Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wat is het verschil tussen NIS1 en NIS2?

24 juni 2026

Het verschil tussen NIS1 en NIS2 zit in de reikwijdte, de verplichtingen en de handhaving. NIS1 richtte zich op een beperkte groep organisaties in kritieke sectoren, terwijl NIS2 aanzienlijk meer bedrijven verplicht om concrete cybersecuritymaatregelen te nemen. Voor veel MKB-bedrijven in Nederland is NIS2 daarmee de eerste keer dat cybersecurity een wettelijke verplichting wordt. In dit artikel beantwoorden we de meest gestelde vragen over dit verschil en wat het voor jouw organisatie betekent.

Wat verandert er concreet met de komst van NIS2?

NIS2 vervangt NIS1 met een breder toepassingsgebied, strengere verplichtingen en directe bestuurdersaansprakelijkheid. Waar NIS1 vooral een raamwerk bood met minimale concrete eisen, schrijft NIS2 tien specifieke technische en organisatorische maatregelen voor. Bovendien zijn de sancties bij niet-naleving aanzienlijk zwaarder en geldt de wet voor een veel grotere groep organisaties.

De meest ingrijpende veranderingen op een rij:

  • Breder toepassingsgebied: NIS2 omvat 18 sectoren in plaats van de zeven sectoren onder NIS1.
  • Concrete zorgplicht: Organisaties moeten tien specifieke maatregelen implementeren en aantoonbaar maken, niet alleen beleid hebben.
  • Meldplicht aangescherpt: Significante incidenten moeten binnen 24 uur worden gemeld bij de toezichthouder, met een volledig rapport binnen 72 uur.
  • Bestuurdersverantwoordelijkheid: Bestuurders zijn persoonlijk aansprakelijk en moeten aantoonbaar getraind zijn in het beoordelen van cyberrisico’s.
  • Ketenverantwoordelijkheid: Organisaties zijn verplicht hun leveranciers te screenen en beveiligingseisen contractueel vast te leggen.

Onder NIS1 kon een organisatie volstaan met een globaal beveiligingsbeleid. Onder NIS2 moet je aantonen dat maatregelen daadwerkelijk werken, gedocumenteerd zijn en regelmatig getest worden. Die verschuiving van intentie naar bewijs is de kern van de verandering.

Welke organisaties vallen onder NIS2 maar niet onder NIS1?

NIS2 trekt de grens veel breder dan NIS1. Sectoren die nieuw zijn toegevoegd aan NIS2 zijn onder andere afvalwater, afvalbeheer, de voedingsindustrie, de ruimtevaartsector, post- en koeriersdiensten en de maakindustrie voor kritieke producten. Daarnaast vallen nu ook middelgrote bedrijven (50 of meer medewerkers of meer dan 10 miljoen euro omzet) in deze sectoren onder de wet.

Concreet betekent dit dat naar schatting 8.000 tot 10.000 organisaties in Nederland direct NIS2-plichtig zijn. Onder NIS1 was dat een fractie hiervan. Naast de direct verplichte organisaties zijn er indirect nog tienduizenden MKB-bedrijven die via de ketenverantwoordelijkheid van hun klanten te maken krijgen met NIS2-eisen.

Ook IT-dienstverleners vallen nu expliciet onder de wet. Managed service providers, cloudproviders en datacenters worden in NIS2 aangemerkt als aanbieders van ICT-dienstenbeheer (B2B) en vallen daarmee in de categorie belangrijke entiteiten. Dit was onder NIS1 niet het geval.


Hi, how are you doing?
Can I ask you something?
Hoi! 👋 Ik zie dat je meer wilt weten over het verschil tussen NIS1 en NIS2. Veel MKB-bedrijven in Nederland ontdekken nu pas dat NIS2 ook op hén van toepassing is — direct of via hun klanten. Wat beschrijft jouw situatie het beste?
Dat herkennen we. Veel organisaties in jullie positie worstelen met dezelfde vraag: wáár beginnen? Wat is op dit moment de grootste uitdaging voor jullie?
Geen probleem — het is slim om dit nu al te verkennen. Een implementatietraject neemt gemiddeld vier tot zes maanden in beslag, dus vroeg beginnen loont. Wat past het beste bij jouw organisatie?
Op basis van wat je hebt aangegeven kan NTNT je snel helpen met een vrijblijvende NIS2-quickscan — zodat je precies weet waar je staat en welke stappen nodig zijn. Laat je gegevens achter en we nemen contact met je op.
Bedankt! 🎉 Je aanvraag is ontvangen. Ons team bekijkt je gegevens en neemt contact met je op om de NIS2-quickscan in te plannen. We kijken ernaar uit je te helpen.
Wil je alvast meer lezen? Op onze website vind je meer informatie over hoe NTNT MKB-bedrijven helpt met NIS2-compliance.

Wat zijn de nieuwe verplichtingen onder NIS2?

NIS2 verplicht organisaties tot tien concrete maatregelen op het gebied van cybersecurity en organisatorische beveiliging. Deze zijn vastgelegd in artikel 21 van de richtlijn. Het gaat niet om een checklist die je eenmalig afvinkt, maar om doorlopende verplichtingen die je moet kunnen aantonen.

De tien maatregelen zijn:

  1. Risicoanalyse en informatiebeveiligingsbeleid: Een gedocumenteerde, jaarlijks bijgewerkte risicoanalyse en een door het bestuur goedgekeurd cybersecuritybeleid.
  2. Incidentafhandeling: Een schriftelijk incident response plan met heldere rolverdeling en regelmatige oefening.
  3. Bedrijfscontinuïteit en crisisbeheer: Vastgelegde back-up- en herstelprocessen met gedocumenteerde RTO en RPO, plus regelmatige tests.
  4. Supply chain security: Beoordeling van leveranciers op cybersecuritymaatregelen en contractueel vastgelegde beveiligingseisen.
  5. Beveiliging bij aankoop en ontwikkeling van systemen: Security by design en actief patchmanagement.
  6. Effectiviteitsbeoordeling van maatregelen: Minimaal jaarlijkse penetratietesten en periodieke audits.
  7. Cyberhygiëne en bewustzijnstraining: Verplichte beveiligingstraining voor alle medewerkers én bestuurders.
  8. Cryptografie en encryptie: Gebruik van encryptie voor gevoelige gegevens en communicatie.
  9. Toegangsbeheer en beveiliging van systemen: Multi-factor authenticatie (MFA) en strikte toegangscontrole.
  10. Beveiliging van communicatiesystemen: Bescherming van netwerken en communicatiekanalen.

Naast de zorgplicht geldt ook een registratieplicht bij de relevante toezichthouder en een meldplicht voor significante incidenten. Bestuurders zijn verplicht aantoonbaar getraind te zijn in het beoordelen van cyberrisico’s. Onwetendheid is bij NIS2 geen excuus.

Wat zijn de sancties bij niet-naleving van NIS2?

De sancties onder NIS2 zijn aanzienlijk zwaarder dan onder NIS1. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Wat NIS2 uniek maakt ten opzichte van NIS1, is de persoonlijke aansprakelijkheid van bestuurders. Bij grove nalatigheid kunnen individuele bestuurders persoonlijk worden beboet, juridische procedures tegemoet zien of reputatieschade oplopen. In uiterste gevallen is tijdelijke schorsing als verantwoordelijke mogelijk. Dit is een belangrijk verschil met de AVG, waarbij primair de organisatie wordt beboet en niet de individuele bestuurder.

Essentiële entiteiten krijgen bovendien te maken met proactief toezicht: de toezichthouder kan zelf audits, inspecties en scans starten, zonder dat er eerst een incident hoeft te zijn. Voor belangrijke entiteiten geldt reactief toezicht, waarbij de toezichthouder alleen optreedt als er aanwijzingen zijn van niet-naleving.

Wanneer moet mijn bedrijf voldoen aan NIS2?

In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (CBW). De wet is in 2026 in behandeling en organisaties die direct onder NIS2 vallen, moeten zo snel mogelijk na inwerkingtreding aantoonbaar compliant zijn. Wacht je tot de wet formeel van kracht is, dan loop je het risico dat je niet op tijd klaar bent.

Een implementatietraject neemt gemiddeld vier tot zes maanden in beslag. Het is verstandig om nu al te beginnen met de volgende stappen:

  • Voer de NIS2-zelfevaluatie uit via zelfevaluatie.rdi.nl om te bepalen of je organisatie verplicht is.
  • Controleer in welke sector je actief bent en wat je omvang is.
  • Inventariseer welke leveranciers toegang hebben tot jouw systemen.
  • Identificeer welke klanten NIS2-plichtig zijn en jou als leverancier kunnen screenen.

Ook als je zelf niet direct NIS2-plichtig bent, is het relevant om te weten of jouw klanten dat wel zijn. Via de ketenverantwoordelijkheid kunnen zij eisen aan jou stellen, ook al val je formeel buiten de wet.

Hoe verschilt de aanpak van NIS2 voor het MKB?

Voor het MKB is NIS2 relevant in drie verschillende situaties, afhankelijk van de positie van het bedrijf. Niet elk MKB-bedrijf is direct verplicht, maar de wet raakt vrijwel ieder bedrijf dat zakendoet met grotere organisaties in aangewezen sectoren.

MKB dat direct verplicht is

Bedrijven in de 18 NIS2-sectoren met 50 of meer medewerkers of meer dan 10 miljoen euro omzet moeten volledig aan de wet voldoen. De grootste uitdagingen voor deze groep zijn het ontbreken van een interne IT-afdeling, een beperkt budget voor compliance en het feit dat maatregelen die al bestaan vaak niet schriftelijk zijn vastgelegd. Bestuurders zijn zich bovendien vaak niet bewust van hun persoonlijke aansprakelijkheid.

MKB dat indirect verplicht is via de keten

Bedrijven die formeel niet NIS2-plichtig zijn maar wel leveren aan NIS2-plichtige klanten, krijgen steeds vaker te maken met beveiligingsvragenlijsten, contractuele beveiligingseisen en mogelijk verplichte certificering. De NIS2-plichtige klant is namelijk verplicht zijn leveranciers te screenen. Naar schatting krijgen 50.000 tot 100.000 extra MKB-bedrijven in Nederland op deze manier indirecte NIS2-verplichtingen.

Voor leveranciers die niet zelf NIS2-plichtig zijn, biedt het NIS2 Supply Chain-keurmerk (SC-keurmerk) een manier om aantoonbaar te maken dat ze aan de eisen voldoen. Dit keurmerk heeft drie niveaus, van basisniveau voor MKB met een beperkt risicoprofiel tot het hoogste niveau met externe toetsing.

Wat is het verschil tussen essentiële en belangrijke entiteiten in NIS2?

NIS2 maakt onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten. Het verschil zit in de sector, de omvang van de organisatie en het type toezicht dat van toepassing is. Beide categorieën moeten voldoen aan dezelfde tien technische maatregelen, maar de handhaving verschilt.

Essentiële entiteiten zijn grote organisaties in hoog-risicosectoren, zoals energie, transport, drinkwater, gezondheidszorg, financiële infrastructuur en digitale infrastructuur. Zij vallen onder proactief toezicht: de toezichthouder kan op eigen initiatief audits en inspecties starten. De maximale boete bedraagt 10 miljoen euro of 2% van de wereldwijde jaaromzet.

Belangrijke entiteiten zijn middelgrote organisaties in dezelfde sectoren, of organisaties in sectoren met een iets lager risicoprofiel, zoals de maakindustrie, de voedingssector en post- en koeriersdiensten. Zij vallen onder reactief toezicht: de toezichthouder treedt pas op als er aanwijzingen zijn van problemen. De maximale boete bedraagt 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

IT-dienstverleners zoals managed service providers vallen in de categorie essentiële of belangrijke entiteiten, afhankelijk van hun omvang. Zij worden in NIS2 expliciet benoemd als aanbieders van ICT-dienstenbeheer (B2B). Dit betekent dat een MSP zelf NIS2-plichtig kan zijn, én verantwoordelijkheid draagt voor de beveiliging van de keten die hij beheert.

Hoe wij helpen met NIS2-compliance

NIS2 roept veel vragen op, zeker als je als MKB-bedrijf geen grote interne IT-afdeling hebt. Wij helpen je om snel inzicht te krijgen in jouw verplichtingen en om concrete stappen te zetten richting compliance. Dat doen we op een manier die past bij de schaal en het budget van jouw organisatie.

Wat we voor je kunnen doen:

  • Een NIS2-quickscan uitvoeren om te bepalen of en hoe de wet op jou van toepassing is.
  • Een gap-analyse opstellen: welke van de tien maatregelen zijn al aanwezig en wat ontbreekt nog?
  • MFA implementeren via Cisco Duo, zodat toegang tot jouw systemen direct beter beveiligd is.
  • Een gedocumenteerd incident response plan opstellen met heldere rolverdeling.
  • Security Awareness Training (SAT) inrichten via ons programma met Huntress, inclusief phishing-simulaties en trainingsregisters die je kunt opnemen in een NIS2 evidence pack.
  • Back-up- en herstelprocessen inrichten met vastgelegde RTO en RPO, inclusief periodieke tests.
  • Een evidence pack opbouwen dat je kunt gebruiken bij klantaudits en toezichthouders.

Wil je weten waar jouw organisatie nu staat ten opzichte van NIS2? Neem contact op voor een vrijblijvende NIS2-quickscan en we plannen samen een afspraak in.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.