Verweerd koperen hangslot op bedrijfsdocumenten en organogrammen, EU-vlag op achtergrond, symboliseert gegevensbescherming

Welke organisaties vallen onder NIS2?

in

Organisaties vallen onder NIS2 wanneer zij actief zijn in een van de 18 aangewezen sectoren én voldoen aan de omvangcriteria van minimaal 50 werknemers of een jaaromzet van meer dan 10 miljoen euro. De NIS2-richtlijn maakt onderscheid tussen essentiële en belangrijke entiteiten, waarbij de sector en organisatiegrootte bepalen in welke categorie een bedrijf valt. Hieronder vind je antwoord op de meest gestelde vragen over het toepassingsgebied van NIS2.

Wat is de NIS2-richtlijn en waarom is deze belangrijk voor Nederlandse organisaties?

De NIS2-richtlijn is Europese cybersecuritywetgeving die organisaties verplicht om passende maatregelen te nemen tegen cyberaanvallen. Deze richtlijn vervangt de oorspronkelijke NIS-richtlijn uit 2016 en breidt het toepassingsgebied aanzienlijk uit. Voor Nederlandse bedrijven wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (Cbw), met operationele deadlines vanaf 2026.

De verschuiving van NIS1 naar NIS2 betekent een fundamentele verandering in de aanpak van cybersecurity op Europees niveau. Waar de eerste richtlijn zich beperkte tot een select aantal kritieke sectoren, omvat NIS2 nu 18 sectoren en treft daarmee een veel grotere groep organisaties. De doelstellingen zijn helder: een hoger niveau van cyberweerbaarheid realiseren en de gevolgen van cyberincidenten beperken.

Voor Nederlandse organisaties is de relevantie groot. De wetgeving introduceert niet alleen strengere beveiligingseisen, maar ook persoonlijke aansprakelijkheid voor bestuurders bij non-compliance. Dit maakt NIS2 een onderwerp dat niet alleen op de agenda van IT-afdelingen hoort, maar nadrukkelijk ook op die van directies en bestuurders.

Welke sectoren vallen onder de NIS2-richtlijn?

De NIS2-richtlijn is van toepassing op 18 sectoren, onderverdeeld in essentiële en belangrijke sectoren. Deze indeling bepaalt mede welk toezichtregime voor een organisatie geldt en welke sancties van toepassing kunnen zijn bij overtredingen.

Essentiële sectoren

  • Energie (elektriciteit, olie, gas, waterstof, stadsverwarming)
  • Transport (luchtvaart, spoor, water, weg)
  • Bankwezen
  • Financiële marktinfrastructuur
  • Gezondheidszorg
  • Drinkwater
  • Afvalwater
  • Digitale infrastructuur
  • ICT-dienstverlening (B2B)
  • Overheid
  • Ruimtevaart

Belangrijke sectoren

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Chemische industrie
  • Voedselproductie en -distributie
  • Vervaardiging van bepaalde producten
  • Digitale aanbieders
  • Onderzoek

De sector waarin een organisatie opereert vormt samen met de omvang de basis voor de beoordeling of NIS2 van toepassing is.

Wat is het verschil tussen essentiële en belangrijke entiteiten onder NIS2?

Het onderscheid tussen essentiële en belangrijke entiteiten bepaalt de intensiteit van het toezicht en de hoogte van mogelijke sancties. Essentiële entiteiten vallen onder proactief toezicht, terwijl belangrijke entiteiten reactief worden gecontroleerd.

Bij essentiële entiteiten voert de toezichthouder actief controles uit, ook zonder dat daar aanleiding toe is door een incident. Deze organisaties kunnen te maken krijgen met hogere boetes bij overtredingen. Belangrijke entiteiten worden pas gecontroleerd wanneer er signalen zijn van non-compliance of na een incident.

De criteria voor de indeling zijn als volgt:

  • Grote organisaties in essentiële sectoren worden aangemerkt als essentiële entiteit
  • Middelgrote organisaties in essentiële sectoren worden doorgaans als belangrijke entiteit aangemerkt
  • Organisaties in belangrijke sectoren worden als belangrijke entiteit aangemerkt

Ongeacht de categorie gelden dezelfde kernverplichtingen op het gebied van risicobeheer en incidentmelding. Het verschil zit vooral in de wijze van toezicht en de sanctieniveaus.

Aan welke omvangcriteria moet een organisatie voldoen om onder NIS2 te vallen?

Een organisatie valt onder NIS2 wanneer zij actief is in een aangewezen sector én voldoet aan de drempelwaarden voor middelgrote of grote ondernemingen. Dit betekent minimaal 50 werknemers óf een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

De omvangcriteria volgen de Europese definitie van middelgrote en grote ondernemingen:

  • Middelgroot: 50–249 werknemers, of jaaromzet tussen 10 en 50 miljoen euro
  • Groot: 250 of meer werknemers, of jaaromzet boven 50 miljoen euro

Er bestaan uitzonderingen waarbij kleinere organisaties toch onder NIS2 kunnen vallen. Dit geldt bijvoorbeeld voor aanbieders van DNS-diensten, vertrouwensdiensten en bepaalde digitale infrastructuur. Ook organisaties die als enige aanbieder van een essentiële dienst in een lidstaat fungeren, kunnen ongeacht hun omvang onder de richtlijn vallen.

Hoe bepaal je of jouw organisatie onder NIS2 valt?

De beoordeling of jouw organisatie onder NIS2 valt, is gebaseerd op een self-assessment. Je bepaalt zelf of je aan de criteria voldoet door de sector en omvang van je organisatie te toetsen aan de richtlijn. Een gestructureerde aanpak helpt om tot een juiste conclusie te komen.

Doorloop de volgende stappen:

  1. Bepaal in welke sector(en) jouw organisatie actief is
  2. Controleer of deze sector onder de 18 NIS2-sectoren valt
  3. Toets de omvang van je organisatie aan de drempelwaarden
  4. Beoordeel of er uitzonderingsbepalingen van toepassing zijn
  5. Bepaal of je als essentiële of belangrijke entiteit kwalificeert

Bij twijfel over de classificatie is het verstandig om een NIS2-nulmeting uit te laten voeren. Zo’n nulmeting geeft inzicht in de huidige status van cybersecuritymaatregelen en identificeert potentiële kwetsbaarheden. Dit vormt een goede basis om te bepalen welke stappen nodig zijn richting compliance.

Wat zijn de belangrijkste verplichtingen voor organisaties die onder NIS2 vallen?

Organisaties die onder NIS2 vallen, moeten voldoen aan drie kernverplichtingen: de zorgplicht, de meldplicht en het toezicht. Deze verplichtingen vereisen concrete maatregelen op het gebied van risicobeheer, incidentrespons en bedrijfscontinuïteit.

De zorgplicht verplicht organisaties om een risicobeoordeling uit te voeren en passende maatregelen te nemen. Dit omvat:

  • Risicoanalyse en beveiliging van informatiesystemen
  • Beleid voor cryptografie en encryptie
  • Supply chain security en leveranciersmanagement
  • Bedrijfscontinuïteit en calamiteitenplanning
  • Periodieke beoordeling van de effectiviteit van maatregelen

De meldplicht vereist dat cyberincidenten binnen 24 uur worden gemeld aan de toezichthouder en het Computer Security Incident Response Team (CSIRT). Daarnaast komen organisaties onder toezicht van een onafhankelijke toezichthouder.

Een belangrijk aandachtspunt is de persoonlijke aansprakelijkheid van bestuurders. Als directie kun je persoonlijk aansprakelijk worden gesteld voor de gevolgen van non-compliance. Cybersecurity is daarmee geen exclusief IT-onderwerp meer, maar een bestuurlijke verantwoordelijkheid.

Hoe helpt Hoek en Blok IT bij NIS2-compliance?

Hoek en Blok IT ondersteunt organisaties bij de volledige voorbereiding op NIS2-compliance. Met een pragmatische en betaalbare aanpak helpen wij je om tijdig te voldoen aan de vereisten van de Cyberbeveiligingswet.

Onze dienstverlening voor NIS2-voorbereiding omvat:

  • NIS2-nulmeting: scan van IT-infrastructuur, processen en beveiligingsbeleid met concrete vervolgstappen
  • Gap-analyse: identificatie van tekortkomingen ten opzichte van NIS2-vereisten
  • IT-audits en security assessments: beoordeling van de effectiviteit van cyberbeveiligingsmaatregelen
  • Penetratietests: identificatie van kwetsbaarheden door ethical hacking
  • IT Security Officer as a Service: externe expertise voor organisaties zonder eigen security officer
  • Ondersteuning bij implementatie: begeleiding bij het inrichten van maatregelen en beleid

Onze NOREA-gecertificeerde auditors combineren technische expertise met auditervaring. Wij zorgen dat maatregelen zoveel mogelijk worden belegd in de eerste lijn, zonder onnodige administratieve last.

Wil je weten hoe jouw organisatie ervoor staat? Neem contact op voor een vrijblijvend gesprek over de mogelijkheden van een NIS2-nulmeting.

Hoe controleert DNB naleving van DORA?Vergrootglas boven financiële documenten en compliance-mappen op mahonie bureau, met focus op kleine lettertjes en officieel zegel.Messing hangslot op compliance-documenten naast eurobiljetten en laptop met financiële spreadsheets op executive bureauWat zijn de kosten van NIS2 implementatie?