Wat is NIS2 en wanneer val je onder de richtlijn

NIS2 in het kort

Waarom de NIS2-richtlijn is ingevoerd

De Europese Unie heeft de NIS2-richtlijn ingevoerd om de digitale weerbaarheid van lidstaten structureel te versterken. De aanleiding is helder: cyberincidenten raken steeds vaker vitale diensten en bedrijfsprocessen. Denk aan aanvallen op ziekenhuizen, energieleveranciers en overheidssystemen. De maatschappelijke impact van zulke incidenten is groot. Een succesvolle aanval op een waterzuiveringsinstallatie raakt niet alleen het bedrijf zelf, maar potentieel miljoenen burgers.

De toenemende digitalisering en onderlinge afhankelijkheid van sectoren maakt het noodzakelijk om cyberbeveiliging niet langer over te laten aan individuele organisaties of lidstaten. NIS2 stelt daarom een minimumniveau vast waar alle lidstaten aan moeten voldoen. Het doel is om te voorkomen dat zwakke schakels in de ene lidstaat de digitale veiligheid van de hele Unie ondermijnen. Die aanpak is logisch: cyberdreigingen stoppen niet bij landsgrenzen, en een aanval op een toeleverancier in het ene land kan een essentiële dienst in een ander land platleggen.

Wat NIS2 vervangt en aanscherpt

NIS2 is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. Die eerste richtlijn was een belangrijke stap, maar had een beperkte reikwijdte. Ze richtte zich op een klein aantal sectoren en liet lidstaten veel vrijheid in de implementatie. Het resultaat was een gefragmenteerd landschap: de eisen verschilden sterk per land, en veel organisaties die feitelijk een cruciale rol speelden in de digitale keten vielen buiten de scope.

NIS2 pakt die tekortkomingen aan op drie fronten. Ten eerste is het toepassingsgebied fors uitgebreid. Waar de eerste richtlijn zich richtte op een beperkt aantal sectoren, bestrijkt NIS2 achttien sectoren, van energie en gezondheidszorg tot levensmiddelen en afvalstoffenbeheer. Ten tweede zijn de beveiligingseisen concreter geworden. Artikel 21 van de richtlijn noemt tien specifieke maatregelen waaraan organisaties minimaal moeten voldoen, waaronder risicoanalyse, incidentafhandeling, back-upbeheer en ketenbeveiliging. Ten derde is het toezicht en de handhaving aangescherpt. De boetes kunnen oplopen tot tien miljoen euro of twee procent van de wereldwijde jaaromzet voor essentiële entiteiten. Bestuurders zijn daarnaast persoonlijk verantwoordelijk voor de naleving.

Wat NIS2 precies is

Europese cybersecurity-richtlijn

NIS2 staat voor Network and Information Security Directive 2. Het is een Europese richtlijn, wat betekent dat iedere EU-lidstaat de richtlijn moet omzetten in nationale wetgeving. In Nederland wordt dat de Cyberbeveiligingswet (Cbw). Het wetsvoorstel hiervoor is in juni 2025 ingediend bij de Tweede Kamer. De verwachting is dat de wet in het tweede kwartaal van 2026 in werking treedt.

Belangrijk om te weten: de NIS2-richtlijn zelf is sinds januari 2023 van kracht op Europees niveau en had uiterlijk in oktober 2024 door alle lidstaten omgezet moeten zijn. Nederland loopt hierin achter, maar dat verandert niets aan de richting. In meerdere EU-landen, waaronder België, is de wet al van kracht. Organisaties die grensoverschrijdend opereren of leveranciers hebben in andere lidstaten moeten daar nu al rekening mee houden.

Doel en reikwijdte van NIS2

Het doel van NIS2 is om een hoog gemeenschappelijk niveau van cyberbeveiliging te realiseren in de hele EU. De richtlijn richt zich niet op het beschermen van individuele organisaties, maar op het waarborgen van de continuïteit van diensten die essentieel zijn voor de samenleving en economie. De focus ligt op het beperken van maatschappelijke schade bij cyberincidenten.

De reikwijdte is bewust breed gehouden. NIS2 is van toepassing op organisaties die actief zijn in een van de achttien aangewezen sectoren én voldoen aan bepaalde omvangscriteria. De richtlijn maakt daarbij onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten. Dit onderscheid bepaalt niet welke maatregelen je moet nemen (die zijn voor beide categorieën gelijk), maar wel hoe het toezicht wordt ingericht en hoe hoog de maximale boetes zijn.

Voor welke organisaties NIS2 geldt

Essentiële entiteiten

Essentiële entiteiten zijn grote organisaties die actief zijn in de zeer kritieke sectoren uit Bijlage I van de richtlijn. Concreet gaat het om organisaties met minimaal 250 medewerkers, of met een jaaromzet van meer dan vijftig miljoen euro en een balanstotaal van meer dan drieënveertig miljoen euro. Daarnaast zijn bepaalde typen organisaties altijd essentieel, ongeacht hun omvang. Denk aan aanbieders van DNS-diensten, registers voor topleveldomeinnamen, verleners van vertrouwensdiensten en centrale overheidsinstanties.

Essentiële entiteiten vallen onder het zwaarste toezichtsregime. Ze worden zowel proactief als reactief gecontroleerd. Dat betekent dat een toezichthouder kan komen controleren zonder dat er een incident is geweest. Boetes kunnen oplopen tot tien miljoen euro of twee procent van de wereldwijde jaaromzet.

Belangrijke entiteiten

Belangrijke entiteiten zijn middelgrote organisaties in de sectoren uit zowel Bijlage I als Bijlage II, én grote organisaties uit de sectoren van Bijlage II. Middelgroot betekent in dit geval minimaal vijftig medewerkers, of een jaaromzet en balanstotaal van meer dan tien miljoen euro. De inhoudelijke verplichtingen zijn dezelfde als voor essentiële entiteiten: beide moeten passende maatregelen nemen op basis van artikel 21.

Het verschil zit in het toezicht. Belangrijke entiteiten vallen onder reactief toezicht. Dat wil zeggen dat de toezichthouder pas ingrijpt naar aanleiding van een incident of signalen van niet-naleving. De maximale boetes zijn lager: tot zeven miljoen euro of 1,4 procent van de wereldwijde jaaromzet.

Sectoren en voorbeelden

De zeer kritieke sectoren (Bijlage I) omvatten energie (elektriciteit, olie, gas), vervoer (luchtvaart, spoor, scheepvaart, wegvervoer), bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten (B2B), overheid en ruimtevaart.

De andere kritieke sectoren (Bijlage II) omvatten post- en koeriersdiensten, afvalstoffenbeheer, de chemische sector, de levensmiddelensector, de maaksector (specifieke takken), digitale aanbieders (zoals online marktplaatsen en zoekmachines) en onderzoeksinstellingen. In totaal gaat het in Nederland naar schatting om meer dan tienduizend organisaties die direct onder de richtlijn vallen.

Wanneer je onder NIS2 valt

Omvang van de organisatie

Het eerste criterium is de omvang van je organisatie. NIS2 hanteert een zogeheten "size cap": de richtlijn geldt in beginsel voor middelgrote en grote organisaties. Middelgroot betekent minimaal vijftig medewerkers of een jaaromzet en balanstotaal van meer dan tien miljoen euro. Groot betekent minimaal 250 medewerkers of een omzet van meer dan vijftig miljoen euro.

Belangrijk is dat deze drempels worden beoordeeld per rechtspersoon. Bij organisaties met meerdere vestigingen of dochterondernemingen wordt iedere entiteit afzonderlijk beoordeeld. Het feit dat je onderdeel bent van een grotere groep biedt geen bescherming als je eigen entiteit aan de criteria voldoet.

Type dienstverlening

Het tweede criterium is de sector waarin je opereert en het type dienst dat je levert. Je valt onder NIS2 als je organisatie actief is in een van de achttien aangewezen sectoren én voldoet aan de omvangscriteria. De sectoren zijn verdeeld over Bijlage I (zeer kritiek) en Bijlage II (ander kritiek). De kwalificatie hangt af van de feitelijke activiteiten van je organisatie, niet van hoe je jezelf positioneert.

Voor bepaalde typen dienstverlening geldt de richtlijn bovendien ongeacht de omvang. Dit betreft onder meer aanbieders van vertrouwensdiensten, DNS-dienstverleners, registers voor topleveldomeinnamen en verleners van domeinnaamregistratiediensten. Voor deze categorieën maakt het niet uit of je een startup bent met tien medewerkers of een multinational.

Rol in de keten

Een aspect dat veel organisaties over het hoofd zien is de ketenwerking van NIS2. Artikel 21 verplicht organisaties die onder de richtlijn vallen om ook de cyberbeveiliging van hun toeleveringsketen te waarborgen. Dat betekent dat je als leverancier van een NIS2-entiteit indirect te maken kunt krijgen met de eisen uit de richtlijn, ook als je zelf niet aan de omvangscriteria voldoet.

In de praktijk vertaalt zich dat naar contractuele eisen. Een NIS2-entiteit kan van haar leveranciers verlangen dat zij bepaalde beveiligingsmaatregelen implementeren, incidenten melden en bewijs van compliance kunnen overleggen. Het Centre for Cybersecurity Belgium (CCB) adviseert organisaties in de toeleveringsketen om minimaal te voldoen aan het CyberFundamentals-niveau "Basic". Hoewel dit formeel geen wettelijke verplichting is voor de leverancier zelf, wordt het in de praktijk steeds vaker een voorwaarde voor zakendoen.

Wanneer NIS2 (nog) niet van toepassing is

Kleine organisaties

Micro- en kleine ondernemingen (minder dan vijftig medewerkers én een jaaromzet en balanstotaal onder tien miljoen euro) vallen in beginsel niet onder NIS2. De Europese wetgever heeft bewust gekozen voor deze ondergrens om onevenredige lasten voor het kleinbedrijf te voorkomen.

Er is echter een uitzondering. De minister die verantwoordelijk is voor een bepaalde sector kan een klein bedrijf alsnog aanwijzen als de risicobeoordeling daar aanleiding toe geeft. Dat kan bijvoorbeeld het geval zijn als een klein bedrijf de enige aanbieder is van een dienst die essentieel is voor de continuïteit van een sector. Daarnaast vallen bepaalde typen organisaties altijd onder de richtlijn, ongeacht hun omvang. Hieronder vallen onder meer aanbieders van vertrouwensdiensten en DNS-dienstverleners.

Lage risicoprofielen

Organisaties die niet actief zijn in een van de achttien aangewezen sectoren vallen niet onder NIS2, ook niet als ze groot zijn. Een softwarebedrijf dat uitsluitend consumentenapplicaties ontwikkelt en niet in een aangewezen sector opereert, valt buiten de scope. Hetzelfde geldt voor organisaties die weliswaar in een aangewezen sector opereren, maar waarvan de dienstverlening geen significante impact heeft op de continuïteit van essentiële diensten.

Dat betekent niet dat deze organisaties geen cyberbeveiliging nodig hebben. Het betekent alleen dat de verplichtingen uit NIS2 niet rechtstreeks op hen van toepassing zijn. Andere regelgeving, zoals de AVG, kan wel degelijk eisen stellen aan hun informatiebeveiliging.

Uitzonderingen en nuances

De richtlijn kent ook expliciete uitzonderingen. Organisaties die hoofdzakelijk activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving zijn uitgesloten van de NIS2-richtlijn. Daarnaast kent de richtlijn een territoriaal element: voor de meeste sectoren geldt dat je onder de regels valt van de lidstaat waar je een vestiging hebt. Voor bepaalde digitale sectoren geldt een eenloketsysteem, waarbij je onder de regels valt van het land waar je hoofdvestiging is.

Een laatste nuance: de Europese Commissie heeft in januari 2026 gerichte aanpassingen voorgesteld om de juridische duidelijkheid te vergroten. Die aanpassingen moeten de compliance vereenvoudigen voor zo'n 28.700 bedrijven, waaronder 6.200 micro- en kleinbedrijven die onbedoeld in de scope terecht waren gekomen.

Wat NIS2 van organisaties verwacht

Governance en verantwoordelijkheid

NIS2 legt de verantwoordelijkheid voor cyberbeveiliging expliciet bij het bestuur. Bestuurders moeten de risicobeheersmaatregelen goedkeuren, toezicht houden op de uitvoering ervan en kunnen persoonlijk aansprakelijk worden gesteld bij niet-naleving. De richtlijn vereist daarnaast dat bestuurders een opleiding volgen op het gebied van cyberbeveiliging, zodat zij in staat zijn om weloverwogen beslissingen te nemen over beveiligingsrisico's.

Dit is een fundamentele verschuiving ten opzichte van de eerste NIS-richtlijn, waar cyberbeveiliging vaak nog als een technisch onderwerp werd beschouwd dat op IT-niveau werd afgehandeld. Onder NIS2 is het een bestuurszaak. De toezichthouder kan in een uiterst geval bestuurders zelfs tijdelijk schorsen als een organisatie structureel niet voldoet aan de verplichtingen.

Risicobeheer en maatregelen

Artikel 21 van de NIS2-richtlijn noemt tien categorieën van maatregelen die organisaties minimaal moeten implementeren. Het gaat om passende en evenredige technische, operationele en organisatorische maatregelen. "Evenredig" betekent dat de maatregelen in verhouding moeten staan tot de risico's die de organisatie loopt en de impact die een incident kan hebben op de dienstverlening.

De tien maatregelcategorieën omvatten onder meer beleid inzake risicoanalyse en beveiliging van informatiesystemen, incidentenbehandeling, bedrijfscontinuïteit en crisisbeheer, beveiliging van de toeleveringsketen, beveiliging bij het verwerven en ontwikkelen van netwerk- en informatiesystemen, beleid en procedures voor het beoordelen van de effectiviteit van maatregelen, basispraktijken op het gebied van cyberhygiëne en opleiding, beleid inzake het gebruik van cryptografie, personeelsbeveiliging en toegangsbeleid, en het gebruik van multifactorauthenticatie.

Incidentmelding en toezicht

NIS2 stelt strikte eisen aan het melden van significante incidenten. Een incident is significant wanneer het kan leiden tot een ernstige operationele verstoring of financieel verlies, of wanneer het andere personen of organisaties aanzienlijke schade kan berokkenen. De meldtermijnen zijn strak: een eerste waarschuwing moet binnen 24 uur na ontdekking worden ingediend bij het bevoegde CSIRT of de toezichthouder. Binnen 72 uur moet een uitgebreidere melding volgen, en binnen een maand moet een eindverslag worden opgeleverd.

In Nederland wordt het toezicht verdeeld over meerdere instanties, afhankelijk van de sector. De Rijksinspectie Digitale Infrastructuur (RDI) speelt een centrale rol voor digitale infrastructuur en energie. Voor andere sectoren gelden sectorspecifieke toezichthouders, zoals de DNB voor de financiële sector, de ILT voor vervoer en drinkwater, en de IGJ voor de gezondheidszorg.

Veelgemaakte misverstanden over NIS2

NIS2 geldt voor iedereen

Een hardnekkig misverstand is dat NIS2 voor alle bedrijven geldt. Dat is niet het geval. De richtlijn richt zich op middelgrote en grote organisaties in specifieke sectoren. Klein- en microbedrijven vallen er in beginsel niet onder, tenzij ze specifieke digitale diensten leveren of door een minister worden aangewezen. Wel kunnen kleinere organisaties indirect te maken krijgen met NIS2-eisen via hun rol als leverancier van een NIS2-entiteit.

NIS2 vereist directe certificering

NIS2 schrijft geen specifieke certificering voor. De richtlijn vereist dat organisaties passende maatregelen nemen en dit kunnen aantonen aan de toezichthouder. Hoe je dat doet, is in zekere mate aan de organisatie zelf. Een ISO 27001-certificering of een CyberFundamentals-verificatie kan dienen als bewijs van conformiteit, maar het is geen verplichting. In België kunnen NIS2-entiteiten kiezen tussen een CyberFundamentals-certificering (voor essentiële entiteiten) of -verificatie (voor belangrijke en basisniveau), een ISO 27001-certificering, of een inspectie door de bevoegde autoriteit. Het behalen van zo'n certificering of verificatie heeft wel degelijk commerciële waarde: het biedt een vermoeden van conformiteit en versterkt het vertrouwen van klanten en partners.

Alleen technische maatregelen zijn voldoende

NIS2 vraagt nadrukkelijk om meer dan technische maatregelen. De richtlijn eist organisatorische maatregelen (governance, verantwoordelijkheden, opleiding van bestuurders), operationele maatregelen (incidentresponsplannen, bedrijfscontinuïteit, leveranciersbeoordelingen) en technische maatregelen (toegangsbeheer, cryptografie, multifactorauthenticatie). Organisaties die zich uitsluitend richten op technische beveiligingsoplossingen zullen niet voldoen aan de verplichtingen.

De relatie tussen NIS2 en andere frameworks

ISO 27001

ISO 27001 en NIS2 vullen elkaar goed aan. ISO 27001 biedt een systematisch kader voor het opzetten en onderhouden van een managementsysteem voor informatiebeveiliging (ISMS). Veel van de maatregelen die NIS2 vereist, komen overeen met de beheersmaatregelen uit Annex A van ISO 27001. Een organisatie die ISO 27001-gecertificeerd is, heeft daarmee een sterke basis voor NIS2-compliance, al is het niet automatisch voldoende. NIS2 stelt aanvullende eisen op het gebied van incidentmelding, ketenbeveiliging en bestuurdersaansprakelijkheid die buiten de scope van ISO 27001 kunnen vallen.

In België is ISO 27001 expliciet erkend als een van de paden naar een vermoeden van conformiteit onder de NIS2-wet. Voorwaarde is dat de scope en de Verklaring van Toepasselijkheid (Statement of Applicability) door het CCB als toereikend worden beoordeeld. Voor organisaties die al een ISO 27001-traject volgen of overwegen, is het raadzaam om de NIS2-vereisten mee te nemen in de scope, zodat je met één traject beide doelen dient.

SOC 2

SOC 2 is een Amerikaans rapportagekader dat zich richt op de betrouwbaarheid van dienstverlening, met name in de context van clouddiensten en SaaS. Het kent vijf Trust Service Criteria: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Hoewel SOC 2 geen Europees kader is en niet wordt genoemd in de NIS2-richtlijn, kan een SOC 2-rapport wel waarde hebben als aanvullend bewijs van beveiligingsmaatregelen.

Het verschil is dat SOC 2 primair is ontworpen om vertrouwen te wekken bij (Noord-Amerikaanse) klanten, terwijl NIS2 een wettelijke verplichting is met bijbehorend toezicht en sancties. Organisaties die zowel Europese als Amerikaanse klanten bedienen, combineren in de praktijk vaak NIS2-compliance met een SOC 2 Type II-rapport om aan beide verwachtingen te voldoen.

GRC

GRC staat voor Governance, Risk en Compliance. Het is geen specifiek framework, maar een overkoepelende aanpak om governance, risicobeheer en compliance geïntegreerd te managen. NIS2 past binnen een GRC-aanpak als een van de compliance-verplichtingen die een organisatie moet borgen. Door NIS2 niet als een geïsoleerd project te behandelen maar als onderdeel van je bredere GRC-strategie, voorkom je dubbel werk en zorg je ervoor dat maatregelen die je neemt voor NIS2 ook ten goede komen aan andere frameworks die je volgt.

Hoe organisaties zich voorbereiden op NIS2

Overzicht creëren

De eerste stap is vaststellen of je onder de richtlijn valt en zo ja, in welke categorie. De Rijksinspectie Digitale Infrastructuur (RDI) heeft een zelfevaluatietool ontwikkeld waarmee Nederlandse organisaties kunnen toetsen of de Cyberbeveiligingswet op hen van toepassing is. In België biedt het CCB een vergelijkbare scopetest aan. Zodra je weet dat je in scope bent, breng je in kaart welke systemen, processen en data onder de richtlijn vallen en waar de grootste risico's zitten.

Parallel daaraan is het verstandig om je huidige beveiligingsniveau te toetsen aan de maatregelen uit artikel 21. Waar voldoe je al? Waar zitten de hiaten? Die inventarisatie vormt de basis voor een gericht implementatieplan, in plaats van een poging om alles tegelijk op te pakken.

Gefaseerde aanpak

NIS2-compliance is geen project dat je in een week afrondt. Een realistische aanpak is gefaseerd. Begin met de governance: zorg dat het bestuur betrokken is en zijn verantwoordelijkheden begrijpt. Voer vervolgens een risicobeoordeling uit die als basis dient voor het selecteren van passende maatregelen. Implementeer daarna de maatregelen in volgorde van prioriteit, te beginnen bij de gebieden met de hoogste risico's.

Het is daarbij nuttig om te kiezen voor een bestaand framework als leidraad. Het CyberFundamentals-framework kent drie niveaus (Basic, Important en Essential), elk met een toenemend aantal beheersmaatregelen. Het niveau dat voor jouw organisatie van toepassing is, hangt af van je sector en risicoprofiel. Het NIS2 Supply Chain-framework biedt een vergelijkbare gestructureerde aanpak, specifiek gericht op de ketenverantwoordelijkheden binnen NIS2. Beide frameworks bieden concrete handvatten om stap voor stap naar het juiste beveiligingsniveau te groeien.

Meebewegen met groei

NIS2-compliance is geen eindpunt maar een doorlopend proces. De richtlijn vereist dat organisaties hun maatregelen regelmatig evalueren en aanpassen aan veranderende risico's. Naarmate je organisatie groeit, nieuwe diensten lanceert of nieuwe markten betreedt, veranderen ook de risico's en daarmee de noodzakelijke maatregelen.

Daarom is het verstandig om compliance niet als een jaarlijks project te benaderen, maar als een continu proces dat is geïntegreerd in je dagelijkse bedrijfsvoering. Periodieke risicoherbeoordelingen, regelmatige controle van de effectiviteit van maatregelen en structurele aandacht voor bewustwording bij medewerkers zijn essentieel om compliant te blijven.

Hoe Tidal Control ondersteunt bij NIS2

Structuur en inzicht

Tidal Control biedt ondersteuning bij NIS2-compliance via twee frameworks: het NIS2 CyberFundamentals-framework en het NIS2 Supply Chain-framework. Het platform biedt voorgebouwde beheersmaatregelen en beleidssjablonen die zijn afgestemd op de vereisten van deze frameworks. Je begint met een basis die je kunt aanpassen aan je eigen situatie, in plaats van bij nul te beginnen. Dat geeft direct inzicht in welke maatregelen je al hebt geïmplementeerd en waar nog werk nodig is.

Via meer dan 150 geautomatiseerde tests over Microsoft Azure, AWS, GitHub, GitLab, Jira en andere tools controleert het platform continu of je beheersmaatregelen daadwerkelijk werken. Het resultaat is een actueel overzicht van je compliancestatus dat je kunt gebruiken richting toezichthouders, auditors en klanten.

Borging van verantwoordelijkheden

NIS2 vereist duidelijke verantwoordelijkheden op ieder niveau. In Tidal Control worden eigenaarschap en taken direct gekoppeld aan specifieke beheersmaatregelen. Daardoor weet iedere betrokkene wat er van hem of haar wordt verwacht en wanneer actie nodig is. Afwijkingen worden vastgelegd en gevolgd via het afwijkingenbeheer, zodat er een aantoonbaar verbeterproces is.

Voor het bestuur biedt het platform inzicht op managementniveau: dashboards die laten zien hoe de organisatie ervoor staat ten opzichte van de gekozen frameworks, zonder dat bestuurders zich in technische details hoeven te verdiepen.

Schaalbaarheid

Tidal Control is ontworpen om mee te groeien met je organisatie. Of je nu begint met een basisniveau van het CyberFundamentals-framework of direct het essentiële niveau nastreeft, het platform schaalt mee. Organisaties die naast NIS2 ook ISO 27001, SOC 2 of andere frameworks volgen, kunnen die trajecten combineren in één centraal platform. Dat voorkomt dubbel werk en zorgt ervoor dat beheersmaatregelen die voor meerdere normen relevant zijn slechts één keer hoeven te worden geïmplementeerd en onderhouden.

Veelgestelde vragen over NIS2

Voor welke organisaties geldt de NIS2-richtlijn precies?

NIS2 geldt voor middelgrote en grote organisaties die actief zijn in een van de achttien aangewezen sectoren. Middelgroot betekent minimaal vijftig medewerkers of een jaaromzet en balanstotaal van meer dan tien miljoen euro. Bepaalde typen organisaties, zoals DNS-dienstverleners en verleners van vertrouwensdiensten, vallen altijd onder de richtlijn, ongeacht hun omvang. Daarnaast kunnen kleine organisaties indirect te maken krijgen met NIS2-eisen als leverancier van een NIS2-entiteit.

Wanneer val je als organisatie onder NIS2 en wanneer niet?

Je valt onder NIS2 als je voldoet aan twee criteria: je bent actief in een aangewezen sector én je organisatie is minimaal middelgroot (vijftig medewerkers of tien miljoen euro omzet en balanstotaal). Val je buiten deze criteria en lever je geen specifieke digitale diensten waarvoor de omvangsuitzondering geldt, dan val je in beginsel niet onder de richtlijn. Maar als je leverancier bent van een organisatie die wél onder NIS2 valt, kun je via contractuele eisen alsnog met de verplichtingen te maken krijgen.

Welke criteria bepalen of je een essentiële of belangrijke entiteit bent?

Het onderscheid hangt af van de combinatie van sector en omvang. Grote organisaties (250+ medewerkers of 50 miljoen euro omzet) in de zeer kritieke sectoren van Bijlage I zijn essentieel. Middelgrote organisaties in Bijlage I-sectoren en middelgrote én grote organisaties in de sectoren van Bijlage II zijn belangrijk. Bepaalde typen organisaties, zoals centrale overheidsinstanties en aanbieders van vertrouwensdiensten, zijn altijd essentieel of belangrijk, ongeacht hun omvang.

Wat zijn de meest voorkomende misverstanden over de reikwijdte van NIS2?

De drie meest voorkomende misverstanden zijn: dat NIS2 voor alle bedrijven geldt (het geldt alleen voor specifieke sectoren en omvangen), dat NIS2 een specifieke certificering vereist (het vereist aantoonbare maatregelen, maar schrijft geen certificering voor), en dat NIS2 alleen over technische beveiliging gaat (het vereist ook governance, ketenbeveiliging en bestuurlijke verantwoordelijkheid).

Hoe verhoudt NIS2 zich tot bestaande frameworks zoals ISO 27001 en SOC 2?

ISO 27001 biedt een sterk fundament voor NIS2-compliance: veel beheersmaatregelen overlappen. In België wordt een ISO 27001-certificering erkend als pad naar een vermoeden van conformiteit. NIS2 stelt echter aanvullende eisen op het gebied van incidentmelding, bestuurdersaansprakelijkheid en ketenbeveiliging. SOC 2 is een Amerikaans kader dat als aanvullend bewijs kan dienen, maar niet als zelfstandige basis voor NIS2-compliance. Een GRC-aanpak helpt om NIS2 niet als geïsoleerd project te behandelen, maar als onderdeel van je bredere compliance-strategie.