NIS2: voor welke bedrijven geldt het?
NIS2 onderscheidt essentiële en belangrijke entiteiten op basis van sector en omvang. Een IT-dienstverlener met 55 medewerkers en €12 miljoen omzet valt als "belangrijke entiteit" onder NIS2. Een kapper met 300 medewerkers valt er niet onder. De sector is bepalender dan de omvang.
De NIS2-richtlijn (Verordening EU 2022/2555) legt cybersecurityverplichtingen op aan organisaties in aangewezen sectoren die boven bepaalde drempelwaarden vallen. In Nederland is NIS2 geïmplementeerd via de Wet beveiliging netwerk- en informatiesystemen 2 (Wbni2), van kracht per 16 oktober 2024.
Drempelwaarden: essentieel versus belangrijk
| Categorie | Omvang-criteria | Verplichtingen |
|---|---|---|
| Essentiële entiteit | Groot: > 250 medewerkers OF > €50M omzet | Strengst: actief toezicht, hogere boetes, bestuurlijke aansprakelijkheid |
| Belangrijke entiteit | Middelgroot: 50-250 mw OF €10-50M omzet | Lichter: reactief toezicht, lagere boetes |
| Niet onder NIS2 | Klein: < 50 mw EN < €10M omzet | Niet van toepassing, tenzij in bijlage I aangewezen |
Uitzondering: ongeacht omvang zijn altijd verplicht: aanbieders van kritieke digitale infrastructuur (DNS, TLD, cloudservices, datacenters, CDN-aanbieders), overheidsinstellingen en bepaalde aanbieders van gekwalificeerde vertrouwensdiensten.
Sectoren onder NIS2: bijlage I (essentieel) en bijlage II (belangrijk)
| Bijlage | Sector | Subsectoren (voorbeelden) |
|---|---|---|
| I (Essentieel) | Energie | Elektriciteit, gas, olie, waterstof, stadsverwarming |
| I | Transport | Luchtvaart, rail, water, wegverkeer |
| I | Bankwezen | Kredietinstellingen |
| I | Financiële marktinfrastructuur | Handelsplatforms, centrale tegenpartijen |
| I | Gezondheidszorg | Ziekenhuizen, laboratoria, medische hulpmiddelen |
| I | Drinkwater | Distributeurs en leveranciers |
| I | Afvalwater | Rioolbeheerders, behandelingsbedrijven |
| I | Digitale infrastructuur | DNS-aanbieders, cloudproviders, datacenters, CDN |
| I | ICT-dienstverlening (B2B) | Managed service providers, managed security service providers |
| I | Overheidsdiensten | Centrale overheid, regionale overheden |
| I | Ruimtevaart | Exploitanten grondinfrastructuur |
| II (Belangrijk) | Post en koeriers | Postbedrijven en expreskoeriersdiensten |
| II | Afvalstoffenbeheer | Afval- en recycleverwerkers |
| II | Chemische industrie | Productie en distributie van gevaarlijke stoffen |
| II | Voedingsproductie | Levensmiddelenfabrikanten en -verwerkers (> 50 mw) |
| II | Digitale aanbieders | Online marktplaatsen, zoekmachines, sociale netwerken |
| II | Onderzoeksinstellingen | Universiteiten, onderzoeksorganisaties (soms) |
| II | Maakindustrie kritiek | Medische apparaten, machines, voertuigen, elektronica |
Praktische beslisboom: valt jouw bedrijf onder NIS2?
| Vraag | Ja → | Nee → |
|---|---|---|
| Sta je in bijlage I of II? | Ga naar vraag 2 | NIS2 niet van toepassing |
| Heb je > 250 mw of > €50M omzet? | Essentiële entiteit | Ga naar vraag 3 |
| Heb je > 50 mw of > €10M omzet? | Belangrijke entiteit | Ga naar vraag 4 |
| Ben je een kritieke digitale aanbieder? | Essentieel ongeacht omvang | NIS2 niet van toepassing |
Concrete voorbeelden per sector
| Bedrijfstype | NIS2? | Categorie | Reden |
|---|---|---|---|
| IT-dienstverlener (MSP) 60 mw, €15M omzet | Ja | Essentieel (bijlage I) | ICT-dienstverlening B2B, groot |
| Ziekenhuis 300 mw | Ja | Essentieel | Gezondheidszorg, groot |
| Thuiszorgorganisatie 45 mw, €8M omzet | Nee | Onder drempel | Klein |
| Elektriciteitsnetbeheerder 80 mw | Ja | Essentieel | Energie, middelgroot |
| Softwarebedrijf (geen MSP) 70 mw, €12M omzet | Nee (tenzij maakindustrie kritiek) | Afhankelijk van product | Software-sector niet in bijlage |
| Levensmiddelenfabrikant 120 mw | Ja | Belangrijk | Voedingsproductie bijlage II |
| Transportbedrijf wegverkeer 55 mw | Ja | Essentieel | Transport bijlage I |
| Bouwbedrijf 200 mw | Nee | Geen bijlage I/II | Bouw niet in NIS2 |
| Online marktplaats 30 mw, €8M omzet | Nee | Onder drempel | Bijlage II maar < 50 mw |
| DNS-aanbieder elke omvang | Ja | Essentieel altijd | Kritieke digitale infra |
Gevolgen van foutieve beoordeling
| Scenario | Risico |
|---|---|
| Denkt niet onder NIS2 te vallen terwijl je dat wel doet | Boete bij incident of toezichtscontrole |
| Denkt essentieel te zijn maar is "slechts" belangrijk | Onnodige kosten voor zwaarste verplichtingen |
| Leverancier valt wel onder NIS2 maar vermeldt dit niet | Leveranciersrisico voor jouw keten |
Bij twijfel: vraag advies bij NCSC (ncsc.nl) of een juridisch adviseur gespecialiseerd in NIS2.
Registratieplicht: wanneer en hoe
Essentiële en belangrijke entiteiten moeten zich registreren bij de bevoegde nationale toezichthouder zodra zij weten dat zij onder NIS2 vallen.
| Sector | Toezichthouder NL | Registratie via |
|---|---|---|
| ICT, digitale infra | RDI | rdi.nl |
| Energie | NCTV / ACM | nctv.nl |
| Gezondheidszorg | IGJ | igj.nl |
| Transport | ILT | ilent.nl |
| Financieel | DNB / AFM | dnb.nl of afm.nl |
| Overig | NCSC-loket | ncsc.nl |
Indirecte NIS2-impact: bedrijven die niet verplicht zijn maar toch geraakt worden
Zelfs als jouw bedrijf niet rechtstreeks onder NIS2 valt, kun je indirect geraakt worden:
| Situatie | Impact |
|---|---|
| Je levert aan een essentiële entiteit | Klant eist NIS2-conform beveiligingsniveau als inkoopvoorwaarde |
| Je bent IT-leverancier van NIS2-entiteit | Klant eist aantoonbare beveiliging + verwerkersovereenkomst met beveiligingsclausules |
| Je bent onderaannemer in kritieke keten | Klant legt beveiligingseisen contractueel op |
| Je gebruikt NIS2-verplichte cloudproviders | Indirecte voordelen: cloudproviders verbeteren zelf hun beveiliging |
Schat in 2024: circa 40% van de Nederlandse MKB-leveranciers van essentiële entiteiten ontvangt extra beveiligingseisen van hun klanten als gevolg van NIS2, ook zonder directe verplichting.
NIS2-compliance als concurrentievoordeel
Voor bedrijven die vrijwillig investeren in NIS2-niveau beveiliging:
| Voordeel | Meetbaar effect |
|---|---|
| Onderscheid in inkooptrajecten | Essentiële entiteiten prefereren gecertificeerde leveranciers |
| Lagere cyberverzekeringspremie | 10-25% korting bij aantoonbare maatregelen |
| Snellere klant-onboarding | Minder vragenlijsten bij audit van klant |
| Lagere incidentkosten | 35% lagere gemiddelde schade bij NIS2-niveau beveiliging |
| ISO 27001-overlap | 70% overlap met NIS2-vereisten; combineer certificeringen |
Veelgestelde vragen over NIS2-scope
Is mijn bedrijf verplicht om NIS2 te communiceren naar klanten?
Niet expliciet in NIS2. Wel indirect: als jij essentiële entiteit bent en een incident meldt, kan je klant (ook essentieel) vragen of jij leverancier bent. Transparantie is verstandig voor zakelijke relaties.
Geldt NIS2 voor non-profitorganisaties?
Als een non-profit in bijlage I of II valt (bijv. een ziekenhuisstichting), dan ja. Rechtsvorm is niet bepalend, sector en omvang zijn bepalend.
Wat als ik mij niet registreer terwijl ik verplicht ben?
De bevoegde toezichthouder kan een last onder dwangsom opleggen. Het niet registreren is zelf al een overtreding van de Wbni2.
Tijdlijn NIS2 in Nederland
| Datum | Gebeurtenis |
|---|---|
| 16 oktober 2024 | Wbni2 in werking getreden (Nederlandse implementatie NIS2) |
| Q4 2024 | Toezichthouders starten aanmeldingsloketten |
| 2025 | Eerste formele controles door ACM, RDI en NCTV |
| 2026 (verwacht) | Eerste boetes bij significante overtredingen |
| Doorlopend | Entiteiten moeten altijd registreren zodra ze weten dat ze verplicht zijn |
Het NCSC biedt op ncsc.nl een zelfscan-tool waarmee je in 15 minuten kunt beoordelen of je onder NIS2 valt. Voor complexe gevallen: advies van een jurist gespecialiseerd in NIS2 kost €500-€2.000 maar geeft zekerheid.
Veelgestelde vragen
Geldt NIS2 ook voor buitenlandse bedrijven die in Nederland actief zijn?
Ja. Als je diensten aanbiedt in Nederland en boven de drempels uitkomt, geldt de Nederlandse Wbni2. Je registreert je bij de Nederlandse toezichthouder.
Is een holding-structuur relevant voor de drempelberekening?
Ja. De omvang wordt berekend inclusief verbonden ondernemingen (dochterondernemingen). Een holding met 3 dochters van elk 30 medewerkers telt als 90 medewerkers voor de drempelberekening.
Wat als ik twijfel of mijn sector in bijlage I of II valt?
Raadpleeg de formele tekst van de Wbni2 (wetten.nl) of het NCSC-loket (ncsc.nl/nis2). De NCSC biedt een zelfscan-tool aan.
*Zie ook: NIS2 stappenplan MKB | NIS2 technische maatregelen | NIS2 leveranciersketen | NIS2 boetes risicos | AVG checklist | Zero Trust kosten MKB | Microsoft 365 beveiliging*
Verschil essentieel versus belangrijk in de praktijk
| Aspect | Essentiële entiteit | Belangrijke entiteit |
|---|---|---|
| Toezicht | Proactief (toezichthouder controleert actief) | Reactief (alleen bij incident of klacht) |
| Boete maximum | €10 mln of 2% omzet | €7 mln of 1,4% omzet |
| Rapportage-frequentie | Jaarlijks aan toezichthouder | Op verzoek of bij incident |
| Bestuurlijke aansprakelijkheid | Ja (expliciet in NIS2) | Ja (idem) |
| Penetratietest-verplichting | Sterk aanbevolen, vaak vereist | Aanbevolen |
| Certificering (ISO 27001) | Wordt gevraagd/geëist | Sterk aanbevolen |
| Reactie bij incident | Melding binnen 24 uur | Melding binnen 24 uur |
De verplichtingen zijn inhoudelijk vergelijkbaar voor beide categorieën. Het verschil zit in de intensiteit van het toezicht: essentiële entiteiten worden actief gecontroleerd, belangrijke entiteiten pas na een incident.
Wat te doen als je er niet zeker over bent
Twijfel je of jouw bedrijf onder NIS2 valt? Drie stappen:
| Stap | Actie | Kosten | Tijdsduur |
|---|---|---|---|
| 1 | Gebruik de NCSC-zelfscan op ncsc.nl/nis2 | Gratis | 15-30 min |
| 2 | Raadpleeg de formele tekst Wbni2 via wetten.nl | Gratis | 1-2 uur |
| 3 | Vraag juridisch advies als de zelfscan onduidelijkheid geeft | €500-€2.000 | 1-2 weken |
Bij twijfel: meld je aan. De toezichthouder kan altijd bepalen dat je niet verplicht bent, maar heeft geen informatie als je je nooit hebt aangemeld. Aanmelding heeft geen automatische handhavingsgevolgen.