Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Is NIS2 verplicht in Nederland?

20 mei 2026

Ja, NIS2 is verplicht in Nederland. De Europese NIS2-richtlijn is omgezet in de Nederlandse Cyberbeveiligingswet, die juridisch bindend is voor organisaties in aangewezen sectoren die aan de omvangsdrempel voldoen. Daarnaast raakt de wet via ketenverantwoordelijkheid ook een grote groep MKB-bedrijven die niet rechtstreeks in scope vallen. In dit artikel beantwoorden we de meest gestelde vragen over de NIS2-verplichting in Nederland, van wie er precies onder valt tot hoe je als organisatie aan de slag gaat.

Voor welke organisaties geldt NIS2 in Nederland?

NIS2 geldt in Nederland voor organisaties die actief zijn in een van de 18 aangewezen sectoren én die voldoen aan de omvangsdrempel. Middelgrote organisaties (50 tot 249 medewerkers met meer dan 10 miljoen euro omzet of balanstotaal) en grote organisaties (250 of meer medewerkers met meer dan 50 miljoen euro omzet) vallen direct onder de wet.

De 18 sectoren zijn verdeeld in twee bijlagen. Bijlage I bevat de zogenoemde essentiële sectoren: energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer (B2B), overheidsdiensten en ruimtevaart. Bijlage II bevat de belangrijke sectoren: post- en koeriersdiensten, afvalbeheer, chemische industrie, voedingsmiddelenindustrie, maakindustrie (specifieke segmenten), digitale dienstverleners en onderzoek.

Bepaalde organisaties vallen altijd onder de wet, ongeacht hun omvang. Dit geldt voor aanbieders van openbare elektronische communicatienetwerken, verleners van vertrouwensdiensten, DNS-dienstverleners, TLD-registers en overheidsorganisaties.

Naast de directe scope bestaat er een indirecte scope. Organisaties die leveren aan NIS2-plichtige entiteiten worden via ketenverantwoordelijkheid gedwongen om beveiligingsmaatregelen te nemen. Schattingen wijzen op 50.000 tot 100.000 extra MKB-bedrijven in Nederland die hierdoor geraakt worden. Wil je weten of jouw organisatie direct in scope valt? De zelfevaluatietool op zelfevaluatie.rdi.nl geeft snel uitsluitsel.

Wat zijn de deadlines voor NIS2-naleving in Nederland?

De Europese NIS2-richtlijn had als omzettingsdeadline oktober 2024, maar Nederland loopt achter op schema. De Nederlandse Cyberbeveiligingswet is in 2026 nog in de parlementaire behandelingsfase. Organisaties doen er verstandig aan zich nu al voor te bereiden, omdat de wet na inwerkingtreding direct van kracht wordt en toezichthouders actief kunnen handhaven.

Het feit dat de wet nog niet volledig van kracht is, betekent niet dat je kunt wachten. Implementatie van de tien verplichte maatregelen kost tijd. Organisaties die in 2026 nog niets hebben gedaan, lopen bij inwerkingtreding direct een reëel risico op sancties. Bovendien eisen NIS2-plichtige klanten en opdrachtgevers via ketenverantwoordelijkheid nu al dat hun leveranciers aantoonbare beveiligingsmaatregelen treffen.

Na inwerkingtreding geldt voor de registratieplicht dat organisaties zich moeten inschrijven via mijn.ncsc.nl. De registratie zelf duurt circa tien minuten als je de benodigde gegevens bij de hand hebt: contactinformatie, naam van de verantwoordelijke, een overzicht van diensten en een lijst van internetdomeinen.


Hi, how are you doing?
Can I ask you something?
Hoi! Ik zie dat je je verdiept in NIS2-verplichtingen in Nederland. Veel MKB-bedrijven worstelen op dit moment met precies dezelfde vraag: val ik eronder, en wat moet ik nu eigenlijk doen? Wat past het beste bij jouw situatie?
Goed dat je hier al mee bezig bent — veel organisaties wachten te lang en lopen bij inwerkingtreding direct risico op sancties. Hoe urgent is dit voor jullie organisatie?
Dat is een slimme eerste stap. De scope van NIS2 is breder dan veel organisaties denken — ook via ketenverantwoordelijkheid kunnen bedrijven verplichtingen krijgen zonder zelf in een aangewezen sector te zitten. Hoe groot is jullie organisatie ongeveer?
Op basis van wat je hebt aangegeven, kan ons team je precies vertellen waar jullie organisatie staat én wat de eerste concrete stappen zijn. Laat je gegevens achter en we nemen contact met je op voor een vrijblijvende NIS2-quickscan.
Bedankt! Je aanvraag is ontvangen. Ons team bekijkt je gegevens en neemt contact met je op om de NIS2-quickscan te bespreken en je te vertellen wat jouw organisatie als eerste moet aanpakken.
Bij NTNT werken we al meer dan 25 jaar met MKB-bedrijven in Nederland. We helpen je stap voor stap — zonder dat je verdwaalt in technische details.

Welke maatregelen zijn verplicht onder NIS2?

NIS2 schrijft drie hoofdverplichtingen voor: een registratieplicht, een zorgplicht en een meldplicht. De zorgplicht wordt concreet ingevuld via tien technische en organisatorische maatregelen uit artikel 21 van de richtlijn. Deze maatregelen moeten proportioneel zijn aan het risicoprofiel, de sector en de omvang van de organisatie.

De drie hoofdverplichtingen

  • Registratieplicht: Inschrijving in het nationale entiteitenregister via mijn.ncsc.nl, met contactinformatie, naam van de verantwoordelijke, een overzicht van diensten en een lijst van internetdomeinen.
  • Zorgplicht: Passende technische en organisatorische maatregelen nemen om risico’s te beheersen, incidenten te voorkomen en de continuïteit van dienstverlening te waarborgen.
  • Meldplicht: Bij een significant incident geldt een getrapte structuur. Binnen 24 uur een vroegtijdige waarschuwing bij het CSIRT en de toezichthouder, binnen 72 uur een formele incidentmelding met ernst en gevolgen, en binnen één maand een eindrapport met volledige analyse en genomen maatregelen.

De tien zorgplichtmaatregelen (artikel 21)

  1. Risicoanalyse en informatiebeveiligingsbeleid: Een gedocumenteerde, jaarlijks bijgewerkte risicoanalyse en een door het bestuur goedgekeurd cybersecuritybeleid, bij voorkeur ingebed in een ISMS.
  2. Incidentafhandeling: Een schriftelijk incident response plan met heldere rolverdeling, communicatieprocedures en regelmatige oefening via scenario’s.
  3. Bedrijfscontinuïteit en crisisbeheer: Vastgelegde back-up- en herstelprocessen met offline back-ups, gedocumenteerde RTO en RPO, een Business Continuity Management-plan en regelmatige tests.
  4. Supply chain security: Beoordeling van alle leveranciers op cybersecuritymaatregelen, contractueel vastgelegde beveiligingseisen en jaarlijkse controle van kritieke leveranciers.
  5. Beveiliging bij aankoop en ontwikkeling van systemen: Security by design, actief patchmanagement en een secure software development lifecycle.
  6. Effectiviteitsbeoordeling van maatregelen: Minimaal jaarlijkse penetratietesten, periodieke audits en bijgehouden KPI’s voor cybersecurity.
  7. Cyberhygiëne en bewustzijnstraining: Verplichte beveiligingstraining voor alle medewerkers, phishing-simulaties, awareness-programma’s en een trainingsplicht voor bestuurders.
  8. Cryptografie en encryptie: Een vastgelegd encryptiebeleid (zoals AES-256 voor data-at-rest en TLS 1.3 voor data-in-transit), versleuteling van apparaten en back-ups, en gedocumenteerd sleutelbeheer.
  9. Toegangsbeheer en HR-security: Multi-Factor Authenticatie (MFA) voor alle externe toegang, het least-privilege principe, een geformaliseerd Joiner/Mover/Leaver-proces en netwerksegmentatie.
  10. Authenticatie en beveiligde communicatie: MFA of continue authenticatie, veilige communicatiekanalen, EDR op alle apparaten en SIEM-logging met tamper-proof audit logs.

Wat zijn de sancties als je niet voldoet aan NIS2?

De boetes onder NIS2 zijn fors. Essentiële entiteiten riskeren een boete van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, waarbij het hoogste bedrag telt. Belangrijke entiteiten riskeren maximaal 7 miljoen euro of 1,4% van de wereldwijde jaaromzet. Dit zijn minimummaximums; lidstaten mogen hogere plafonds hanteren.

Naast financiële boetes zijn er ook niet-financiële sancties mogelijk. Denk aan een tijdelijk verbod op specifieke activiteiten, verplichte audits, aanwijzingen om bepaalde maatregelen te treffen, openbare bekendmaking van de overtreding (met bijbehorende reputatieschade) en in extreme gevallen tijdelijke schorsing van een bestuurder.

De hoogte van een boete hangt af van meerdere factoren: de ernst van de overtreding, het aantal getroffen personen of systemen, de mate van nalatigheid, eerdere overtredingen en de mate van samenwerking met de toezichthouder. Proactief genomen stappen, zoals een ISO 27001-certificering en cyber security, kunnen als verzachtende omstandigheid worden meegewogen.

Nederland werkt met acht sectorale toezichthouders. De RDI vervult een coördinerende rol, terwijl DNB de financiële sector bewaakt, de ACM energie en telecom, de IGJ de gezondheidszorg en de ILT transport en water. Het NCSC fungeert als hoofd-CSIRT voor incident response. Essentiële entiteiten krijgen proactief toezicht; belangrijke entiteiten reactief toezicht.

Geldt NIS2 ook voor het MKB?

Ja, NIS2 geldt ook voor het MKB, maar niet voor alle bedrijven. Middelgrote bedrijven met 50 tot 249 medewerkers en meer dan 10 miljoen euro omzet vallen direct onder de wet als ze actief zijn in een van de 18 aangewezen sectoren. Kleinere bedrijven vallen buiten de directe scope, maar kunnen via ketenverantwoordelijkheid alsnog verplichtingen krijgen.

Dit laatste punt is voor veel MKB-bedrijven een verrassing. Als jouw organisatie levert aan een NIS2-plichtige klant, dan kan die klant eisen dat je aantoonbare beveiligingsmaatregelen hebt getroffen. Dit staat los van jouw eigen omvang of sector. Naar schatting raken 50.000 tot 100.000 extra MKB-bedrijven in Nederland de wet op deze indirecte manier.

Voor MKB-bedrijven die twijfelen of ze in scope vallen, is de zelfevaluatietool op zelfevaluatie.rdi.nl een goed startpunt. Die tool helpt je binnen enkele minuten bepalen of jouw organisatie direct onder de Cyberbeveiligingswet valt.

Hoe verschilt NIS2 van de oorspronkelijke NIS-richtlijn?

NIS2 is een ingrijpende uitbreiding van de oorspronkelijke NIS-richtlijn uit 2016. De belangrijkste verschillen zijn de bredere scope, strengere eisen, hogere boetes en directe bestuurdersverantwoordelijkheid. Waar NIS zich richtte op een beperkte groep aanbieders van essentiële diensten, trekt NIS2 de reikwijdte fors breder.

De voornaamste wijzigingen op een rij:

  • Bredere sectorale dekking: NIS2 omvat 18 sectoren, verdeeld over essentiële en belangrijke entiteiten. De oorspronkelijke NIS-richtlijn bestreek een veel kleinere groep.
  • Strengere maatregelen: De tien verplichte zorgplichtmaatregelen zijn concreter en veeleisender dan de algemene beveiligingseisen onder NIS.
  • Ketenverantwoordelijkheid: NIS2 introduceert expliciet supply chain security als verplichting. Onder NIS was dit niet als zelfstandige eis opgenomen.
  • Bestuurdersverantwoordelijkheid: Bestuurders zijn persoonlijk verantwoordelijk voor naleving en kunnen in extreme gevallen tijdelijk worden geschorst. Dit was onder NIS niet het geval.
  • Hogere boetes: De maximale boetes zijn fors verhoogd ten opzichte van de oorspronkelijke richtlijn.
  • Gestructureerde meldplicht: De getrapte meldstructuur met vaste termijnen (24 uur, 72 uur, één maand) is nieuw en veel specifieker dan onder NIS.

Kortom: NIS2 is geen kleine update maar een fundamenteel strengere wet die veel meer organisaties raakt en hogere eisen stelt aan zowel technische maatregelen als bestuurlijke betrokkenheid.

Hoe begin je met NIS2-compliance als organisatie?

Begin met het bepalen van jouw positie: val je direct onder de Cyberbeveiligingswet of indirect via ketenverantwoordelijkheid? Gebruik daarvoor de zelfevaluatietool op zelfevaluatie.rdi.nl. Daarna volg je een gefaseerde aanpak die je van nulmeting naar aantoonbare compliance brengt.

Een bewezen implementatietraject bestaat uit vijf fasen:

  1. Fase 1 (week 1 tot 2): Positiebepaling. Voer de NIS2-zelfevaluatie uit, controleer sector en omvang, inventariseer leveranciers met toegang tot jouw systemen en identificeer NIS2-plichtige klanten.
  2. Fase 2 (week 3 tot 4): Gap-analyse. Breng in kaart welke van de tien maatregelen al aanwezig zijn, wat er ontbreekt en wat quick wins zijn versus langetermijninvesteringen.
  3. Fase 3 (maand 2 tot 3): Kernprocessen inrichten. Stel een incidentresponsplan op, activeer MFA voor alle externe toegang (niet alleen VPN), voer netwerksegmentatie door, test back-ups en start met medewerkers- en bestuurstraining.
  4. Fase 4 (maand 3 tot 4): Documentatie en leveranciersbeheer. Stel beleidsdocumenten op, maak een leverancierslijst, documenteer risicoanalyses, leg contractuele beveiligingsafspraken vast en bereid de NCSC-registratie voor.
  5. Fase 5 (doorlopend): Aantoonbaarheid en continue verbetering. Bouw een evidence pack op, voer jaarlijks een penetratietest uit, onderhoud tamper-proof logging, voer jaarlijkse reviews uit en registreer je formeel bij het NCSC zodra de wet ingaat.

Een praktisch beginpunt is de trainingsplicht: zorg dat medewerkers aantoonbaar bewustzijnstraining hebben gevolgd. Trainingsregisters met voltooide modules en quizscores kunnen direct worden opgenomen in je NIS2 evidence pack als bewijs van medewerkersbewustzijn.

Hoe wij helpen met NIS2-compliance

NIS2-compliance voelt voor veel organisaties overweldigend, zeker als je de IT-kennis niet in huis hebt om alle tien maatregelen zelf te implementeren. Wij helpen je stap voor stap op weg, zonder dat je verdwaalt in technische details.

Wat we concreet voor je doen:

  • NIS2-zelfevaluatie en gap-analyse: We brengen samen in kaart of jouw organisatie in scope valt en welke maatregelen al aanwezig zijn of nog ontbreken.
  • Security Awareness Training via Huntress: We verzorgen maandelijkse trainingen voor medewerkers en bestuurders, inclusief phishing-simulaties en coaching voor wie toch in een simulatie trapt. Trainingsregisters zijn direct bruikbaar als NIS2-bewijs.
  • MFA-implementatie met Cisco Duo: We activeren Multi-Factor Authenticatie voor alle externe toegang en beheerdersaccounts, een van de meest concrete eisen onder artikel 21.
  • Wachtwoordbeheer met Keeper: We implementeren een veilige wachtwoordmanager zodat het least-privilege principe en toegangsbeheer aantoonbaar op orde zijn.
  • Endpoint- en incidentdetectie via Huntress: We zorgen voor EDR op alle apparaten en SIEM-logging, twee verplichte onderdelen van maatregel 10.
  • Documentatie en evidence pack: We helpen je de benodigde beleidsdocumenten, risicoanalyses en leverancierslijsten op te stellen zodat je bij een audit aantoonbaar compliant bent.

Wil je weten waar jouw organisatie nu staat? Neem contact op met NTNT voor een vrijblijvende NIS2-quickscan en we vertellen je precies wat je als eerste moet aanpakken.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.