk zijn vastgelegd.

Het praktische stappenplan ziet er als volgt uit:

  1. Fase 1 (week 1 en 2) Positiebepaling: Voer de NIS2-zelfevaluatie uit via zelfevaluatie.rdi.nl, controleer sector en omvang, inventariseer leveranciers met toegang tot jouw systemen en identificeer NIS2-plichtige klanten.
  2. Fase 2 (week 3 en 4) Gap-analyse: Bepaal welke van de tien maatregelen al aanwezig zijn, wat ontbreekt en wat quick wins zijn versus langetermijninvesteringen.
  3. Fase 3 (maand 2 en 3) Kernprocessen inrichten: Stel een incidentresponsplan op, activeer MFA overal (niet alleen VPN), richt netwerksegmentatie in, test back-ups en start medewerkers- en bestuurstraining.
  4. Fase 4 (maand 3 en 4) Documentatie en leveranciersbeheer: Schrijf beleidsdocumenten, stel een leverancierslijst op, voer risicoanalyses uit, leg afspraken contractueel vast en bereid NCSC-registratie voor.
  5. Fase 5 (doorlopend) Aantoonbaarheid en verbetering: Bouw een evidence pack op, voer jaarlijks een penetratietest uit, zorg voor tamper-proof logging en voer een jaarlijkse review uit.

Voor MKB-bedrijven die niet direct NIS2-plichtig zijn maar wel leverancier zijn van plichtige klanten, biedt het NIS2 Supply Chain-keurmerk (SC-keurmerk) een praktische manier om jouw beveiligingsniveau aantoonbaar te maken. Dit keurmerk kent drie niveaus: SC10 voor basisniveau, SC20 voor verhoogde risico’s en SC30 voor kritieke ketenpartners die externe toetsing vereisen.

Wat is de rol van de directie bij NIS2-naleving?

NIS2 brengt cybersecurity expliciet naar de boardroom door bestuurders persoonlijk verantwoordelijk te maken voor de naleving van de richtlijn. Het beveiligingsbeleid moet door het bestuur zijn goedgekeurd, bestuurders moeten aantoonbaar training hebben gevolgd en de directie moet betrokken zijn bij incidentrespons en risicobeoordeling. Onwetendheid is wettelijk geen excuus.

Concreet legt NIS2 de volgende verplichtingen op aan bestuurders:

  • Trainingsplicht: Bestuurders moeten aantoonbaar training hebben gevolgd om cyberrisico’s te kunnen beoordelen. De uiterste termijn hiervoor is twee jaar na inwerkingtreding van de wet.
  • Goedkeuring van beveiligingsbeleid: Het cybersecuritybeleid van de organisatie moet formeel door het bestuur zijn vastgesteld en goedgekeurd.
  • Betrokkenheid bij incidenten: De directie moet aantoonbaar betrokken zijn bij de respons op significante incidenten en bij de periodieke risicobeoordeling.
  • Persoonlijke aansprakelijkheid: Bij grove nalatigheid kunnen bestuurders persoonlijk worden beboet of tijdelijk worden geschorst als verantwoordelijke bestuurder.

Dit is een fundamentele verschuiving ten opzichte van hoe cybersecurity traditioneel werd georganiseerd, namelijk als een IT-verantwoordelijkheid zonder directe link naar de boardroom. NIS2 maakt cybersecurity een strategisch bestuursonderwerp waarbij de directie actief moet kunnen aantonen dat zij haar verantwoordelijkheid neemt.

Hoe helpt een managed IT-dienstverlener bij NIS2-compliance?

Een managed IT-dienstverlener helpt je bij NIS2-compliance door de technische implementatie, documentatie en aantoonbaarheid op zich te nemen, zodat jij je kunt richten op je kernactiviteiten. De combinatie van proactief beheer, beveiligingstools en gestructureerde documentatie is precies wat NIS2 vereist en waar veel MKB-bedrijven intern de capaciteit voor missen.

Bij NTNT helpen we je concreet met:

  • NIS2-zelfevaluatie en gap-analyse: We brengen samen in kaart welke maatregelen al aanwezig zijn en wat er nog ontbreekt, inclusief prioritering.
  • Technische implementatie: Van MFA via Cisco Duo en netwerksegmentatie tot back-upbeheer en patchmanagement, we richten de benodigde technische maatregelen in.
  • Security Awareness Training: Via ons SAT-programma in samenwerking met Huntress trainen we jouw medewerkers maandelijks met korte animatie-episodes en phishing-simulaties. De trainingsregisters zijn direct inzetbaar als bewijs in jouw NIS2 evidence pack.
  • Cybersecurity monitoring: Met Huntress bewaken we jouw systemen proactief op dreigingen en zorgen we voor snelle detectie en respons bij incidenten.
  • Documentatie en evidence pack: We helpen je met het opstellen van beleidsdocumenten, leverancierslijsten en risicoanalyses die aantoonbaar maken dat jouw organisatie voldoet.
  • Leveranciersbeheer: We ondersteunen je bij het inventariseren en classificeren van leveranciers en het contractueel vastleggen van beveiligingseisen.

Wil je weten waar jouw organisatie staat ten opzichte van de NIS2-vereisten? Neem contact op met NTNT voor een vrijblijvende NIS2-quickscan en ontdek welke stappen het meest relevant zijn voor jouw situatie.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.