Hoek en Blok.IT
  • Diensten
    • IT-audit en assurance
      • SOC 2
      • ISAE 3402
      • ISAE 3000
      • ISO 27001
      • Internal audit services
      • AVG 0-meting
    • IT security
      • NIS2
      • DORA
      • IT security as a service
      • IT security test
      • Business Continuity Plan
      • Azure Security Scan
    • Procesoptimalisatie
      • Procesmanager
      • Pakketselectie
  • Klantcases
  • Kennisbank
    • Blogs
    • Nieuws
  • Over ons
    • Over ons
    • Ons team
    • Werken bij Hoek en Blok IT
  • Contact
  • Menu Menu
Zakelijke handen houden vergrootglas boven officieel document met zegel op donkere houten vergadertafel

Hoe bepaal je of je organisatie onder NIS2 valt?

in Blogs

Om te bepalen of jouw organisatie onder NIS2 valt, moet je drie factoren beoordelen: de sector waarin je actief bent, de omvang van je organisatie en eventuele uitzonderingsregels. De NIS2-richtlijn is van toepassing op middelgrote en grote organisaties in 18 aangewezen sectoren, met een deadline van 1 juli 2026. Dit artikel beantwoordt de belangrijkste vragen over de toepasselijkheid van NIS2 en helpt je bepalen welke stappen jouw organisatie moet zetten.

Wat is de NIS2-richtlijn en waarom is deze relevant voor jouw organisatie?

De NIS2-richtlijn (Network and Information Systems 2) is Europese wetgeving die de cyberbeveiliging en veerkracht van organisaties moet verbeteren. Deze richtlijn is de opvolger van de oorspronkelijke NIS-richtlijn en breidt de reikwijdte en eisen aanzienlijk uit. In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (Cbw) en het Cyberbeveiligingsbesluit (Cbb).

De relevantie voor jouw organisatie is groot. De groei in digitalisering heeft voor veel mkb’ers uitdagingen meegebracht op het gebied van IT-beveiliging. Het mkb is steeds vaker het doelwit van ransomware-aanvallen. De Europese Unie ziet NIS2 als een essentiële stap in het verbeteren van de cyberweerbaarheid van organisaties.

De belangrijkste deadline is 1 juli 2026. Voor deze datum moeten organisaties die onder de reikwijdte van de richtlijn vallen hun cyberbeveiligingsmaatregelen op orde hebben. De consequenties van non-compliance zijn aanzienlijk: bestuurders worden persoonlijk aansprakelijk voor het niet naleven van de maatregelen voor cybersecurity-risicomanagement. Dit maakt tijdige voorbereiding essentieel.

Welke sectoren vallen onder de NIS2-richtlijn?

NIS2 onderscheidt 18 sectoren, verdeeld over twee categorieën: essentiële sectoren (Annex 1) en belangrijke sectoren (Annex 2). Dit onderscheid bepaalt de mate van toezicht en de zwaarte van de verplichtingen.

Essentiële sectoren (Annex 1) omvatten:

  • Energie
  • Transport
  • Financiële marktinfrastructuren en bankwezen
  • Gezondheidszorg
  • Drinkwater en afvalwater
  • Digitale infrastructuren
  • Overheidsdiensten
  • Ruimtevaart
  • ICT-servicemanagement (B2B)

Organisaties in deze sectoren worden als cruciaal beschouwd voor het functioneren van de maatschappij en economie. Grotere entiteiten krijgen proactief toezicht van toezichthouders.

Belangrijke sectoren (Annex 2) omvatten:

  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Voedselproductie en -distributie
  • Chemische stoffen
  • Onderzoeksinstellingen
  • Productiebedrijven (manufacturing)

Het toezicht op belangrijke sectoren is meer reactief, maar compliance blijft verplicht. Organisaties kunnen gecontroleerd worden op naleving.

Aan welke criteria moet je organisatie voldoen om onder NIS2 te vallen?

Naast de sectorindeling gelden omvangscriteria die bepalen of jouw organisatie NIS2-plichtig is. De richtlijn hanteert twee drempelwaarden:

Middelgrote organisaties:

  • 50 of meer medewerkers, of
  • een jaaromzet van € 10 miljoen of meer

Grote organisaties:

  • 250 of meer medewerkers, of
  • een jaaromzet van € 50 miljoen of meer

Er zijn uitzonderingen waarbij kleinere organisaties toch onder NIS2 kunnen vallen. Dit geldt voor organisaties die kritieke diensten verlenen of actief zijn in de digitale infrastructuur. Denk aan DNS-dienstverleners, vertrouwensdiensten of aanbieders van openbare elektronische communicatienetwerken. Ook organisaties die als enige aanbieder van een essentiële dienst in een lidstaat opereren, kunnen onder de richtlijn vallen, ongeacht hun omvang.

Hoe bepaal je stap voor stap of jouw organisatie NIS2-plichtig is?

Een praktisch stappenplan helpt bij het zelfstandig beoordelen van de toepasselijkheid van NIS2:

Stap 1: Identificeer de primaire activiteiten
Vergelijk jouw activiteiten met de 18 sectoren uit Annex 1 en Annex 2. Vallen jouw primaire activiteiten binnen een van deze sectoren?

Stap 3: Toets aan de omvangscriteria
Ben je actief in digitale infrastructuur of lever je kritieke diensten? Dan kun je ook als kleinere organisatie onder de richtlijn vallen.

Een belangrijk aandachtspunt: organisaties die als toeleverancier in de keten opereren, kunnen indirect geraakt worden. Grote opdrachtgevers die onder NIS2 vallen, moeten de beveiliging van hun toeleveringsketen waarborgen. Dit kan betekenen dat zij eisen stellen aan jouw cyberbeveiligingsniveau.

Wat is het verschil tussen essentiële en belangrijke entiteiten onder NIS2?

De classificatie als essentiële of belangrijke entiteit heeft directe gevolgen voor het toezichtregime en de sanctieniveaus. Dit onderscheid is belangrijk voor jouw compliancestrategie.

Aspect Essentiële entiteiten Belangrijke entiteiten
Toezichtregime Proactief toezicht Reactief toezicht
Maximale boete € 10 miljoen of 2% van de wereldwijde omzet € 7 miljoen of 1,4% van de wereldwijde omzet
Toezichthouder Actieve benadering door toezichthouder Controle na incidenten of meldingen

Essentiële entiteiten worden actief benaderd door toezichthouders en moeten rekening houden met strengere rapportageverplichtingen. Belangrijke entiteiten hebben dezelfde inhoudelijke verplichtingen, maar het toezicht is minder intensief. De maatregelen die beide categorieën moeten implementeren, zijn grotendeels gelijk: risicoanalyse, incidentbehandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen en cyberhygiëne.

Wat zijn de gevolgen als je niet tijdig voldoet aan NIS2?

Non-compliance met NIS2 heeft serieuze consequenties. De wetgeving voorziet in stevige sancties om naleving af te dwingen:

  • Administratieve boetes: tot € 10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten
  • Persoonlijke aansprakelijkheid: bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor non-compliance
  • Tijdelijke schorsing: leidinggevenden kunnen tijdelijk worden geschorst uit hun functie
  • Reputatieschade: publieke bekendmaking van overtredingen kan het vertrouwen van klanten en partners schaden

De persoonlijke aansprakelijkheid van bestuurders is een belangrijk nieuw element. Dit betekent dat bestuurders de materie moeten begrijpen en actief betrokken moeten zijn bij het compliancetraject. Tijdige voorbereiding voorkomt niet alleen boetes, maar beschermt ook de continuïteit van jouw organisatie.

Hoe helpt Hoek en Blok IT bij het bepalen van NIS2-toepasselijkheid?

Hoek en Blok IT ondersteunt organisaties bij alle aspecten van NIS2-compliance. Met NOREA-gecertificeerde EDP-auditors en een pragmatische aanpak helpen wij je bij het bepalen van de toepasselijkheid en het realiseren van compliance.

Onze dienstverlening voor NIS2-vraagstukken omvat:

  • NIS2-quickscan: vaststellen of jouw organisatie onder de richtlijn valt
  • Gap-analyse: vergelijking tussen de huidige situatie en de NIS2-vereisten
  • Compliance-roadmap: opstellen van een concreet implementatieplan richting 1 juli 2026
  • IT-securityassessments en penetratietests: technische toetsing van jouw beveiligingsniveau
  • IT Security Officer as a Service: doorlopende begeleiding bij het organiseren en onderhouden van cybersecurity

Organisaties hebben een security officer nodig vanuit de eigen organisatie en daarnaast expertise voor het totaalplaatje. Veel zaken zitten in de details en daarvoor heb je de juiste kennis nodig. Neem contact op voor een vrijblijvend gesprek over jouw NIS2-vraagstukken.

Deel dit stuk
  • Facebook Facebook Delen op Facebook
  • X-twitter X-twitter Delen op X
  • Whatsapp Whatsapp Delen op WhatsApp
  • Linkedin Linkedin Delen op LinkedIn
  • Mail Mail Delen via e-mail
https://www.hoekenblok.it/wp-content/uploads/2026/01/zakelijk-document-vergrootglas-analyse-kantoor.jpg 768 1024 Steven Verkaart http://hoekenblok.it/wp-content/uploads/2020/02/Logo-HBL-IT2-555x156-1.png Steven Verkaart2026-06-14 06:00:002026-05-07 12:48:00Hoe bepaal je of je organisatie onder NIS2 valt?

Categorieën

  • Blogs
  • DORA
  • ISAE 3000
  • ISAE 3000, ISAE 3402 en SOC 2
  • ISAE 3402
  • IT security
  • IT security manager
  • IT security officer as a service
  • IT security test
  • Kennisbank
  • Klantcases
  • Nieuws
  • NIS2
  • Procesmanager
  • SOC 2
  • Whitepapers

Transformeer jouw IT. Bescherm je bedrijf.

Onze experts verbeteren jouw IT-infrastructuur, beveiligen je tegen hackers, en zorgen dat je voldoet aan de AVG. Toon je klanten dat je controle hebt – wij regelen het voor je.

Neem vandaag nog contact op en versterk je IT!

Diensten

ISAE 3402 assurance

SOC 2 assurance

IT security test

Pakketselectie

IT security as a service

Business continuity plan

Contactgegevens

Stationspark 625
3364 DA Sliedrecht
Postbus 307
3360 AH Sliedrecht

Tuindersweg 22
2991 LR Barendrecht
Postbus 35
2990 AA Barendrecht

Newday-gebouw
Apollolaan 151
1077 EM Amsterdam

t +31 (0)184 49 68 00

www.hoekenblok.IT
info@hoekenblok.IT

Copyright 2025 - Hoek en Blok IT | Algemene voorwaarden | Disclaimer | Privacyverklaring | Klachtenregeling - Enfold Theme by Kriesi
Link naar: Hoe verhouden DORA en de AVG zich tot elkaar? Link naar: Hoe verhouden DORA en de AVG zich tot elkaar? Hoe verhouden DORA en de AVG zich tot elkaar?Twee open juridische dossiers in blauw en bordeaux leer met messing vergrootglas op mahoniehouten bureau in zacht licht Link naar: Hoe beïnvloedt NIS2 je IT-architectuur? Link naar: Hoe beïnvloedt NIS2 je IT-architectuur? Koperen hangslot op serverrack met blauwe indicatielampjes en stalen kabels in modern datacenterHoe beïnvloedt NIS2 je IT-architectuur?
Scroll naar bovenzijde Scroll naar bovenzijde Scroll naar bovenzijde