Welke sectoren vallen onder de NIS2-richtlijn?
De NIS2-richtlijn is van toepassing op organisaties in specifieke sectoren die als kritiek worden beschouwd voor de samenleving en economie. In Nederland worden zowel grote als middelgrote organisaties in deze sectoren verplicht om aan de richtlijn te voldoen. Dit artikel beantwoordt de meest gestelde vragen over welke sectoren en organisaties onder NIS2 vallen en wat dat concreet betekent.
Welke organisaties zijn verplicht te voldoen aan NIS2?
Organisaties die actief zijn in door NIS2 aangewezen sectoren én boven bepaalde drempelwaarden uitkomen, zijn verplicht te voldoen aan de NIS2-richtlijn. In Nederland wordt dit geregeld via de Cyberbeveiligingswet (CBW), die naar verwachting in het tweede kwartaal van 2026 in werking treedt. De richtlijn maakt onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten.
Als vuistregel geldt dat organisaties met meer dan 250 medewerkers of een jaaromzet boven de 50 miljoen euro in een aangewezen sector automatisch als essentiële entiteit worden aangemerkt. Middelgrote organisaties, met meer dan 50 medewerkers of een omzet boven de 10 miljoen euro, vallen doorgaans in de categorie belangrijke entiteiten. Beide categorieën zijn verplicht om te voldoen aan de NIS2-verplichtingen, al kunnen de toezichteisen en sancties per categorie verschillen.
Belangrijk om te weten: ook organisaties die zelf net buiten de drempelwaarden vallen, kunnen indirect verplichtingen krijgen als zij diensten leveren aan partijen die wel onder NIS2 vallen. Ketenbeveiliging is een expliciet onderdeel van de richtlijn.
Wat zijn de essentiële sectoren onder de NIS2-richtlijn?
De essentiële sectoren onder de NIS2-richtlijn zijn sectoren waarvan de continuïteit direct van levensbelang is voor de samenleving. Uitval of verstoring in deze sectoren heeft onmiddellijk en ernstig maatschappelijk effect. Organisaties in deze sectoren worden als essentiële entiteiten aangemerkt en vallen onder het strengste toezichtregime.
De volgende sectoren worden aangemerkt als essentieel:
- Energie (elektriciteit, gas, olie, warmte en waterstof)
- Transport (luchtvaart, spoorwegen, scheepvaart en wegvervoer)
- Bankwezen en financiële marktinfrastructuur
- Drinkwater en afvalwater
- Gezondheidszorg (ziekenhuizen, laboratoria, farmaceutische industrie)
- Digitale infrastructuur (DNS-dienstverleners, cloudaanbieders, datacenters, telecomaanbieders)
- ICT-dienstverlening (beheerde beveiligingsdiensten en managed service providers)
- Ruimtevaart
- Overheid (centrale en regionale overheden)
Voor organisaties in deze sectoren geldt dat zij proactief worden gecontroleerd door toezichthoudende autoriteiten. Ze moeten aantoonbaar kunnen laten zien dat zij voldoen aan de gestelde eisen, zonder dat daar eerst een incident aan vooraf hoeft te gaan. Security binnen Microsoft 365 speelt hierbij een steeds grotere rol, omdat veel van deze organisaties werken met cloudoplossingen die beveiligd moeten worden conform de NIS2-normen.
Welke belangrijke sectoren vallen ook onder NIS2?
Naast de essentiële sectoren onderscheidt de NIS2-richtlijn een tweede groep: de belangrijke entiteiten. Deze sectoren zijn minder direct kritiek voor de samenleving, maar spelen wel een significante rol in de economie en digitale infrastructuur. Het toezicht op deze groep is reactief in plaats van proactief, maar de inhoudelijke verplichtingen zijn grotendeels gelijk.
De volgende sectoren vallen onder de categorie belangrijke entiteiten:
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Chemische industrie
- Levensmiddelenindustrie (food en agri)
- Maakindustrie (medische hulpmiddelen, elektronica, machines en voertuigen)
- Digitale aanbieders (online marktplaatsen, zoekmachines en sociale netwerken)
- Onderzoeksinstellingen
- Financiële dienstverlening (accountancy, trust en aanverwante diensten)
Organisaties in deze sectoren worden dus ook geraakt door de NIS2-wetgeving. Wie in de maakindustrie of logistiek actief is en boven de drempelwaarden uitkomt, moet gewoon voldoen aan de eisen rondom risicobeheer, incidentmelding en ketenbeveiliging. Dat is een punt dat in de praktijk nog vaak wordt onderschat.
Hoe weet een organisatie of zij onder NIS2 valt?
Een organisatie valt onder de NIS2-richtlijn als zij actief is in een van de aangewezen sectoren én boven de drempelwaarden voor omzet of personeelsomvang uitkomt. De snelste manier om dit te beoordelen is door drie vragen te beantwoorden: in welke sector ben je actief, hoe groot is de organisatie, en lever je diensten aan partijen die zelf onder NIS2 vallen?
Concreet doorloop je de volgende stappen:
- Sectorcheck: Valt de kernactiviteit van de organisatie binnen een van de essentiële of belangrijke sectoren zoals hierboven beschreven?
- Omvangscheck: Heeft de organisatie meer dan 50 medewerkers of een jaaromzet boven de 10 miljoen euro?
- Ketencheck: Levert de organisatie kritieke diensten of producten aan partijen die zelf onder NIS2 vallen?
Als je op één of meer van deze vragen “ja” antwoordt, is het sterk aan te raden om de NIS2-status formeel te laten beoordelen. In Nederland zal de overheid naar verwachting een registratieplicht invoeren, waarbij organisaties zichzelf moeten aanmelden bij de bevoegde autoriteit. Wacht hier niet mee tot de CBW van kracht is, want de voorbereidingstijd voor compliance is aanzienlijk.
Wat zijn de gevolgen als een organisatie ten onrechte buiten NIS2 valt?
Als een organisatie ten onrechte aanneemt dat zij buiten de NIS2-richtlijn valt en daardoor geen maatregelen treft, loopt zij aanzienlijke risico’s. Toezichthouders kunnen bij geconstateerde overtredingen forse boetes opleggen: voor essentiële entiteiten tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, voor belangrijke entiteiten tot 7 miljoen euro of 1,4% van de omzet.
Maar de financiële sancties zijn niet het enige risico. De NIS2-richtlijn introduceert ook persoonlijke aansprakelijkheid voor bestuurders. Als blijkt dat een bestuurder onvoldoende maatregelen heeft genomen terwijl dat wel verplicht was, kan hij of zij persoonlijk aansprakelijk worden gesteld. Dat maakt de vraag “vallen wij onder NIS2?” niet alleen een IT-vraagstuk, maar een bestuurlijk risico.
Daarnaast is er het reputatierisico. Een beveiligingsincident bij een organisatie die haar verplichtingen niet is nagekomen, heeft directe gevolgen voor het vertrouwen van klanten, partners en toezichthouders. Voor organisaties die werken met gevoelige data of kritieke processen is dat een risico dat niet te onderschatten is.
Wat moeten NIS2-plichtige organisaties concreet regelen?
NIS2-plichtige organisaties moeten een samenhangend pakket aan technische en organisatorische maatregelen treffen op het gebied van risicobeheer, incidentrespons en ketenbeveiliging. De richtlijn schrijft geen specifieke technologie voor, maar stelt wel duidelijke eisen aan het niveau van bescherming en de aantoonbaarheid daarvan.
De belangrijkste verplichtingen zijn:
- Risicoanalyse en beveiligingsbeleid: Breng de risico’s voor de digitale infrastructuur in kaart en stel aantoonbaar beleid op om die risico’s te beheersen.
- Incident response plan: Zorg voor een vastgesteld plan voor het detecteren, melden en afhandelen van beveiligingsincidenten.
- Meldplicht: Significante incidenten moeten binnen 24 uur worden gemeld bij de bevoegde autoriteit, met een volledig rapport binnen 72 uur.
- Ketenbeveiliging: Stel eisen aan de beveiliging van leveranciers en partners die toegang hebben tot systemen of data.
- Continuïteitsmanagement: Zorg voor back-upbeleid, herstelplannen en crisismanagement.
- Bestuurderstraining: Bestuurders moeten aantoonbaar beschikken over kennis en vaardigheden op het gebied van cyberbeveiliging.
- Toegangsbeheer en authenticatie: Implementeer sterke authenticatie en beperk toegang op basis van het principe van minimale rechten.
De nadruk op aantoonbaarheid is cruciaal. Het is niet voldoende om maatregelen te treffen: organisaties moeten kunnen laten zien dat ze werken conform de gestelde eisen. Professioneel ICT-beheer en ondersteuning vormt daarbij een belangrijke basis, omdat structureel beheer zorgt voor de monitoring, documentatie en rapportage die toezichthouders verwachten.
Hoe Puur ICT helpt met NIS2-compliance
NIS2-compliance is voor veel organisaties een complexe opgave, zeker als er geen dedicated CISO aanwezig is. Wij helpen je als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener stap voor stap naar volledige naleving, zonder dat je meerdere losse partijen hoeft te coördineren.
Wat wij concreet voor je doen:
- NIS2-nulmeting: We brengen je huidige beveiligingssituatie in kaart en bepalen samen wat er nog nodig is om compliant te worden.
- Technische implementatie: We adviseren en implementeren de juiste beveiligingsmaatregelen binnen het Microsoft-ecosysteem, van identiteitsbeheer en toegangscontrole tot monitoring en incidentdetectie.
- Bestuurderstraining en cyber awareness: We verzorgen interactieve trainingen voor bestuurders en medewerkers, inclusief e-learning en phishingsimulaties, zodat kennis aantoonbaar is geborgd.
- Doorlopend beheer en rapportage: We ondersteunen je niet alleen bij de implementatie, maar ook bij het structurele beheer en de documentatie die toezichthouders verwachten.
- Ketenbeveiliging: We helpen je bij het stellen van eisen aan leveranciers en het borgen van beveiliging in de keten.
Wil je weten of jouw organisatie onder de NIS2-richtlijn valt en wat dat betekent voor jullie aanpak? Neem contact op met Puur ICT en we denken graag met je mee, in begrijpelijke taal en met een concreet plan van aanpak.
Gerelateerde artikelen
- Wat is ketenbeveiliging en waarom is het verplicht onder NIS2?
- Waar begin je als je organisatie nog niets heeft geregeld voor NIS2?
- Wat zijn de stappen van een eerste gesprek tot een volledig ingerichte Microsoft 365-werkplek?
- Hoe richt je een veilige gastgebruikersomgeving in voor externe partners in Microsoft Teams?
- Wat is NIS2 en voor wie geldt de richtlijn?
Gerelateerde artikelen
- Hoe maak je je digitale werkomgeving beheersbaar zonder een grote IT afdeling nodig te hebben?
- Hoe leer je medewerkers slimmer werken met de digitale middelen die ze al hebben?
- Wat is de Cyberbeveiligingswet en hoe verschilt die van NIS2?
- Hoe zorg je dat medewerkers thuis net zo goed kunnen werken als op kantoor?
- Wat is een goede strategie om je organisatie snel te laten herstellen na een cyberaanval?














