Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wanneer is de NIS2-richtlijn verplicht?

21 mei 2026

De NIS2-richtlijn is verplicht voor organisaties die actief zijn in een van de 18 aangewezen sectoren en voldoen aan de omvangsdrempel van minimaal 50 medewerkers of meer dan 10 miljoen euro omzet. In Nederland is de NIS2-verplichting van kracht via de Cyberbeveiligingswet, die de Europese richtlijn omzet in nationale wetgeving. In dit artikel beantwoorden we de meest gestelde vragen over wie er onder NIS2 valt, welke maatregelen verplicht zijn en hoe je de voorbereiding aanpakt.

Voor welke organisaties geldt de NIS2-richtlijn?

De NIS2-richtlijn geldt voor organisaties die actief zijn in een van de 18 aangewezen sectoren én voldoen aan de omvangsdrempel. Middelgrote organisaties met 50 tot 249 medewerkers en meer dan 10 miljoen euro omzet vallen onder de wet. Grote organisaties met 250 of meer medewerkers en meer dan 50 miljoen euro omzet ook. Sommige organisaties vallen altijd onder NIS2, ongeacht hun omvang.

De 18 sectoren zijn verdeeld in twee bijlagen. Bijlage I bevat de zogeheten essentiële sectoren:

  • Energie (elektriciteit, gas, olie, waterstof)
  • Transport (luchtvaart, spoor, weg, scheepvaart)
  • Bankwezen en financiële marktinfrastructuur
  • Gezondheidszorg
  • Drinkwater en afvalwater
  • Digitale infrastructuur
  • ICT-dienstenbeheer (B2B)
  • Overheidsdiensten en ruimtevaart

Bijlage II bevat de belangrijke sectoren, waaronder post- en koeriersdiensten, afvalbeheer, de chemische industrie, de voedingsmiddelenindustrie, specifieke segmenten van de maakindustrie, digitale dienstverleners en onderzoeksinstellingen.

Ongeacht omvang vallen altijd onder de NIS2-verplichting: aanbieders van openbare elektronische communicatienetwerken, verleners van vertrouwensdiensten, DNS-dienstverleners, TLD-registers en overheidsorganisaties.

Naast deze directe scope bestaat er ook een indirecte scope. Organisaties die leveren aan NIS2-plichtige entiteiten worden via ketenverantwoordelijkheid gedwongen om zelf ook passende beveiligingsmaatregelen te treffen. Naar schatting raakt dit tussen de 50.000 en 100.000 extra MKB-bedrijven in Nederland. Je hoeft dus niet zelf in een aangewezen sector actief te zijn om toch met NIS2-eisen te maken te krijgen.

Twijfel je of jouw organisatie direct of indirect onder de wet valt? Via zelfevaluatie.rdi.nl kun je snel controleren wat jouw positie is.

Vanaf wanneer is de NIS2-richtlijn van kracht in Nederland?

De NIS2-richtlijn is in Nederland van kracht via de Cyberbeveiligingswet. De Europese deadline voor omzetting was oktober 2024. Nederland loopt achter op dat schema, maar de wet is in 2026 de geldende norm waarop toezichthouders handhaven. Organisaties die nog niet compliant zijn, lopen nu al risico op sancties.

De vertraging in de Nederlandse wetgeving betekent niet dat je de voorbereiding kunt uitstellen. Toezichthouders verwachten dat organisaties aantoonbaar bezig zijn met implementatie. Wie in 2026 nog geen concrete stappen heeft gezet, staat zwak bij een audit of incident.

Registratie bij het NCSC verloopt via mijn.ncsc.nl. De registratie zelf duurt circa tien minuten als je de benodigde gegevens vooraf verzamelt: contactinformatie, naam van de verantwoordelijke, een overzicht van diensten en een lijst van internetdomeinen.


Hi, how are you doing?
Can I ask you something?
Hoi! Ik zie dat je je verdiept in de NIS2-richtlijn. Veel MKB-bedrijven in Nederland worstelen met precies dezelfde vraag: vallen wij eronder, en wat moeten we nu eigenlijk doen? Wat omschrijft jouw situatie het beste?
Goed dat je dit serieus neemt — organisaties die nú aantoonbare stappen zetten, staan veel sterker bij een audit of incident. Wat is op dit moment de grootste uitdaging voor jullie?
Dat herkennen we. Veel MKB-bedrijven onderschatten hoe breed NIS2 reikt — ook via ketenverantwoordelijkheid kunnen kleinere organisaties verplichtingen krijgen. Wat past het beste bij jouw situatie?
Met meer dan 25 jaar ervaring in Managed IT voor het MKB helpt NTNT organisaties concreet met NIS2 — van zelfevaluatie en gap-analyse tot MFA-implementatie, awareness training en NCSC-registratie. Laat je gegevens achter en we nemen contact met je op voor een vrijblijvend gesprek over jouw NIS2-voorbereiding.
Bedankt! Je gegevens zijn ontvangen. Ons team bekijkt jouw aanvraag en neemt contact met je op om jouw NIS2-situatie te bespreken. Fijn dat je de stap hebt gezet — hier begint een goede voorbereiding. 👍

Wat zijn de gevolgen als je niet voldoet aan NIS2?

Organisaties die niet voldoen aan de NIS2-verplichting riskeren zowel financiële boetes als niet-financiële sancties. Essentiële entiteiten kunnen een boete krijgen van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, waarbij het hoogste bedrag telt. Belangrijke entiteiten riskeren maximaal 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Naast geldboetes zijn er ook niet-financiële sancties mogelijk:

  • Tijdelijk verbod op specifieke activiteiten
  • Verplichte audits op kosten van de organisatie
  • Aanwijzingen om specifieke maatregelen te treffen
  • Openbare bekendmaking van de overtreding, wat reputatieschade oplevert
  • In extreme gevallen: tijdelijke schorsing van een bestuurder

De hoogte van een boete hangt af van meerdere factoren: de ernst van de overtreding, het aantal getroffen personen of systemen, de mate van nalatigheid, eerdere overtredingen en de mate van samenwerking met de toezichthouder. Organisaties die proactief stappen hebben gezet, bijvoorbeeld door een ISO 27001-certificering, kunnen dat als verzachtende omstandigheid inbrengen.

Nederland hanteert een gedistribueerd toezichtmodel met acht sectorale toezichthouders. De RDI heeft een coördinerende rol, terwijl DNB toezicht houdt op de financiële sector, de ACM op energie en telecom, en de IGJ op de gezondheidszorg. Essentiële entiteiten krijgen proactief toezicht: de toezichthouder start zelf audits en inspecties. Belangrijke entiteiten krijgen reactief toezicht, waarbij de toezichthouder alleen in actie komt als er aanwijzingen zijn van niet-naleving.

Welke maatregelen zijn verplicht onder de NIS2-richtlijn?

Artikel 21 van de NIS2-richtlijn schrijft tien concrete technische en organisatorische maatregelen voor. Deze maatregelen vormen de zorgplicht en moeten proportioneel zijn aan het risicoprofiel, de sector en de omvang van de organisatie. Er is geen vaste checklist: de maatregelen moeten aantoonbaar passend zijn voor jouw situatie.

De tien verplichte maatregelen zijn:

  1. Risicoanalyse en informatiebeveiligingsbeleid: Een gedocumenteerde, jaarlijks bijgewerkte risicoanalyse en een door het bestuur goedgekeurd cybersecuritybeleid, bij voorkeur ingebed in een ISMS.
  2. Incidentafhandeling: Een schriftelijk incident response plan met heldere rolverdeling, communicatieprocedures en regelmatige oefening via scenario’s.
  3. Bedrijfscontinuïteit en crisisbeheer: Vastgelegde back-up- en herstelprocessen met offline back-ups, gedocumenteerde RTO en RPO, een Business Continuity Management-plan en regelmatige tests.
  4. Supply chain security: Beoordeling van alle leveranciers op cybersecuritymaatregelen, contractueel vastgelegde beveiligingseisen en jaarlijkse controle van kritieke leveranciers.
  5. Beveiliging bij aankoop en ontwikkeling van systemen: Security by design, actief patchmanagement en een secure software development lifecycle.
  6. Effectiviteitsbeoordeling van maatregelen: Minimaal jaarlijkse penetratietesten, periodieke audits en bijgehouden KPI’s voor cybersecurity.
  7. Cyberhygiëne en bewustzijnstraining: Verplichte beveiligingstraining voor alle medewerkers, phishing-simulaties, awareness-programma’s en een trainingsplicht voor bestuurders.
  8. Cryptografie en encryptie: Toepassing van encryptie op gevoelige data en communicatie.
  9. Toegangsbeveiliging en identiteitsbeheer: Multi-factor authenticatie (MFA) voor alle toegang, niet alleen VPN, en strak identiteitsbeheer.
  10. Beveiliging van netwerken en informatiesystemen: Netwerksegmentatie, monitoring en bescherming van kritieke systemen.

Naast de technische maatregelen gelden drie hoofdverplichtingen: een registratieplicht bij het nationale entiteitenregister, een zorgplicht voor passende beveiligingsmaatregelen en een meldplicht bij significante incidenten. Bij een incident geldt een getrapte meldstructuur: binnen 24 uur een vroegtijdige waarschuwing bij het CSIRT, binnen 72 uur een formele melding en binnen één maand een eindrapport met volledige analyse.

Geldt de NIS2-richtlijn ook voor MKB-bedrijven?

Ja, de NIS2-richtlijn geldt ook voor MKB-bedrijven, maar alleen als ze actief zijn in een aangewezen sector én voldoen aan de omvangsdrempel van minimaal 50 medewerkers of meer dan 10 miljoen euro omzet. Kleine bedrijven met minder dan 50 medewerkers vallen in principe buiten de directe scope, maar kunnen indirect toch verplichtingen hebben.

Die indirecte verplichting ontstaat via de ketenverantwoordelijkheid. Als jouw bedrijf levert aan een organisatie die wél direct onder NIS2 valt, dan kan die klant contractueel eisen dat jij ook passende beveiligingsmaatregelen treft. Dat betekent dat een klein MKB-bedrijf dat software, diensten of producten levert aan bijvoorbeeld een ziekenhuis of een energiebedrijf, toch te maken krijgt met NIS2-eisen.

Voor MKB-bedrijven die direct onder de wet vallen, geldt dat de maatregelen proportioneel moeten zijn. Een middelgroot bedrijf hoeft niet hetzelfde beveiligingsniveau te realiseren als een grote essentiële entiteit, maar moet wel aantoonbaar passende stappen zetten. De nadruk ligt op risicobeheer, niet op perfectie.

Veel MKB-bedrijven onderschatten de impact van NIS2. De combinatie van registratieplicht, zorgplicht en meldplicht vraagt om structurele aandacht voor cyber security voor uw organisatie, ook als de organisatie relatief klein is.

Hoe verschilt NIS2 van de oorspronkelijke NIS-richtlijn?

NIS2 is een ingrijpende uitbreiding van de oorspronkelijke NIS-richtlijn uit 2016. Het grootste verschil is de reikwijdte: NIS2 dekt 18 sectoren in plaats van de oorspronkelijke 7, en trekt de omvangsdrempel omlaag zodat ook middelgrote organisaties verplicht zijn. Daarnaast zijn de verplichtingen concreter en de sancties aanzienlijk zwaarder.

De belangrijkste verschillen op een rij:

  • Bredere sectorale dekking: Van 7 naar 18 aangewezen sectoren, met een splitsing in essentiële en belangrijke entiteiten.
  • Lagere omvangsdrempel: Middelgrote organisaties (50+ medewerkers) vallen nu ook onder de wet, waar NIS zich richtte op grote organisaties.
  • Bestuurlijke aansprakelijkheid: NIS2 legt expliciet verantwoordelijkheid bij het bestuur. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld en in extreme gevallen tijdelijk worden geschorst.
  • Ketenverantwoordelijkheid: NIS2 introduceert supply chain security als verplichte maatregel. Leveranciers moeten worden beoordeeld en contractueel gebonden aan beveiligingseisen.
  • Strengere meldplicht: De meldtermijnen zijn strakker en gestructureerder: 24 uur, 72 uur en één maand.
  • Hogere boetes: De maximale boetes zijn significant verhoogd ten opzichte van NIS.
  • Geharmoniseerd toezicht: NIS2 streeft naar meer consistentie in handhaving tussen EU-lidstaten.

Kort gezegd: NIS was een eerste stap, NIS2 is een fundamentele herschikking van hoe de EU omgaat met cybersecurity op sectoraal niveau. Als jouw organisatie al voldeed aan NIS, is dat een goede basis, maar vrijwel zeker niet voldoende voor NIS2-compliance.

Hoe begin je met de voorbereiding op NIS2-compliance?

De voorbereiding op NIS2-compliance begint met het bepalen van jouw positie: val je direct of indirect onder de wet? Daarna volgt een gap-analyse om te zien welke maatregelen al aanwezig zijn en wat er nog ontbreekt. Een gestructureerd implementatietraject van vijf fasen helpt je stap voor stap naar aantoonbare compliance.

Fase 1 tot en met 3: Positiebepaling en kernmaatregelen

In de eerste fase (week 1 tot 2) bepaal je jouw positie via de NIS2-zelfevaluatie op zelfevaluatie.rdi.nl. Je controleert jouw sector en omvang, inventariseert leveranciers met toegang tot jouw systemen en identificeert NIS2-plichtige klanten in jouw klantenbestand.

In fase 2 (week 3 tot 4) voer je een gap-analyse uit: welke van de tien verplichte maatregelen zijn al aanwezig, wat ontbreekt en wat zijn quick wins versus langetermijninvesteringen? In fase 3 (maand 2 tot 3) richt je de kernprocessen in: een incidentresponsplan, MFA voor alle toegang (niet alleen VPN), netwerksegmentatie, back-uptests en training voor medewerkers én bestuurders.

Fase 4 en 5: Documentatie en continue verbetering

Fase 4 (maand 3 tot 4) draait om documentatie en leveranciersbeheer: beleidsdocumenten opstellen, een leverancierslijst bijhouden, risicoanalyses documenteren en contractuele afspraken vastleggen. Je bereidt ook de formele registratie bij het NCSC voor.

Fase 5 is doorlopend en richt zich op aantoonbaarheid: een evidence pack opbouwen met MFA-configuratiebewijzen, patchmanagement-logs, back-up- en hersteltest-rapporten, penetratietest-rapporten en trainingsregisters. Jaarlijkse penetratietesten, tamper-proof logging en een jaarlijkse review houden je compliant.

Een veelgemaakte fout is beginnen met de techniek terwijl de governance nog niet op orde is. Zorg eerst dat het bestuur de verantwoordelijkheid formeel heeft aanvaard en dat er een goedgekeurd cybersecuritybeleid ligt. Daarna pas je de technische maatregelen daarop aan.

Hoe wij helpen met NIS2-compliance

NIS2-compliance vraagt om een gestructureerde aanpak, en dat is precies wat wij bieden. Met meer dan 25 jaar ervaring in Managed IT voor het MKB begrijpen we waar organisaties tegenaan lopen: onduidelijkheid over de scope, een gebrek aan documentatie en onvoldoende capaciteit om alles intern op te pakken. Wij helpen je concreet met:

  • Het uitvoeren van een NIS2-zelfevaluatie en gap-analyse om jouw startpositie helder te maken
  • Het inrichten van MFA via Cisco Duo voor alle toegangspunten, niet alleen VPN
  • Het opzetten van Security Awareness Training via Huntress, inclusief phishing-simulaties en trainingsregisters die direct bruikbaar zijn als onderdeel van jouw NIS2 evidence pack
  • Het documenteren van incidentresponsplannen, back-uptests en risicoanalyses
  • Het beoordelen van leveranciers en vastleggen van contractuele beveiligingseisen
  • Begeleiding bij registratie bij het NCSC en voorbereiding op toezicht

Wil je weten waar jouw organisatie nu staat en welke stappen als eerste nodig zijn? Neem contact op met NTNT voor een vrijblijvend gesprek over jouw NIS2-voorbereiding.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.