Hoe bepaal je of je organisatie onder NIS2 valt?
Om te bepalen of jouw organisatie onder NIS2 valt, moet je drie factoren beoordelen: de sector waarin je actief bent, de omvang van je organisatie en eventuele uitzonderingsregels. De NIS2-richtlijn is van toepassing op middelgrote en grote organisaties in 18 aangewezen sectoren, met een deadline van 1 juli 2026. Dit artikel beantwoordt de belangrijkste vragen over de toepasselijkheid van NIS2 en helpt je bepalen welke stappen jouw organisatie moet zetten.
Wat is de NIS2-richtlijn en waarom is deze relevant voor jouw organisatie?
De NIS2-richtlijn (Network and Information Systems 2) is Europese wetgeving die de cyberbeveiliging en veerkracht van organisaties moet verbeteren. Deze richtlijn is de opvolger van de oorspronkelijke NIS-richtlijn en breidt de reikwijdte en eisen aanzienlijk uit. In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (Cbw) en het Cyberbeveiligingsbesluit (Cbb).
De relevantie voor jouw organisatie is groot. De groei in digitalisering heeft voor veel mkb’ers uitdagingen meegebracht op het gebied van IT-beveiliging. Het mkb is steeds vaker het doelwit van ransomware-aanvallen. De Europese Unie ziet NIS2 als een essentiële stap in het verbeteren van de cyberweerbaarheid van organisaties.
De belangrijkste deadline is 1 juli 2026. Voor deze datum moeten organisaties die onder de reikwijdte van de richtlijn vallen hun cyberbeveiligingsmaatregelen op orde hebben. De consequenties van non-compliance zijn aanzienlijk: bestuurders worden persoonlijk aansprakelijk voor het niet naleven van de maatregelen voor cybersecurity-risicomanagement. Dit maakt tijdige voorbereiding essentieel.
Welke sectoren vallen onder de NIS2-richtlijn?
NIS2 onderscheidt 18 sectoren, verdeeld over twee categorieën: essentiële sectoren (Annex 1) en belangrijke sectoren (Annex 2). Dit onderscheid bepaalt de mate van toezicht en de zwaarte van de verplichtingen.
Essentiële sectoren (Annex 1) omvatten:
- Energie
- Transport
- Financiële marktinfrastructuren en bankwezen
- Gezondheidszorg
- Drinkwater en afvalwater
- Digitale infrastructuren
- Overheidsdiensten
- Ruimtevaart
- ICT-servicemanagement (B2B)
Organisaties in deze sectoren worden als cruciaal beschouwd voor het functioneren van de maatschappij en economie. Grotere entiteiten krijgen proactief toezicht van toezichthouders.
Belangrijke sectoren (Annex 2) omvatten:
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Voedselproductie en -distributie
- Chemische stoffen
- Onderzoeksinstellingen
- Productiebedrijven (manufacturing)
Het toezicht op belangrijke sectoren is meer reactief, maar compliance blijft verplicht. Organisaties kunnen gecontroleerd worden op naleving.
Aan welke criteria moet je organisatie voldoen om onder NIS2 te vallen?
Naast de sectorindeling gelden omvangscriteria die bepalen of jouw organisatie NIS2-plichtig is. De richtlijn hanteert twee drempelwaarden:
Middelgrote organisaties:
- 50 of meer medewerkers, of
- een jaaromzet van € 10 miljoen of meer
Grote organisaties:
- 250 of meer medewerkers, of
- een jaaromzet van € 50 miljoen of meer
Er zijn uitzonderingen waarbij kleinere organisaties toch onder NIS2 kunnen vallen. Dit geldt voor organisaties die kritieke diensten verlenen of actief zijn in de digitale infrastructuur. Denk aan DNS-dienstverleners, vertrouwensdiensten of aanbieders van openbare elektronische communicatienetwerken. Ook organisaties die als enige aanbieder van een essentiële dienst in een lidstaat opereren, kunnen onder de richtlijn vallen, ongeacht hun omvang.
Hoe bepaal je stap voor stap of jouw organisatie NIS2-plichtig is?
Een praktisch stappenplan helpt bij het zelfstandig beoordelen van de toepasselijkheid van NIS2:
Stap 1: Identificeer de primaire activiteiten
Vergelijk jouw activiteiten met de 18 sectoren uit Annex 1 en Annex 2. Vallen jouw primaire activiteiten binnen een van deze sectoren?
Stap 3: Toets aan de omvangscriteria
Ben je actief in digitale infrastructuur of lever je kritieke diensten? Dan kun je ook als kleinere organisatie onder de richtlijn vallen.
Een belangrijk aandachtspunt: organisaties die als toeleverancier in de keten opereren, kunnen indirect geraakt worden. Grote opdrachtgevers die onder NIS2 vallen, moeten de beveiliging van hun toeleveringsketen waarborgen. Dit kan betekenen dat zij eisen stellen aan jouw cyberbeveiligingsniveau.
Wat is het verschil tussen essentiële en belangrijke entiteiten onder NIS2?
De classificatie als essentiële of belangrijke entiteit heeft directe gevolgen voor het toezichtregime en de sanctieniveaus. Dit onderscheid is belangrijk voor jouw compliancestrategie.
| Aspect | Essentiële entiteiten | Belangrijke entiteiten |
|---|---|---|
| Toezichtregime | Proactief toezicht | Reactief toezicht |
| Maximale boete | € 10 miljoen of 2% van de wereldwijde omzet | € 7 miljoen of 1,4% van de wereldwijde omzet |
| Toezichthouder | Actieve benadering door toezichthouder | Controle na incidenten of meldingen |
Essentiële entiteiten worden actief benaderd door toezichthouders en moeten rekening houden met strengere rapportageverplichtingen. Belangrijke entiteiten hebben dezelfde inhoudelijke verplichtingen, maar het toezicht is minder intensief. De maatregelen die beide categorieën moeten implementeren, zijn grotendeels gelijk: risicoanalyse, incidentbehandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen en cyberhygiëne.
Wat zijn de gevolgen als je niet tijdig voldoet aan NIS2?
Non-compliance met NIS2 heeft serieuze consequenties. De wetgeving voorziet in stevige sancties om naleving af te dwingen:
- Administratieve boetes: tot € 10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten
- Persoonlijke aansprakelijkheid: bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor non-compliance
- Tijdelijke schorsing: leidinggevenden kunnen tijdelijk worden geschorst uit hun functie
- Reputatieschade: publieke bekendmaking van overtredingen kan het vertrouwen van klanten en partners schaden
De persoonlijke aansprakelijkheid van bestuurders is een belangrijk nieuw element. Dit betekent dat bestuurders de materie moeten begrijpen en actief betrokken moeten zijn bij het compliancetraject. Tijdige voorbereiding voorkomt niet alleen boetes, maar beschermt ook de continuïteit van jouw organisatie.
Hoe helpt Hoek en Blok IT bij het bepalen van NIS2-toepasselijkheid?
Hoek en Blok IT ondersteunt organisaties bij alle aspecten van NIS2-compliance. Met NOREA-gecertificeerde EDP-auditors en een pragmatische aanpak helpen wij je bij het bepalen van de toepasselijkheid en het realiseren van compliance.
Onze dienstverlening voor NIS2-vraagstukken omvat:
- NIS2-quickscan: vaststellen of jouw organisatie onder de richtlijn valt
- Gap-analyse: vergelijking tussen de huidige situatie en de NIS2-vereisten
- Compliance-roadmap: opstellen van een concreet implementatieplan richting 1 juli 2026
- IT-securityassessments en penetratietests: technische toetsing van jouw beveiligingsniveau
- IT Security Officer as a Service: doorlopende begeleiding bij het organiseren en onderhouden van cybersecurity
Organisaties hebben een security officer nodig vanuit de eigen organisatie en daarnaast expertise voor het totaalplaatje. Veel zaken zitten in de details en daarvoor heb je de juiste kennis nodig. Neem contact op voor een vrijblijvend gesprek over jouw NIS2-vraagstukken.




