Wat is NIS2 en voor wie geldt de richtlijn?
De NIS2-richtlijn is Europese wetgeving die organisaties verplicht hun digitale beveiliging op orde te brengen. De richtlijn geldt voor middelgrote en grote organisaties in sectoren die als essentieel of belangrijk worden aangemerkt, zoals energie, zorg, transport, ICT-dienstverlening en financiële diensten. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. In dit artikel beantwoorden we de meest gestelde vragen over NIS2: voor wie het geldt, wat het vraagt en hoe je als organisatie de eerste stap zet.
Voor welke organisaties geldt NIS2 verplicht?
NIS2 geldt verplicht voor organisaties in aangewezen sectoren die voldoen aan bepaalde drempelwaarden voor omvang. Concreet gaat het om organisaties met minimaal 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro, actief in sectoren zoals energie, drinkwater, transport, gezondheidszorg, financiële infrastructuur, digitale infrastructuur en ICT-dienstverlening.
De richtlijn maakt onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten vallen in sectoren die als kritiek worden beschouwd, zoals energie en zorg. Belangrijke entiteiten omvatten sectoren zoals productie, voedselvoorziening, digitale dienstverlening en post. Beide categorieën zijn verplicht te voldoen aan de NIS2-eisen, maar het toezicht verschilt: essentiële entiteiten worden proactief gecontroleerd, bij belangrijke entiteiten vindt toezicht reactief plaats.
Belangrijk om te weten: ook als je organisatie zelf niet formeel onder de NIS2-richtlijn valt, kun je er toch mee te maken krijgen. Organisaties die diensten leveren aan NIS2-plichtige partijen, worden via de ketenbeveiliging steeds vaker aangesproken op hun eigen beveiligingsniveau. Goede beveiliging binnen Microsoft 365 is daarin een praktisch startpunt.
Wat zijn de belangrijkste verplichtingen onder NIS2?
Onder de NIS2-richtlijn zijn organisaties verplicht aantoonbare maatregelen te treffen op het gebied van risicobeheer, incidentmelding en ketenbeveiliging. De verplichtingen zijn concreter en strenger dan onder de vorige NIS1-richtlijn, en bestuurders worden persoonlijk verantwoordelijk gesteld voor de naleving ervan.
De voornaamste verplichtingen zijn:
- Risicoanalyse en beveiligingsbeleid: je brengt systematisch de cyberrisico’s voor je organisatie in kaart en stelt aantoonbaar beleid op om die risico’s te beheersen.
- Incidentmelding: beveiligingsincidenten met significante impact moeten binnen 24 uur worden gemeld bij de bevoegde autoriteiten, gevolgd door een volledige rapportage binnen 72 uur.
- Ketenbeveiliging: je bent verantwoordelijk voor de beveiliging van je toeleveranciers en dienstverleners die toegang hebben tot jouw systemen of data.
- Continuïteitsplanning: je beschikt over een incident response plan en een herstelplan om de bedrijfscontinuïteit te waarborgen bij een aanval of verstoring.
- Bestuurderstraining: bestuurders moeten aantoonbaar over actuele kennis van cyberbeveiliging beschikken en dit periodiek bijhouden.
- Toegangsbeheer en encryptie: technische maatregelen zoals multifactorauthenticatie, encryptie en netwerksegmentatie zijn een verplicht onderdeel van je beveiligingsaanpak.
Wat is het verschil tussen NIS2 en de AVG?
NIS2 en de AVG zijn beide Europese wetgevingen die raken aan digitale veiligheid, maar ze richten zich op fundamenteel verschillende doelstellingen. De AVG beschermt persoonsgegevens en regelt hoe organisaties met die gegevens mogen omgaan. NIS2 richt zich op de weerbaarheid van netwerken en informatiesystemen, ongeacht of daarin persoonsgegevens worden verwerkt.
Concreet betekent dit dat de AVG van toepassing is op vrijwel elke organisatie die persoonsgegevens verwerkt, terwijl NIS2 specifiek geldt voor organisaties in aangewezen sectoren boven een bepaalde omvang. De AVG draait om privacyrechten van individuen; NIS2 draait om de operationele veiligheid en continuïteit van kritieke diensten en infrastructuur.
De twee regelingen overlappen wel degelijk: een beveiligingsincident dat leidt tot een datalek kan zowel een NIS2-meldplicht als een AVG-meldplicht activeren. Organisaties die al serieus werk hebben gemaakt van AVG-compliance, hebben daarmee een voorsprong, maar NIS2 vraagt om aanvullende en bredere maatregelen.
Wat zijn de gevolgen als je niet voldoet aan NIS2?
De gevolgen van niet-naleving van de NIS2-richtlijn zijn aanzienlijk. Toezichthoudende autoriteiten kunnen boetes opleggen die voor essentiële entiteiten kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, en voor belangrijke entiteiten tot 7 miljoen euro of 1,4% van de omzet. Daarboven kunnen bestuurders persoonlijk aansprakelijk worden gesteld.
Naast financiële sancties zijn er operationele en reputatiegevolgen. Toezichthouders kunnen tijdelijke beperkingen opleggen aan de bedrijfsvoering, en bij ernstige tekortkomingen kunnen bestuurders worden geschorst van hun functie. Ook de reputatieschade bij klanten, partners en aandeelhouders kan ingrijpend zijn, zeker als een incident publiekelijk bekend wordt.
Wat NIS2 onderscheidt van eerdere regelgeving is de nadruk op bestuurlijke verantwoordelijkheid. Het is niet langer voldoende om cybersecurity als een IT-vraagstuk te behandelen. Bestuurders worden geacht actief betrokken te zijn bij risicobeheer en moeten dat ook kunnen aantonen.
Hoe weet je of jouw organisatie onder NIS2 valt?
Of jouw organisatie onder NIS2 valt, hangt af van twee factoren: de sector waarin je actief bent en de omvang van je organisatie. Val je in een van de aangewezen NIS2-sectoren en heb je 50 of meer medewerkers of een jaaromzet boven de 10 miljoen euro, dan is de kans groot dat je in scope valt.
Een praktische manier om dit te beoordelen is de volgende stappen te doorlopen:
- Bepaal je sector: val je in een van de sectoren die NIS2 aanwijst, zoals ICT-dienstverlening, zorg, energie, transport of financiële diensten?
- Check je omvang: telt je organisatie 50 of meer medewerkers, of overschrijd je de omzetdrempel van 10 miljoen euro?
- Kijk naar je keten: lever je diensten aan organisaties die zelf NIS2-plichtig zijn? Dan word je via ketenbeveiliging indirect aangesproken.
- Raadpleeg de Cyberbeveiligingswet: de definitieve Nederlandse wetgeving bepaalt exact welke organisaties zich moeten registreren bij de bevoegde autoriteit.
Twijfel je? Dan is een nulmeting of quick scan een goede eerste stap. Die geeft snel inzicht in je huidige beveiligingsniveau en of je aanvullende maatregelen moet treffen. Meer informatie over hoe wij ICT-beheer en ondersteuning inrichten, kan daarbij een nuttig referentiepunt zijn.
Waar begin je met NIS2-compliance?
Begin met een risicoanalyse: breng in kaart welke systemen, processen en gegevens kritiek zijn voor je organisatie, en waar de grootste kwetsbaarheden zitten. Dat vormt de basis voor alle vervolgstappen. Zonder dit fundament zijn technische maatregelen willekeurig en moeilijk te verantwoorden richting toezichthouders of bestuurders.
Vanuit die analyse werk je stap voor stap naar een volledig NIS2-compliant beveiligingsbeleid. Denk aan het opstellen van een incident response plan, het invoeren van multifactorauthenticatie, het in kaart brengen van je leveranciersketen en het organiseren van bewustwording bij medewerkers en bestuurders. NIS2-compliance is geen eenmalig project, maar een doorlopend proces van monitoren, evalueren en verbeteren.
Hoe Puur ICT helpt met NIS2-compliance
Wij begrijpen dat NIS2 voor veel organisaties een complexe opgave is, zeker als je geen eigen CISO of groot IT-team hebt. Als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener helpen wij je stap voor stap naar aantoonbare naleving van de NIS2-richtlijn en de Cyberbeveiligingswet. Onze aanpak is concreet, pragmatisch en in begrijpelijke taal.
Wat wij voor je doen:
- Nulmeting (Digicheck): we brengen je huidige beveiligingssituatie in kaart en identificeren waar de grootste risico’s zitten.
- Technische maatregelen: we adviseren en implementeren de juiste beveiligingsoplossingen binnen het Microsoft-ecosysteem, zoals multifactorauthenticatie, encryptie en toegangsbeheer.
- Bestuurderstraining: we verzorgen interactieve trainingen waarmee bestuurders aantoonbaar voldoen aan hun opleidingsplicht onder de Cyberbeveiligingswet.
- Incident response planning: we helpen je een praktisch en werkbaar crisisplan op te stellen.
- Doorlopend beheer en rapportage: we monitoren je omgeving, signaleren afwijkingen en rapporteren helder zodat je altijd bestuurlijk in control bent.
Wil je weten of jouw organisatie onder NIS2 valt en wat je als eerste stap moet zetten? Neem contact op met Puur ICT voor een vrijblijvend gesprek. We denken graag met je mee, in kleine stapjes en met korte lijnen.
Gerelateerde artikelen
- Wat zijn de stappen van een eerste gesprek tot een volledig ingerichte Microsoft 365-werkplek?
- Is goede cybersecurity alleen weggelegd voor grote bedrijven met een eigen IT-afdeling?
- Geldt NIS2 ook voor organisaties die niet direct in scope vallen?
- Hoe registreer je je organisatie voor de Cyberbeveiligingswet?
- Hoe kies je het juiste beveiligingsniveau voor je website?
Gerelateerde artikelen
- Wat is de beste manier om medewerkers op afstand te laten inloggen zonder veiligheidsrisico?
- Hoe leer je medewerkers slimmer werken met de digitale middelen die ze al hebben?
- Wat is de Cyberbeveiligingswet en hoe verschilt die van NIS2?
- Waar begin je als je je organisatie cybersecurityproof wilt maken?
- Hoe stel je in dat alleen beheerde apparaten mogen inloggen in je omgeving?














