Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Is er een NIS2-certificering en heb je die nodig?

1 juni 2026

Er bestaat geen officiële NIS2-certificering. De NIS2-richtlijn kent geen verplicht certificaat dat je kunt behalen om aan te tonen dat je voldoet aan de wet. In plaats daarvan werkt NIS2 met een aantoonbaarheidsplicht: je moet kunnen bewijzen dat je de vereiste maatregelen hebt getroffen. Toch zijn er wel vrijwillige keurmerken en bestaande certificeringen die je kunnen helpen bij het invullen van die bewijslast. In dit artikel beantwoorden we de meest gestelde vragen over NIS2-certificering, compliance en wat dit betekent voor jouw organisatie.

Wat houdt NIS2-compliance precies in voor bedrijven?

NIS2-compliance betekent dat jouw organisatie aantoonbaar voldoet aan de beveiligingseisen uit de NIS2-richtlijn, de Europese wet die de digitale weerbaarheid van organisaties in kritieke sectoren versterkt. In Nederland wordt deze richtlijn ingevoerd via de Cyberbeveiligingswet (CBW), die naar verwachting op 1 juli 2026 in werking treedt. Compliance draait niet om het behalen van een certificaat, maar om het daadwerkelijk inrichten en documenteren van je beveiliging.

De NIS2-richtlijn verplicht organisaties die binnen de scope vallen om tien concrete beveiligingsmaatregelen te treffen. Denk aan risicoanalyses, incidentresponsplannen, back-up- en herstelprocessen, toegangsbeheer en digitale beveiliging met meerfactorauthenticatie, netwerksegmentatie en medewerkerstraining. Maar het gaat verder dan techniek alleen. Het bestuur moet aantoonbaar betrokken zijn bij het beveiligingsbeleid, en bestuurders zijn verplicht training te volgen om cyberrisico’s te kunnen beoordelen.

Een belangrijk onderdeel van NIS2-compliance is de meldplicht. Bij een significant beveiligingsincident moet je binnen 24 uur een eerste melding doen bij de toezichthouder. Dit is strenger dan de 72 uur die de AVG hanteert bij datalekken. Daarnaast geldt een ketenverantwoordelijkheid: je moet ook eisen stellen aan je leveranciers en dat contractueel vastleggen.

Samengevat vraagt NIS2-compliance om drie dingen: de juiste maatregelen treffen, alles documenteren zodat je het kunt aantonen, en als directie actief betrokken zijn.

Bestaat er een officiële NIS2-certificering?

Nee, er bestaat geen officiële NIS2-certificering. De wet kent geen verplicht certificaat dat je kunt behalen. De toezichthouder beoordeelt zelf of jouw organisatie voldoet aan de NIS2-verplichting, op basis van documentatie, audits en incidentregistraties. Een certificaat volstaat niet als bewijs van compliance.

Wat wel bestaat, is het NIS2 Supply Chain-keurmerk (SC-keurmerk). Dit is een vrijwillig marktcertificaat voor organisaties die niet zelf direct onder NIS2 vallen, maar wel leverancier zijn van NIS2-plichtige bedrijven. Het keurmerk kent drie niveaus:

  • SC10/QM10: Basisniveau, geschikt voor MKB met een beperkt risicoprofiel
  • SC20/QM20: Voor organisaties met verhoogde risico’s of gevoelige data
  • SC30/QM30: Hoogste niveau, inclusief externe toetsing, voor kritieke ketenpartners

Dit keurmerk heeft geen wettelijke status. De toezichthouder beslist zelf of een organisatie voldoet, ongeacht of je het keurmerk hebt. Toch biedt het een praktisch voordeel: het geeft klanten en opdrachtgevers een herkenbaar signaal dat jij je beveiliging serieus neemt. In aanbestedingen wordt het SC-keurmerk steeds vaker gevraagd.

De conclusie is dus helder: er is geen NIS2-certificaat dat je compliance bewijst, maar het SC-keurmerk kan je helpen om als leverancier aan te tonen dat je aan de verwachtingen van NIS2-plichtige klanten voldoet.


Hi, how are you doing?
Can I ask you something?
Hoi! Ik zie dat je meer wilt weten over NIS2-certificering. Veel MKB-bedrijven vragen zich af waar ze staan — en of ze überhaupt iets moeten doen. Wat past het beste bij jouw situatie?
Dat begrijp ik. De deadline van 1 juli 2026 komt snel dichterbij en er is geen overgangstermijn. Hoe urgent voelt dit voor jullie organisatie op dit moment?
Geen probleem — oriënteren is een slimme eerste stap. Veel MKB-bedrijven die wij spreken ontdekken dat ze meer moeten regelen dan gedacht. Wat is voor jou op dit moment de grootste vraag rondom NIS2?
Goed om te horen waar je staat. Op basis van wat je hebt aangegeven kan een van onze NIS2-specialisten je precies vertellen wat jouw organisatie nu als eerste moet aanpakken — zonder dat je verdwaalt in de complexiteit. Laat je gegevens achter en we nemen contact met je op.
Bedankt! Jouw gegevens zijn ontvangen. Ons team bekijkt jouw aanvraag en neemt contact met je op om te bespreken waar jouw organisatie nu staat en welke stappen als eerste gezet moeten worden. We kijken ernaar uit je te helpen!

Welke bedrijven vallen onder de NIS2-richtlijn?

Bedrijven vallen onder de NIS2-richtlijn als ze actief zijn in een van de 18 aangewezen sectoren én voldoen aan de omvangsdrempel van minimaal 50 medewerkers of meer dan 10 miljoen euro omzet. In Nederland gaat het naar schatting om 8.000 tot 10.000 organisaties die direct onder de wet vallen.

De 18 sectoren omvatten onder andere energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur en IT-dienstverlening. Alle 340+ Nederlandse gemeenten vallen er ook onder. IT-dienstverleners worden in NIS2 expliciet benoemd onder “ICT-dienstenbeheer (B2B)” als aangewezen sector. Een managed services provider (MSP), cloudprovider of datacenter valt dus mogelijk zelf direct onder de wet.

Maar ook als jouw bedrijf niet direct NIS2-plichtig is, kun je er toch mee te maken krijgen. De 8.000 tot 10.000 organisaties die wel verplicht zijn, moeten eisen stellen aan hun leveranciers. Dat heeft een cascadewerking: naar schatting 50.000 tot 100.000 extra MKB-bedrijven krijgen indirecte NIS2-verplichtingen doordat klanten hen beveiligingsvragenlijsten sturen of contractuele eisen stellen.

Twijfel je of jouw organisatie binnen de scope valt? Via zelfevaluatie.rdi.nl kun je een officiële zelfevaluatie uitvoeren om je positie te bepalen.

Wat zijn de gevolgen als je niet aan NIS2 voldoet?

Als je als NIS2-plichtige organisatie niet voldoet aan de wet, riskeer je boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Bovendien kunnen bestuurders persoonlijk aansprakelijk worden gesteld bij grove nalatigheid. Dit is een fundamenteel verschil met de AVG, waarbij de organisatie primair wordt beboet.

De persoonlijke bestuurdersaansprakelijkheid is nieuw en ingrijpend. Bij grove nalatigheid kan een bestuurder persoonlijke boetes krijgen, betrokken raken bij juridische procedures of reputatieschade oplopen. In uiterste gevallen is tijdelijke schorsing als verantwoordelijke mogelijk. Onwetendheid is geen geldige verdediging.

Naast financiële en juridische gevolgen zijn er ook operationele risico’s. Als je een beveiligingsincident niet binnen 24 uur meldt, of als je niet kunt aantonen dat je de vereiste maatregelen hebt getroffen, kan de toezichthouder ingrijpen. Klanten en opdrachtgevers kunnen contracten beëindigen als je niet kunt bewijzen dat je veilig bent.

Belangrijk om te weten: er is geen overgangstermijn voorzien. Zodra de Cyberbeveiligingswet op 1 juli 2026 in werking treedt, gelden alle verplichtingen direct. Wachten met actie ondernemen vergroot het risico aanzienlijk.

Hoe toon je NIS2-compliance aan zonder certificaat?

Je toont NIS2-compliance aan door een gedocumenteerde bewijslast op te bouwen, ook wel een evidence pack genoemd. Dit is een verzameling van documenten en registraties die aantonen dat je de vereiste beveiligingsmaatregelen hebt getroffen en dat je processen actief worden onderhouden.

Een volledig evidence pack bevat minimaal de volgende onderdelen:

  • Een leverancierslijst met risicoklassificatie van alle externe partijen met toegang tot je systemen
  • Risicoanalyses en een gedocumenteerd beveiligingsbeleid
  • Beleidsdocumenten voor toegangsbeheer en incidentrespons
  • Configuratiebewijzen van MFA (meerfactorauthenticatie)
  • Patchmanagement-logs die aantonen dat systemen up-to-date worden gehouden
  • Back-up- en hersteltest-rapporten
  • Penetratietest-rapporten (minimaal jaarlijks)
  • Trainingsregisters van medewerkers en bestuurders

Het opbouwen van dit evidence pack is geen eenmalige actie. NIS2 vraagt om continue verbetering en aantoonbaarheid. Dat betekent regelmatige reviews, jaarlijkse penetratietests en actuele documentatie. Organisaties die dit systematisch aanpakken, zijn ook beter voorbereid op klantaudits en aanbestedingen waarbij beveiliging een voorwaarde is.

Helpt een ISO 27001-certificering bij NIS2-naleving?

Ja, een ISO 27001-certificering helpt aanzienlijk bij NIS2-naleving, maar vervangt het niet volledig. ISO 27001 is een internationale norm voor informatiebeveiliging die veel overlap heeft met de NIS2-eisen. Als je al ISO 27001-gecertificeerd bent, heb je een sterke basis: risicoanalyses, beleidsdocumenten, toegangsbeheer en incidentprocedures zijn al ingericht.

De belangrijkste aanvullingen die NIS2 bovenop ISO 27001 vraagt, zijn:

  • Specifieke meldplicht: NIS2 vereist melding van significante incidenten binnen 24 uur bij de toezichthouder, wat verder gaat dan ISO 27001 voorschrijft
  • Bestuurdersaansprakelijkheid en trainingsplicht: ISO 27001 vereist geen aantoonbare training van het bestuur; NIS2 wel
  • Ketenverantwoordelijkheid: NIS2 stelt expliciete eisen aan leveranciersbeheer die verder gaan dan de algemene ISO 27001-richtlijnen
  • Registratieplicht bij NCSC: Dit is een specifieke NIS2-verplichting die buiten de scope van ISO 27001 valt

Voor organisaties die nog geen ISO 27001-certificering hebben, biedt het traject naar certificering wel een nuttige structuur om NIS2-compliance op te bouwen. De investering in ISO 27001 levert tegelijk voortgang op richting NIS2-naleving. Beide vragen om een Information Security Management System (ISMS) als fundament.

Wanneer moet je als MKB actie ondernemen voor NIS2?

Je moet nu actie ondernemen. De Cyberbeveiligingswet treedt naar verwachting op 1 juli 2026 in werking en kent geen overgangstermijn. Dat betekent dat alle verplichtingen direct gelden zodra de wet ingaat. Voor MKB-bedrijven die direct of indirect onder NIS2 vallen, is er geen tijd meer om af te wachten.

Een realistische aanpak verloopt in fasen. Begin met het bepalen van je positie: val je zelf onder NIS2, of ben je leverancier van een NIS2-plichtige organisatie? Voer daarvoor de zelfevaluatie uit via zelfevaluatie.rdi.nl. Inventariseer daarna welke leveranciers toegang hebben tot jouw systemen en welke beveiligingsmaatregelen al aanwezig zijn.

Vervolgens richt je de kernprocessen in: een incidentresponsplan, MFA op alle toegangspunten (niet alleen VPN), netwerksegmentatie en back-uptests. Zorg dat het bestuur aantoonbaar betrokken is en dat medewerkers training hebben gevolgd. Bouw daarna stap voor stap je evidence pack op met de documenten en registraties die je compliance bewijzen.

Voor MKB-bedrijven die niet direct NIS2-plichtig zijn maar wel leverancier zijn van grotere organisaties, geldt een praktische realiteit: klanten gaan steeds vaker vragen naar jouw beveiligingsmaatregelen, MFA-beleid en incident response-afspraken. De verschuiving is van “vertel me dat het goed zit” naar “laat het zien.” Wie nu begint, staat straks sterker in klantgesprekken en aanbestedingen.

Hoe wij helpen met NIS2-compliance

NIS2 vraagt om concrete actie, goede documentatie en technische maatregelen die je ook kunt bewijzen. Wij helpen MKB-bedrijven om dit stap voor stap te realiseren, zonder dat je verdwaalt in de complexiteit van de wetgeving. Wat we concreet voor je doen:

  • We voeren een NIS2-gap-analyse uit om te bepalen wat er al goed zit en wat er nog ontbreekt
  • We implementeren en configureren MFA via Cisco Duo op alle relevante toegangspunten
  • We richten incidentresponsprocessen in en zorgen voor aantoonbare documentatie
  • We begeleiden medewerkers- en bestuurstraining via ons Security Awareness Training-programma, inclusief phishing-simulaties via Phished
  • We helpen je een volledig evidence pack op te bouwen, inclusief patchmanagement-logs, back-up-rapporten en penetratietest-rapporten
  • We brengen je leverancierslandschap in kaart en helpen bij het opstellen van contractuele beveiligingseisen

Wil je weten waar jouw organisatie nu staat en welke stappen je als eerste moet zetten? Neem contact op met NTNT voor een vrijblijvend gesprek over jouw NIS2-readiness.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.