Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wat moet ik doen voor NIS2?

24 mei 2026

Voor NIS2 moet je als organisatie voldoen aan de Nederlandse Cyberbeveiligingswet (CBW), die de Europese NIS2-richtlijn implementeert. Dat betekent concreet: je registreert je bij de toezichthouder, voert tien technische en organisatorische maatregelen door, stelt je bestuurders verantwoordelijk en meldt beveiligingsincidenten binnen vastgestelde termijnen. De NIS2-verplichting geldt voor organisaties in 18 aangewezen sectoren die boven bepaalde drempelwaarden uitkomen, maar via ketenverantwoordelijkheid raakt de richtlijn ook veel kleinere bedrijven. Hieronder beantwoorden we de meest gestelde vragen over NIS2-compliance, zodat je precies weet waar je staat en wat je moet doen.

Voor welke bedrijven geldt de NIS2-richtlijn?

De NIS2-richtlijn in Nederland geldt direct voor organisaties in 18 aangewezen sectoren die voldoen aan de drempelwaarden van minimaal 50 medewerkers of meer dan 10 miljoen euro omzet. Denk aan sectoren als energie, transport, gezondheidszorg, digitale infrastructuur en ICT-dienstenbeheer. Organisaties die hieronder vallen, zijn verplicht zich te registreren bij de Rijksinspectie Digitale Infrastructuur (RDI).

IT-dienstverleners zoals managed service providers worden in NIS2 expliciet benoemd onder de sector “ICT-dienstenbeheer (B2B)” als een categorie van essentiële dienstverleners. Een IT-dienstverlener valt onder de richtlijn als hij 50 of meer medewerkers heeft, actief is als managed service provider, cloud provider, datacenter of softwaredienstverlener, of als hij als kritieke leverancier wordt aangemerkt door een NIS2-plichtige klant.

Kleine bedrijven met minder dan 50 medewerkers en minder dan 10 miljoen euro omzet vallen in principe niet direct onder NIS2. Toch krijgen naar schatting 50.000 tot 100.000 extra MKB-bedrijven indirecte verplichtingen via ketenverantwoordelijkheid. De 8.000 tot 10.000 organisaties die direct onder de wet vallen, zijn namelijk verplicht beveiligingseisen te stellen aan hun leveranciers. Lever jij diensten aan een NIS2-plichtige organisatie, dan kun je dus beveiligingsvragenlijsten ontvangen en contractuele eisen verwachten, ook als jij zelf onder de drempelwaarden blijft.

Twijfel je of jouw organisatie onder de NIS2-verplichting valt? De zelfevaluatietool op zelfevaluatie.rdi.nl geeft je snel duidelijkheid over je positie.

Wat zijn de verplichte maatregelen onder NIS2?

NIS2-maatregelen zijn vastgelegd in artikel 21 van de richtlijn en omvatten tien concrete technische en organisatorische verplichtingen. Elke organisatie die onder de wet valt, moet al deze maatregelen aantoonbaar hebben ingevoerd en gedocumenteerd. Het gaat niet alleen om het nemen van maatregelen, maar ook om het kunnen bewijzen dat je ze hebt genomen.

De tien verplichte maatregelen zijn:

  1. Risicoanalyse en informatiebeveiligingsbeleid: een gedocumenteerde, jaarlijks bijgewerkte risicoanalyse en een door het bestuur goedgekeurd cybersecuritybeleid, bij voorkeur ingebed in een ISMS.
  2. Incidentafhandeling: een schriftelijk incident response plan met heldere rolverdeling en regelmatige oefening via scenario’s.
  3. Bedrijfscontinuïteit en crisisbeheer: vastgelegde back-up- en herstelprocessen met offline back-ups, gedocumenteerde RTO en RPO, en regelmatige tests van herstelprocessen.
  4. Supply chain security: beoordeling van alle leveranciers op cybersecuritymaatregelen, contractueel vastgelegde beveiligingseisen en jaarlijkse controle van kritieke leveranciers.
  5. Beveiliging bij aankoop en ontwikkeling van systemen: security by design, actief patchmanagement en vulnerability management.
  6. Effectiviteitsbeoordeling van maatregelen: minimaal jaarlijks aanbevolen penetratietesten en periodieke audits van beveiligingsmaatregelen.
  7. Cyberhygiëne en bewustzijnstraining: verplichte beveiligingstraining voor alle medewerkers, phishing-simulaties en een trainingsplicht voor bestuurders.
  8. Cryptografie en encryptie: toepassing van encryptie voor data in transit en at rest waar relevant.
  9. Toegangsbeheer en authenticatie: strikte toegangscontrole, multi-factor authenticatie (MFA) voor alle systemen, niet alleen VPN, en privileged access management.
  10. Meldplicht: tijdige melding van beveiligingsincidenten bij de bevoegde autoriteit, conform de vastgestelde termijnen.

Aantoonbaarheid is hierbij het sleutelwoord. Een evidence pack met onder andere MFA-configuratiebewijzen, patchmanagement-logs, back-up- en hersteltestrapporten, penetratietestrapporten en cyber security en trainingsregisters van medewerkers vormt het bewijs dat je maatregelen daadwerkelijk in werking zijn.


Hi, how are you doing?
Can I ask you something?
Hallo! Ik zie dat je je verdiept in NIS2. Veel MKB-bedrijven worstelen met dezelfde vraag: val ik eronder, en wat moet ik dan eigenlijk doen? Wat omschrijft jouw situatie het beste?
Goed om te weten! Veel organisaties ontdekken pas laat dat ze al verplichtingen hebben. Hoe groot is jullie organisatie ongeveer?
Dat klinkt urgent — goed dat je er nu mee bezig bent. Hoe snel wil je hier iets mee doen?
Op basis van wat je hebt aangegeven kan NTNT je snel duidelijkheid geven over jullie NIS2-positie en wat er concreet moet gebeuren — inclusief een vrijblijvende quickscan. Laat je gegevens achter, dan neemt ons team contact met je op.
Dan zorgen we dat je snel geholpen wordt. NTNT helpt MKB-bedrijven al meer dan 25 jaar met IT — en NIS2-compliance is iets waar we je stap voor stap doorheen kunnen begeleiden. Laat je gegevens achter, dan neemt ons team zo snel mogelijk contact met je op.
Bedankt! Je aanvraag is ontvangen. Ons team bekijkt je verzoek en neemt contact met je op om te bespreken hoe we je kunnen helpen met NIS2. Fijn dat je de stap hebt gezet!

Wat is het verschil tussen NIS2 en de AVG?

Het belangrijkste verschil tussen NIS2 en de AVG is het toepassingsgebied en de aansprakelijkheid. De AVG richt zich op de bescherming van persoonsgegevens en beboet primair de organisatie. NIS2 richt zich op de weerbaarheid van netwerk- en informatiesystemen in kritieke sectoren en kan de individuele bestuurder persoonlijk aansprakelijk stellen bij grove nalatigheid.

Beide wetten overlappen op het gebied van beveiligingsmaatregelen en incidentmelding, maar ze vullen elkaar aan in plaats van dat de ene de andere vervangt. Concreet zijn de verschillen:

  • Scope: de AVG geldt voor elke organisatie die persoonsgegevens verwerkt; NIS2 geldt specifiek voor organisaties in aangewezen sectoren boven bepaalde drempelwaarden.
  • Focus: de AVG beschermt de privacy van individuen; NIS2 beschermt de continuïteit en veiligheid van digitale systemen en netwerken.
  • Aansprakelijkheid: bij de AVG is de organisatie de primaire verantwoordelijke partij; bij NIS2 kan het de individuele bestuurder zijn die persoonlijk beboet of geschorst wordt.
  • Meldplicht: de AVG verplicht melding van datalekken met persoonsgegevens binnen 72 uur bij de AP; NIS2 heeft een getrapte meldplicht voor beveiligingsincidenten bij de sectorale toezichthouder.

In de praktijk betekent dit dat je als organisatie beide wetten naast elkaar moet naleven. Verwerkingsafspraken die je in het kader van de AVG hebt gemaakt, moeten ook in lijn zijn met NIS2-vereisten. Controleer dus of jouw bestaande AVG-documentatie aansluit op de bredere beveiligingseisen van de Cyberbeveiligingswet.

Wanneer moet je voldoen aan NIS2?

Er is geen wettelijke overgangstermijn voor NIS2-compliance. De Cyberbeveiligingswet is de Nederlandse implementatie van de NIS2-richtlijn en treedt in werking zodra de wet formeel van kracht is. In de praktijk zal handhaving aanvankelijk gericht zijn op voorlichting en bewustwording, maar organisaties die aantoonbaar niets hebben ondernomen, lopen risico op sancties zodra de toezichthouder actief handhaaft.

Voor de trainingsplicht voor bestuurders geldt specifiek dat deze binnen twee jaar na inwerkingtreding van de wet moet zijn afgerond. Dit is een harde termijn die je nu al kunt beginnen in te vullen.

Praktisch gezien is het verstandig om niet te wachten op handhaving. Een gefaseerde aanpak verspreid over maanden is realistischer dan alles tegelijk willen regelen. Begin met de zelfevaluatie, voer een gap-analyse uit en prioriteer de maatregelen die het meeste risico afdekken. Hoe eerder je begint, hoe meer tijd je hebt om documentatie op te bouwen die bij een toezichtscontrole standhoudt.

Hoe meld je een beveiligingsincident onder NIS2?

Onder NIS2 geldt een getrapte meldplicht voor beveiligingsincidenten. Je meldt een incident dat significante impact heeft op je dienstverlening binnen 24 uur als vroege waarschuwing bij de bevoegde toezichthouder. Binnen 72 uur volgt een volledigere incidentmelding. Na maximaal een maand lever je een eindrapportage aan. Het niet tijdig melden van een incident kan leiden tot handhaving en boetes.

Een significante impact betekent dat het incident ernstige operationele verstoringen veroorzaakt, financiële verliezen oplevert, of andere organisaties treft. Niet elk beveiligingsprobleem hoeft gemeld te worden, maar twijfel je, dan is melden de veiligste keuze.

Om incidentmelding in de praktijk goed te laten verlopen, moet je vooraf het volgende hebben geregeld:

  • Een schriftelijk incident response plan met heldere rolverdeling: wie meldt wat aan wie en binnen welke termijn.
  • Contactgegevens van de bevoegde toezichthouder en een intern escalatiepad.
  • Tamper-proof logging zodat je de tijdlijn van een incident achteraf kunt reconstrueren.
  • Contractuele afspraken met leveranciers over wie meldt als een incident via hen ontstaat.

Bestuurders moeten aantoonbaar betrokken zijn bij incidentrespons. Onwetendheid is onder NIS2 geen excuus, ook niet voor directieleden die dagelijks niet met IT bezig zijn.

Wat zijn de boetes bij niet-naleving van NIS2?

Bij niet-naleving van de NIS2-richtlijn in Nederland kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten liggen de maxima op 7 miljoen euro of 1,4% van de jaaromzet. Naast organisatieboetes kunnen individuele bestuurders persoonlijk aansprakelijk worden gesteld bij grove nalatigheid.

Persoonlijke bestuurdersaansprakelijkheid is een van de meest ingrijpende aspecten van NIS2. Concreet kan dit leiden tot:

  • Persoonlijke boetes voor de individuele bestuurder.
  • Juridische procedures en reputatieschade.
  • In uiterste gevallen: tijdelijke schorsing als verantwoordelijke.

Dit is een fundamenteel verschil met de AVG, waarbij de organisatie primair beboet wordt. Bij NIS2 kijkt de toezichthouder ook naar het gedrag en de betrokkenheid van individuele bestuurders. Heb jij als directeur het cybersecuritybeleid goedgekeurd? Ben je aantoonbaar betrokken bij risicobeoordeling en incidentrespons? Zo niet, dan loop je persoonlijk risico.

Naast financiële sancties kan de toezichthouder ook publicatie van overtredingen gelasten, wat reputatieschade oplevert die in de praktijk zwaarder weegt dan de boete zelf.

Hoe begin je met NIS2-compliance als MKB?

Als MKB begin je met NIS2-compliance door eerst je positie te bepalen: val je direct onder de wet of krijg je indirecte verplichtingen via je klanten? Voer daarna een gap-analyse uit om te zien welke van de tien verplichte maatregelen je al hebt en wat er nog ontbreekt. Werk vervolgens gefaseerd naar volledige compliance toe, te beginnen met de maatregelen die het meeste risico afdekken.

Een praktisch stappenplan ziet er als volgt uit:

  1. Bepaal je positie (week 1-2): gebruik de zelfevaluatietool op zelfevaluatie.rdi.nl, controleer sector en omzet, en inventariseer welke klanten NIS2-plichtig zijn.
  2. Gap-analyse (week 3-4): breng in kaart welke van de tien maatregelen al aanwezig zijn, wat quick wins zijn en wat langetermijninvesteringen vraagt.
  3. Kernprocessen inrichten (maand 2-3): stel een incident response plan op, activeer MFA op alle systemen, richt netwerksegmentatie in, test back-ups en start met medewerkers- en bestuurstraining.
  4. Documentatie en leveranciersbeheer (maand 3-4): stel beleidsdocumenten op, maak een leverancierslijst met risicoklassificatie, leg beveiligingseisen contractueel vast en bereid je voor op NCSC-registratie.
  5. Aantoonbaarheid en continue verbetering (doorlopend): bouw een evidence pack op, voer jaarlijks een penetratietest uit, houd logging bij en registreer je formeel bij de NCSC zodra de wet ingaat.

ISO 27001 is een sterke basis voor NIS2-compliance voor het MKB, maar dekt niet alles. De getrapte meldplicht, bestuurstraining, NIS2-specifiek leveranciersbeheer en NCSC-registratie vereisen aanvullende stappen bovenop een ISO 27001-certificering. Voor leveranciers aan NIS2-plichtige klanten biedt het NIS2 SC-keurmerk (SC10, SC20 of SC30) een praktisch bewijs richting klanten en een concurrentievoordeel in aanbestedingen.

Hoe wij helpen met NIS2-compliance

NIS2 vraagt om concrete actie op meerdere vlakken tegelijk: technische maatregelen, documentatie, leveranciersbeheer en bestuurstraining. Dat is voor veel MKB-bedrijven een flinke opgave naast de dagelijkse bedrijfsvoering. Wij helpen je om dit gestructureerd en behapbaar aan te pakken.

Wat wij voor je doen:

  • NIS2-zelfevaluatie en gap-analyse: we brengen samen in kaart waar je staat en wat er nog moet gebeuren.
  • Technische maatregelen: we implementeren MFA via Cisco Duo, richten veilige toegangscontrole in, verzorgen patchmanagement en zorgen voor aantoonbare back-up- en herstelprocessen.
  • Cybersecurity monitoring en respons: via Huntress monitoren we je omgeving proactief en handelen we snel bij dreigingen.
  • Security Awareness Training: we trainen je medewerkers en bestuurders met gedocumenteerde trainingsregisters die direct bruikbaar zijn in je evidence pack.
  • Documentatie en evidence pack: we helpen je bij het opstellen van beleidsdocumenten, leverancierslijsten en risicoanalyses die standhouden bij een toezichtscontrole.
  • Leveranciersbeheer: we ondersteunen je bij het contractueel vastleggen van beveiligingseisen richting je eigen leveranciers.

Wil je weten hoe je er nu voor staat? Neem contact op met NTNT voor een vrijblijvende NIS2-quickscan. Dan weet je binnen korte tijd wat je moet doen en hoe we je daarbij kunnen helpen.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.