Vintage messing bureaukalender op mahoniehouten bureau met officieel document, vulpen en EU-vlag in zacht namiddaglicht

Wanneer is de registratieplicht voor NIS2?

in

De NIS2-registratieplicht gaat in Nederland naar verwachting in per 1 juli 2026, wanneer de Cyberbeveiligingswet van kracht wordt. Organisaties die als essentiële of belangrijke entiteit worden aangemerkt, moeten zich dan registreren bij de bevoegde toezichthouder. Dit artikel beantwoordt de belangrijkste vragen over wie zich moet registreren, wanneer de deadline is en welke stappen u moet nemen om tijdig compliant te zijn.

Wat is de registratieplicht onder NIS2 en voor wie geldt deze?

De registratieplicht onder NIS2 verplicht organisaties die essentiële of belangrijke diensten leveren om zich aan te melden bij de aangewezen toezichthouder. Deze verplichting maakt deel uit van de drie kernverplichtingen van NIS2: de zorgplicht, de meldplicht en het toezicht. Door registratie weet de overheid welke organisaties onder de richtlijn vallen en kan effectief toezicht worden gehouden.

De NIS2-richtlijn onderscheidt twee categorieën organisaties:

  • Essentiële entiteiten: grote organisaties in kritieke sectoren zoals energie, transport, bankwezen, gezondheidszorg, drinkwater en digitale infrastructuur (Annex I-sectoren)
  • Belangrijke entiteiten: middelgrote en grote organisaties in andere aangewezen sectoren zoals post- en koeriersdiensten, afvalverwerking, voedselproductie en digitale aanbieders (Annex II-sectoren)

De criteria voor de registratieplicht zijn gebaseerd op omvang en sector. Middelgrote organisaties (50 tot 250 medewerkers, of een jaaromzet tussen 10 en 50 miljoen euro) en grote organisaties (meer dan 250 medewerkers, of een jaaromzet boven 50 miljoen euro) in de aangewezen sectoren vallen onder de scope. Kleine organisaties met minder dan 50 medewerkers en een omzet onder 10 miljoen euro zijn in principe uitgezonderd, tenzij zij kritieke diensten leveren.

Wanneer gaat de NIS2-registratieplicht in Nederland in?

De NIS2-registratieplicht treedt in Nederland naar verwachting in werking per 1 juli 2026. Op die datum wordt de Europese NIS2-richtlijn omgezet in nationale wetgeving via de Cyberbeveiligingswet (Cbw) en het Cyberbeveiligingsbesluit (Cbb). Organisaties die onder de scope vallen, moeten zich vanaf dat moment registreren bij de bevoegde autoriteit.

De oorspronkelijke Europese deadline voor implementatie was 17 oktober 2024, maar Nederland heeft meer tijd nodig voor het wetgevingsproces. Het wetsvoorstel voor de Cyberbeveiligingswet doorloopt momenteel de parlementaire behandeling. De verwachting is dat organisaties na inwerkingtreding een beperkte periode krijgen om hun registratie te voltooien.

Voor grote organisaties die onder Annex I vallen, geldt proactief toezicht vanaf de ingangsdatum. Dit betekent dat toezichthouders actief zullen controleren of deze organisaties aan hun verplichtingen voldoen. Het is daarom verstandig om niet te wachten tot de laatste maand, maar nu al te starten met de voorbereidingen.

Hoe weet u of uw organisatie zich moet registreren voor NIS2?

Om te bepalen of uw organisatie onder de NIS2-registratieplicht valt, moet u een zelfevaluatie uitvoeren op basis van drie criteria: de sector waarin u actief bent, de omvang van uw organisatie en de aard van uw dienstverlening. De NIS2-richtlijn hanteert het principe van zelfclassificatie, wat betekent dat organisaties zelf moeten vaststellen of zij binnen de scope vallen.

Gebruik deze checklist voor uw zelfevaluatie:

  • Sectorcheck: Valt uw organisatie binnen een van de 18 aangewezen sectoren uit Annex I of Annex II van de richtlijn?
  • Omzetdrempel: Heeft uw organisatie een jaaromzet van meer dan 10 miljoen euro?
  • Personeelsaantal: Heeft uw organisatie 50 of meer medewerkers?
  • Balanstotaal: Is het balanstotaal hoger dan 10 miljoen euro?
  • Kritieke dienstverlening: Levert u diensten die bij uitval grote maatschappelijke impact hebben?

Wanneer uw organisatie aan de omvangscriteria voldoet én actief is in een aangewezen sector, valt u onder de registratieplicht. Let op: ook organisaties die deel uitmaken van de toeleveringsketen van essentiële entiteiten kunnen indirect met NIS2-eisen te maken krijgen via contractuele verplichtingen.

Welke stappen moet u nemen om aan de NIS2-registratieplicht te voldoen?

Het voldoen aan de NIS2-registratieplicht vraagt om een gestructureerde aanpak. U moet niet alleen de registratie zelf voltooien, maar ook aantonen dat uw organisatie de vereiste cyberbeveiligingsmaatregelen heeft getroffen. De registratie is immers gekoppeld aan de zorgplicht die NIS2 oplegt.

Doorloop de volgende stappen voor een succesvolle registratie:

  1. Voer een nulmeting uit: Breng uw huidige cyberbeveiligingsniveau in kaart en identificeer de gaps ten opzichte van de NIS2-vereisten.
  2. Stel een risicobeoordeling op: Analyseer de risico’s die uw netwerk- en informatiesystemen bedreigen.
  3. Implementeer passende maatregelen: Neem technische en organisatorische maatregelen die passen bij uw risicoprofiel.
  4. Documenteer uw processen: Leg vast welke maatregelen u heeft genomen en hoe deze worden onderhouden.
  5. Bereid registratiegegevens voor: Verzamel de benodigde informatie, zoals contactgegevens, sectorclassificatie en een beschrijving van uw dienstverlening.
  6. Registreer bij de toezichthouder: Meld uw organisatie aan via het daarvoor bestemde portaal zodra dit beschikbaar komt.

De exacte registratieprocedure en het portaal worden door de overheid bekendgemaakt wanneer de Cyberbeveiligingswet in werking treedt. Houd de communicatie van uw sectorale toezichthouder in de gaten voor specifieke instructies.

Wat zijn de gevolgen als u de NIS2-registratiedeadline mist?

Het missen van de NIS2-registratiedeadline kan aanzienlijke consequenties hebben voor uw organisatie. De richtlijn voorziet in stevige sancties om naleving af te dwingen. Bovendien introduceert NIS2 persoonlijke aansprakelijkheid voor bestuurders, wat betekent dat het topmanagement direct verantwoordelijk wordt gehouden voor non-compliance.

De mogelijke gevolgen van niet-tijdige registratie zijn onder meer:

  • Administratieve boetes: Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de omzet.
  • Persoonlijke aansprakelijkheid: Bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor het niet naleven van de cybersecurityrisicomanagementmaatregelen.
  • Reputatieschade: Non-compliance kan leiden tot negatieve publiciteit en verlies van vertrouwen bij klanten en partners.
  • Operationele beperkingen: Toezichthouders kunnen corrigerende maatregelen opleggen die uw bedrijfsvoering beïnvloeden.

Naast de formele sancties speelt ook het commerciële aspect een rol. Steeds meer opdrachtgevers en ketenpartners vragen om bewijs van NIS2-compliance. Zonder tijdige registratie en aantoonbare naleving kunt u zakelijke kansen mislopen.

Hoe helpt Hoek en Blok IT bij de NIS2-registratieplicht?

Hoek en Blok IT ondersteunt organisaties bij het volledige traject van NIS2-registratie en -compliance. Met NOREA-gecertificeerde EDP-auditors en ruime ervaring in IT-beveiliging biedt het bureau een pragmatische aanpak die past bij middelgrote ondernemingen.

De dienstverlening voor NIS2-registratie omvat:

  • NIS2-nulmeting: een grondige analyse van uw huidige cyberbeveiligingsniveau ten opzichte van de NIS2-vereisten.
  • Compliance-assessment: beoordeling of uw organisatie onder de registratieplicht valt en welke verplichtingen gelden.
  • Registratiebegeleiding: ondersteuning bij het verzamelen van de juiste documentatie en het doorlopen van het registratieproces.
  • IT Security Officer as a Service: externe invulling van de securityofficerrol voor organisaties die deze expertise niet intern hebben.
  • Risicobeoordeling en maatregelplan: opstellen van de vereiste risicoanalyse en een implementatieplan voor passende maatregelen.

Wilt u weten of uw organisatie onder de NIS2-registratieplicht valt en hoe u zich tijdig kunt voorbereiden op de deadline van 2026? Neem contact op met Hoek en Blok IT voor een vrijblijvend adviesgesprek over uw specifieke situatie.

Wanneer wordt de NIS2-richtlijn van toepassing?Sierlijke gouden zandloper met stromend zand op een bureau, rustend op een verzegeld document, dramatische belichting.Inspecteur in zakelijke kleding controleert serverkast met klembord in datacenter met blauwe verlichtingHoe bereid je je voor op een NIS2 toezichthouder inspectie?