Veel MKB-ondernemers gaan ervan uit dat Europese cybersecuritywetgeving alleen voor grote multinationals geldt. De NIS2-richtlijn — de opvolger van de oorspronkelijke NIS-richtlijn uit 2016 — doorbreekt die aanname. Duizenden middelgrote Nederlandse bedrijven vallen onder de nieuwe regels, en de gevolgen van niet-naleving zijn aanzienlijk. In dit artikel lees je wat NIS2 inhoudt, hoe je bepaalt of je organisatie eronder valt en wat je concreet moet doen om te voldoen.
Wat is NIS2 en waarom is het ingevoerd?
NIS2 staat voor de herziene Netwerk- en Informatiebeveiligingsrichtlijn (EU 2022/2555). De Europese Unie heeft de richtlijn ingevoerd omdat het digitale dreigingslandschap de afgelopen jaren ingrijpend is veranderd: ransomware-aanvallen op ziekenhuizen, supply chain-aanvallen op softwareleveranciers en verstoringen van kritieke infrastructuur hebben aangetoond dat de oorspronkelijke NIS-richtlijn te beperkt was in scope en handhaving.
NIS2 vergroot de reikwijdte aanzienlijk, stelt concretere beveiligingseisen, introduceert een strakkere meldplicht en geeft toezichthouders meer handhavingsmacht. Nederland heeft de richtlijn omgezet in nationale wetgeving via de Cyberbeveiligingswet.
Valt je organisatie onder NIS2?
NIS2 onderscheidt twee categorieën entiteiten: essentiële entiteiten en belangrijke entiteiten. De indeling hangt af van de sector en de bedrijfsomvang.
| Categorie | Omvang | Voorbeeldsectoren |
|---|---|---|
| Essentiële entiteiten | Groot (meer dan 250 fte of meer dan 50 miljoen euro omzet) | Energie, drinkwater, zorg, digitale infrastructuur, transport |
| Belangrijke entiteiten | Middelgroot (50–250 fte of 10–50 miljoen euro omzet) | Post, afvalbeheer, chemie, levensmiddelen, digitale aanbieders |
| Buiten scope | Klein (minder dan 50 fte én minder dan 10 miljoen euro omzet) | Alle sectoren, tenzij kritieke impact |
Let op: ook kleine organisaties kunnen onder NIS2 vallen als zij worden aangemerkt als kritiek voor de maatschappij, ongeacht hun omvang. Dit geldt bijvoorbeeld voor bepaalde zorgaanbieders en leveranciers van kritieke digitale diensten. Als MKB-bedrijf dat actief is in een van de aangewezen sectoren én 50 of meer medewerkers heeft, is de kans groot dat je onder de categorie “belangrijke entiteit” valt.
Wat zijn de concrete verplichtingen?
NIS2 legt organisaties een zorgplicht en een meldplicht op. De zorgplicht omvat het treffen van passende en proportionele technische, operationele en organisatorische maatregelen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. Concreet betekent dit aandacht voor tien maatregelengebieden, waaronder:
- Risicoanalyse en informatiebeveiligingsbeleid
- Incidentafhandeling en bedrijfscontinuïteit
- Beveiliging van de toeleveringsketen
- Toegangsbeheer en gebruik van cryptografie
- Bewustwording en training van medewerkers
Tip: NIS2 vereist dat het bestuur of de directie aantoonbaar verantwoordelijkheid draagt voor de naleving. Zorg dat cybersecurity structureel op de bestuurstafel ligt — niet alleen bij de IT-afdeling. Dit is zowel een normeis als een culturele noodzaak.
Wat zijn de risico’s van niet-naleving?
De handhaving onder NIS2 is beduidend strenger dan onder de oorspronkelijke NIS-richtlijn. Voor essentiële entiteiten kunnen toezichthouders boetes opleggen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de omzet.
Naast financiële sancties kunnen toezichthouders ook bevelen uitvaardigen om specifieke maatregelen te treffen, de dienstverlening tijdelijk opschorten of — in het uiterste geval — bestuurders persoonlijk aansprakelijk stellen. Dit laatste onderdeel is voor veel directeuren een eye-opener: NIS2 maakt cybersecurity tot een persoonlijke bestuurlijke verantwoordelijkheid.
Het goede nieuws is dat organisaties die al werken met ISO 27001 of een vergelijkbaar ISMS een sterke basis hebben voor NIS2-compliance. Beide kaders overlappen aanzienlijk op het gebied van risicoanalyse, toegangsbeheer, incidentbeheer en leveranciersbeveiliging. Als startpunt raden wij aan een scoping-analyse uit te voeren (valt je eronder?), gevolgd door een gap-analyse (wat ontbreekt er nog?). Documenteer alles zorgvuldig: NIS2-toezichthouders verwachten aantoonbaar bewijs van naleving.
Veelgestelde vragen
Geldt NIS2 ook voor mijn buitenlandse vestigingen? NIS2 is een Europese richtlijn die in alle EU-lidstaten is geïmplementeerd. Je Nederlandse entiteit valt onder de Nederlandse Cyberbeveiligingswet. Buitenlandse vestigingen vallen onder de wetgeving van het betreffende land. Groepen met vestigingen in meerdere lidstaten moeten mogelijk met meerdere nationale toezichthouders schakelen.
Wanneer moet ik NIS2-compliant zijn? Nederland heeft de NIS2-richtlijn geïmplementeerd via de Cyberbeveiligingswet. De exacte inwerkingtreding en overgangsperiodes kun je verifiëren via de website van het NCSC of je brancheorganisatie. Wacht niet tot de deadline: implementatietrajecten kosten meer tijd dan organisaties doorgaans verwachten.
Kan ik mij laten certificeren voor NIS2? NIS2 kent geen eigen certificering. Wel is ISO 27001-certificering een sterke aantoning van compliance met de beveiligingseisen. Toezichthouders kunnen certificaten meewegen bij hun beoordeling, maar de definitieve naleving toetsen zij op basis van de nationale wetgeving.
Geldt NIS2 ook voor zzp’ers? In de meeste gevallen niet, omdat zij niet aan de omvangsdrempels voldoen. Als je als zzp’er kritieke diensten levert voor een NIS2-plichtige organisatie, kun je contractueel worden verplicht tot vergelijkbare maatregelen.
Wil je weten of je organisatie onder NIS2 valt en hoe je efficiënt aan de verplichtingen voldoet? Bekijk onze diensten op onze prijzenpagina.
Compliant aan NIS2, AVG of DORA?
Control One koppelt wettelijke verplichtingen aan je ISO-controls, beleid en risicoanalyse. Eén platform voor zowel ISO als wetgeving.
Gerelateerde artikelen
AVG datalekken melden: procedure en verplichting
Een datalek melden bij de AP — wanneer verplicht, binnen welke termijn en wat vermeldt je?
NIS2 en leveranciersketen: hoe beheert je ketenrisico's?
NIS2 verplicht aandacht voor supply chain security. Hoe beheert je risico's in je leveranciersketen?
NIS2 boetes en sancties: wat riskeert je?
NIS2 kent boetes tot €10 miljoen of 2% omzet. Wanneer worden ze opgelegd en hoe voorkomt je ze?
NIS2 zorgplicht: concrete maatregelen voor je organisatie
De NIS2 zorgplicht vertaalt zich naar 10 concrete maatregelengebieden. Wat moet je implementeren?