De Europese Commissie schatte bij de invoering van NIS2 dat het aantal organisaties dat onder de regels valt zou groeien van ongeveer 11.000 onder NIS1 naar minstens 110.000 in de hele EU. Voor Nederland alleen al gaat het om tienduizenden bedrijven die voorheen buiten beeld waren. Toch zit bij veel middelgrote organisaties nog altijd verwarring over een basisvraag: vallen ze er zelf onder? Dit artikel zet de regels volledig uit, met alle 18 sectoren, de exacte drempels, een beslismodel voor je eigen situatie en de tien maatregelen die je moet kunnen aantonen.
11.000
entiteiten onder NIS1
160.000+
entiteiten onder NIS2 in de EU
Bron: Europese Commissie, impactassessment bij Richtlijn (EU) 2022/2555
Kort antwoord
NIS2 (Richtlijn (EU) 2022/2555) verplicht middelgrote en grote organisaties in 18 sectoren tot een set risicomaatregelen, strakke incidentmelding en bestuursverantwoordelijkheid. Drempel: 50 medewerkers of 10 miljoen euro omzet, mits actief in een Annex I- of II-sector. Drie categorieën gelden ongeacht omvang: DNS-providers, telecomaanbieders en vertrouwensdienstverleners. Boetes lopen op tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet. De Nederlandse omzetting via de Cyberbeveiligingswet was op de EU-deadline van 17 oktober 2024 niet gehaald.
Waarom NIS2 een breuk is met NIS1
NIS1 uit 2016 was een minimumkader. Lidstaten mochten zelf bepalen welke organisaties als operator of essential services werden aangewezen, met sterk uiteenlopende uitkomsten per land. NIS2 trekt die discretie naar Brussel: scope, regels, sancties en toezicht zijn nu Europees uniform. De gevolgen voor een Nederlands bedrijf zijn even hard als die voor een Italiaanse of Estse evenknie.
| Kenmerk | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Aantal sectoren | 7 | 18 |
| Aanwijzing organisaties | Per lidstaat individueel | EU-uniform via omvangscriteria |
| Maximale boete | Vrij door lidstaat bepaald | 10 mln of 2% wereldomzet |
| Bestuurdersaansprakelijkheid | Niet expliciet | Persoonlijk, plus verplichte training |
| Incidentmelding | "Onverwijld", vaag | 24u waarschuwing, 72u melding, 1 mnd eindrapport |
| Keten / supply chain | Niet expliciet | Verplichte risicobeoordeling (artikel 21 lid 2d) |
| Sanctie naast boete | Beperkt | Schorsing certificering, bestuursverbod individu |
De laatste rij verdient nuance. Een persoonlijk bestuursverbod is geen wetstekst-fantasie, maar staat letterlijk in artikel 32 van de richtlijn als sluitsanctie. Het wordt naar verwachting zelden ingezet, maar de bevoegdheid bestaat. Voor non-executive directors van middelgrote bedrijven is dat een nieuwe realiteit waar veel boards nog overheen lezen.
De 18 sectoren onder NIS2
NIS2 splitst sectoren in Annex I (essentiële entiteiten) en Annex II (belangrijke entiteiten). Het toezichtsregime verschilt, de inhoudelijke maatregelen niet. Hieronder de volledige lijst met concrete voorbeelden van bedrijfstypen die er per sector onder vallen.
| Annex | Sector | Voorbeelden van entiteiten |
|---|---|---|
| I | Energie | Elektriciteitsleveranciers, netbeheerders, gasoperators, waterstof, olie |
| I | Transport | Luchtvaartmaatschappijen, havens, spoorbedrijven, wegtransport-managers |
| I | Bankwezen | Kredietinstellingen onder CRD/CRR (NB: DORA gaat veelal voor) |
| I | Financiële marktinfrastructuur | Beurzen, centrale tegenpartijen, betaaldienstverleners (NB: DORA) |
| I | Gezondheidszorg | Ziekenhuizen, laboratoria, farmaceutische fabrikanten, EPD-leveranciers |
| I | Drinkwater | Drinkwaterleveranciers, distributiebedrijven |
| I | Afvalwater | Rioolwaterzuivering, waterschappen voor zuiveringstaken |
| I | Digitale infrastructuur | DNS-providers, TLD-registries, cloudaanbieders, datacenters, CDN, IXP |
| I | ICT-dienstbeheer B2B | Managed Service Providers, Managed Security Service Providers |
| I | Openbaar bestuur | Ministeries, centrale agentschappen (provinciaal/lokaal optioneel) |
| I | Ruimtevaart | Grondinfrastructuur voor satellietoperaties |
| II | Post en koerier | PostNL, DPD, GLS en vergelijkbare diensten |
| II | Afvalbeheer | Inzamelaars, verwerkers, verbrandingsinstallaties |
| II | Chemische industrie | Producenten en distributeurs van chemische stoffen |
| II | Voedselindustrie | Voedingsmiddelenproducenten, groothandel, grote distributiecentra |
| II | Fabricage | Medische hulpmiddelen, computers, elektronica, machines, voertuigen |
| II | Digitale providers | Online marktplaatsen, zoekmachines, sociale netwerken |
| II | Onderzoek | Onderzoeksinstellingen (optioneel per lidstaat) |
Twee waarschuwingen bij deze lijst. Ten eerste: financiële sectoren staan formeel in Annex I, maar de DORA-verordening gaat in de meeste gevallen voor. Een bank past primair DORA toe, niet NIS2. Ten tweede: openbaar bestuur op centraal niveau is verplicht in scope. Provinciaal en lokaal bestuur is aan lidstaten om aan te wijzen. Nederland heeft in de Cyberbeveiligingswet voorstellen om ook gemeenten en provincies expliciet onder de regels te brengen.
Beslismodel: val jij eronder?
Drie vragen achter elkaar bepalen of NIS2 op jouw organisatie van toepassing is. Loop ze door in deze volgorde:
-
Vraag 1. Lever je DNS, TLD-registry, telecom of vertrouwensdiensten?
Ja → in scope ongeacht omvang. Direct door naar artikel 21. Nee → ga naar vraag 2.
-
Vraag 2. Ben je actief in een Annex I- of II-sector?
Ja → ga naar vraag 3. Nee → buiten scope, let wel op ketenverplichtingen van klanten in scope.
-
Vraag 3. Hoe groot is je organisatie?
Vanaf 250 medewerkers of 50 miljoen euro omzet: essentiële entiteit in Annex I, belangrijke entiteit in Annex II. Tussen 50 en 249 medewerkers of 10 tot 50 miljoen euro omzet: belangrijke entiteit. Kleiner: buiten scope, tenzij nationaal aangewezen als kritiek.
Drempels: essentiëel, belangrijk of buiten scope?
De omvangscriteria komen rechtstreeks uit EU-aanbeveling 2003/361/EG over MKB-classificatie. Belangrijk: ze gelden per rechtspersoon, niet per groep, tenzij er een aantoonbaar geïntegreerde operatie is.
| Omvang | Medewerkers | Omzet / balans | In Annex I | In Annex II |
|---|---|---|---|---|
| Groot | 250+ | > 50M EN > 43M balans | Essentiëel | Belangrijk |
| Middelgroot | 50-249 | 10-50M omzet | Belangrijk | Belangrijk |
| Klein | < 50 | < 10M omzet | Buiten scope* | Buiten scope* |
* DNS-providers, TLD-registries, telecomaanbieders en vertrouwensdienstverleners vallen ongeacht omvang onder NIS2 (artikel 2 lid 2).
Uit de praktijk
Veel groepen denken dat ze door BV-splitsing onder de drempels kunnen blijven. De toezichthouder kijkt naar feitelijke operationele samenhang, niet naar de juridische entiteit. Worden IT, HR en finance centraal geregeld vanuit de holding, dan wordt de groep doorgaans als geheel beoordeeld. Toets dit vooraf juridisch voordat je een gap-analyse start.
De tien maatregelen van artikel 21
Artikel 21 lid 2 van Richtlijn (EU) 2022/2555 schrijft tien minimumcategorieën aan maatregelen voor. Ze gelden voor zowel essentiële als belangrijke entiteiten. Een organisatie die ISO 27001:2022 heeft, dekt circa zeventig procent af. De NIS2-specifieke onderwerpen (supply chain, melding, bestuurstraining) vragen aanvullend werk.
| # | Maatregel | Wat het in praktijk betekent | ISO 27001:2022 overlap |
|---|---|---|---|
| 1 | Risicoanalyse en beleid | Periodieke risicobeoordeling, gedocumenteerd ISMS | Volledig (clause 6.1) |
| 2 | Incidentbehandeling | Detectie, classificatie, respons, lessons learned | Volledig (A.5.24-A.5.28) |
| 3 | Bedrijfscontinuïteit | BCP, DRP, back-up strategie, oefeningen | Volledig (A.5.29-A.5.30) |
| 4 | Supply chain security | Risicobeoordeling per kritieke leverancier, contractuele eisen | Gedeeltelijk (A.5.19-A.5.23) |
| 5 | Veilig ontwikkelen en onderhouden | Secure SDLC, vulnerability management, patchbeleid | Volledig (A.8.25-A.8.28) |
| 6 | Effectiviteit beoordelen | KPI's, interne audit, management review | Volledig (clause 9) |
| 7 | Cyberhygiëne en training | Awareness, phishing-tests, bestuurstraining | Gedeeltelijk (A.6.3) |
| 8 | Cryptografie en encryptie | In-transit en at-rest encryptie, sleutelbeheer | Volledig (A.8.24) |
| 9 | Personeel en toegang | Screening, RBAC, asset register, joiner-mover-leaver | Volledig (A.6, A.5.9-A.5.12) |
| 10 | MFA en beveiligde communicatie | MFA voor alle privileged accounts, versleutelde kanalen | Volledig (A.8.5) |
Uit de praktijk
De gap zit bijna altijd op maatregel 4 (supply chain), maatregel 7 (bestuurstraining) en de incidentmeldtermijnen uit artikel 23. ISO 27001 vereist die niet expliciet op de NIS2-manier. Reken op twee tot drie maanden extra werk voor deze drie domeinen, ook bij een gecertificeerde organisatie.
Boetes en bestuurdersaansprakelijkheid
De sanctiebevoegdheden van NIS2 zijn vergelijkbaar met die van de AVG. Maximale boetes liggen voor essentiële entiteiten op 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, het hoogste van de twee. Voor belangrijke entiteiten geldt 7 miljoen of 1,4 procent. Maar boetes zijn niet het enige instrument.
| Sanctie | Essentiële entiteit | Belangrijke entiteit |
|---|---|---|
| Boete maximaal | 10 mln of 2% wereldomzet | 7 mln of 1,4% wereldomzet |
| Toezicht karakter | Proactief: ex-ante audits, inspecties | Reactief: pas na incident of klacht |
| Bevoegdheid stilleggen | Ja, met tijdelijke schorsing | Beperkter |
| Bestuursverbod individu | Mogelijk (artikel 32 lid 5) | Niet voorzien |
| Naming and shaming | Toezichthouder mag publiceren | Idem |
Bestuurders zijn onder artikel 20 verplicht maatregelen voor cyberbeveiliging goed te keuren, toezicht op de uitvoering te houden en zelf trainingen te volgen. Bij grove nalatigheid kan de aansprakelijkheid persoonlijk zijn, zoals dat onder de AVG al voor de DPO geldt. Verwacht dat verzekeraars hier in 2026 polissen op gaan aanpassen.
Nederland en de Cyberbeveiligingswet
De NIS2-deadline voor nationale omzetting was 17 oktober 2024. Nederland heeft die niet gehaald. De Cyberbeveiligingswet (Cbw) implementeert NIS2 en de zusterrichtlijn CER (Critical Entities Resilience) tegelijk. De Tweede Kamer behandelt het wetsvoorstel nog. De belangrijkste mijlpalen:
-
14 december 2022
Aanname Richtlijn (EU) 2022/2555 door Europees Parlement
-
16 januari 2023
Inwerkingtreding NIS2 op EU-niveau
-
17 oktober 2024
EU-deadline voor nationale omzetting. Nederland heeft deze gemist.
-
Lopende behandeling
Cyberbeveiligingswet bij Tweede Kamer. Controleer actuele status op wetgevingskalender.nl.
-
Na inwerkingtreding
Verplichte registratie bij sectorale toezichthouder binnen drie maanden
Belangrijk om nu al rekening mee te houden: ook al is de Cbw nog niet van kracht, NIS2 is dat als richtlijn wel. Bij grensoverschrijdende dienstverlening of als je klant in een andere EU-lidstaat zit waar de omzetting wel rond is, gelden daar al regels waar je via contract aan moet voldoen. Vooral Duitsland (NIS2UmsuCG), België (Wet 26 april 2024) en Frankrijk zijn al verder.
Stappenplan in 90 dagen
Voor organisaties die nu starten een realistisch tijdspad. De doorlooptijd om van scope-bepaling tot een gedocumenteerd en getest stelsel van maatregelen te komen, ligt op zes tot negen maanden. De eerste drie zijn beslissend.
Dag 1-30
Scope en gap
Bepaal of je essentiële of belangrijke entiteit bent. Voer gap-analyse uit tegen artikel 21. Documenteer per maatregel huidige situatie, owner en bewijsstuk. Schat de inspanning per gap.
Dag 31-60
Quick wins en plan
Voer no-regret maatregelen door: MFA voor privileged accounts, formeel incidentmeldproces, supply chain register. Werk een implementatieplan uit voor de grotere gaps met deadlines en budget.
Dag 61-90
Bestuur en oefening
Bestuurstraining inplannen (verplicht onder artikel 20). Tabletop-oefening met incidentscenario inclusief 24u/72u meldroute. Eerste management review met formeel besluit over restrisico's.
Zes valkuilen uit de praktijk
Wat we zien bij implementatietrajecten van onze consultants, in volgorde van impact:
- Scope te beperkt opvatten. Een fabrikant van medische hulpmiddelen denkt dat MDR voldoende is en mist dat NIS2 los daarvan geldt. Twee toezichthouders zonder afstemming.
- Supply chain als checklist. Een vragenlijst sturen naar je leveranciers is niet wat artikel 21 lid 2d vraagt. Je moet inhoudelijk beoordelen, prioriteren en bij kritieke leveranciers contractuele eisen afdwingen.
- Incidentmelding pas regelen na een incident. 24 uur tussen detectie en eerste melding lijkt royaal, maar veel organisaties hebben hun detectiebronnen niet gekoppeld aan een proces. De klok loopt vanaf detectie, niet vanaf het moment dat het management bijgepraat is.
- Bestuurstraining als hokje afvinken. Een e-learning van 45 minuten dekt niet de eis dat bestuurders voldoende kennis en vaardigheden hebben om de risico's te beoordelen. Toezichthouders zullen hier op inhoud doorvragen.
- ISO 27001 als bewijs van compliance. Hoge correlatie, geen gelijkheid. Een gecertificeerde organisatie moet nog steeds expliciet aantonen dat NIS2-specifieke onderwerpen zijn afgedekt.
- Eigen positie verkeerd inschatten. Een holding met meerdere middelgrote BV's kan groep-breed als groot worden beoordeeld. Een klein bedrijf met telecomvergunning valt ongeacht omvang onder de regels. Niet de KvK-inschrijving maar de feitelijke dienstverlening telt.
Wil je dit traject opzetten met iemand die de regelgeving en de techniek beide kent? Onze NIS2 consultant-pagina toont specialisten die deze trajecten in jouw sector eerder hebben begeleid, van scope-bepaling tot tabletop-oefening. Voor de raakvlakken met de informatiebeveiligingsnorm staan op de ISO 27001 consultant-pagina mensen die beide kanten kennen.
Veelgestelde vragen
Valt mijn bedrijf onder NIS2 als ik 30 medewerkers heb?
Meestal niet. De ondergrens ligt bij 50 medewerkers of 10 miljoen euro omzet, mits actief in een Annex I- of II-sector. Uitzondering: lever je DNS-diensten, telecom of vertrouwensdiensten, dan val je ongeacht omvang onder de regels (artikel 2 lid 2).
Wat is het verschil tussen essentiële en belangrijke entiteit?
Inhoudelijk dezelfde maatregelen. Verschil zit in toezicht (proactief versus reactief) en boetes (10 mln of 2% versus 7 mln of 1,4%). Bij essentiële entiteiten kan een toezichthouder dienstverlening tijdelijk stilleggen.
Geldt NIS2 al in Nederland?
De richtlijn is EU-rechtelijk van kracht sinds januari 2023, maar de Nederlandse omzetting via de Cyberbeveiligingswet loopt nog. Tot inwerkingtreding gelden de NIS2-verplichtingen niet rechtstreeks in Nederland. Wel kunnen EU-klanten in andere lidstaten via contract eisen al doorvertalen.
Kan de directie persoonlijk aansprakelijk worden gesteld?
Ja. Artikel 20 verplicht bestuurders maatregelen goed te keuren, toezicht te houden en trainingen te volgen. Bij grove nalatigheid leidt dit tot persoonlijke aansprakelijkheid en in uiterste gevallen een bestuursverbod (artikel 32 lid 5, alleen essentiële entiteiten).
Hoe snel moet ik een incident melden?
Vroege waarschuwing binnen 24 uur na detectie, uitgebreidere melding binnen 72 uur, eindrapport binnen een maand. Termijnen lopen vanaf detectie, niet vanaf het moment dat het management is geïnformeerd.
Ben ik klaar voor NIS2 als ik ISO 27001:2022 heb?
Je dekt circa zeventig procent van artikel 21 af. Wat doorgaans extra werk kost: maatregel 4 (supply chain volgens NIS2-definitie), maatregel 7 (bestuurstraining) en het incidentmeldproces binnen de NIS2-termijnen. Reken op twee tot drie maanden extra werk.
