Val ik als ZZP'er of micro-onderneming ook onder NIS2?

Nee, in de meeste gevallen niet. NIS2 geldt direct voor organisaties met 50 of meer medewerkers of meer dan 10 miljoen euro omzet die actief zijn in een van de 18 aangewezen sectoren. Kleinere bedrijven vallen buiten de directe scope, maar kunnen via hun klanten indirect verplichtingen krijgen.

Wat zijn de 18 NIS2-sectoren?

De sectoren zijn onder andere energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur, ICT-dienstverlening (beheerd), overheid, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, voeding, productie van bepaalde goederen, digitale aanbieders en onderzoek. Veel Nederlandse tech-bedrijven vallen onder "digitale aanbieders" of "ICT-dienstverlening beheerd."

Mijn klant vraagt om een NIS2-verklaring. Wat moet ik sturen?

Klanten die zelf onder NIS2 vallen, zijn verplicht hun leveranciers te beoordelen op beveiligingsmaatregelen. Je hebt geen formele NIS2-certificering nodig, maar je moet kunnen aantonen dat je basisbeveiligingsmaatregelen hebt getroffen. Denk aan systeemdocumentatie, leveranciersbeheer, een incidentresponsplan en toegangsbeheer. Dat is wat klanten feitelijk verwachten.

Wanneer gaat NIS2 in Nederland van kracht?

De Cyberbeveiligingswet, de Nederlandse implementatie van NIS2, wordt verwacht in de eerste helft van 2026. Op dat moment worden de verplichtingen formeel afdwingbaar voor organisaties die direct in scope zijn.

Wat is het verschil tussen een essentiële entiteit en een belangrijke entiteit onder NIS2?

Essentiële entiteiten zijn grote organisaties in kritieke sectoren. Zij staan onder strenger toezicht en moeten proactief aantonen dat ze compliant zijn. Belangrijke entiteiten zijn middelgrote organisaties in aangewezen sectoren. Zij staan onder reactief toezicht. Voor beide gelden dezelfde beveiligingsvereisten. Het verschil zit in hoe de toezichthouder controleert.

Valt mijn bedrijf onder NIS2? Zo check je het in 5 minuten

NIS2, Compliance, MKB

5/6/2026

Je krijgt een mail van een grote klant. Onderwerp: "NIS2-compliancy leveranciers." Ze willen weten of jouw bedrijf aan de eisen voldoet en vragen om een verklaring voor eind volgende maand.

Jij hebt geen idee wat je moet antwoorden.

Dit is de situatie die de meeste Nederlandse mkb-ondernemers wakker houdt. Niet de regelgeving zelf, maar de vraag: valt mijn bedrijf er eigenlijk wel onder? En wat moet ik dan?

Die vraag heeft twee delen. En de meeste bedrijven kennen maar de helft van het antwoord.

De twee manieren waarop NIS2 op jou van toepassing kan zijn

NIS2 is geen wet die voor iedereen tegelijk geldt. De richtlijn werkt met een toepassingsgebied, en dat toepassingsgebied heeft twee lagen.

De eerste is directe scope. Je organisatie valt zelf onder NIS2 omdat je actief bent in een aangewezen sector en boven de omvang- of omzetdrempel zit. Je hebt dan actieve verplichtingen: beveiligingsmaatregelen treffen, incidenten melden, aantoonbaar compliant zijn.

De tweede is indirecte scope. Je organisatie valt zelf buiten NIS2, maar je klanten of hun klanten zijn essentiële of belangrijke entiteiten. Zij hebben onder NIS2 een leveranciersketenverplichting. Dat betekent dat zij jou als leverancier beoordelen op beveiligingsmaatregelen. Je hoeft zelf niet NIS2-compliant te zijn, maar je moet hun vragen kunnen beantwoorden.

Voor Nederlandse tech-mkb's is de indirecte scope de meest voorkomende situatie. Softwarebedrijven, IT-dienstverleners en digitale agencies zijn zelden zelf in scope, maar hun enterprise-klanten zijn dat wel. En die klanten sturen vragenlijsten.

Check 1: Val je direct onder NIS2? De sector- en omvangscheck

De directe scope van NIS2 is gebaseerd op twee criteria: de sector waarin je actief bent, en de omvang van je organisatie.

Qua omvang gelden voor de meeste sectoren de volgende grenzen. Essentiële entiteiten: 250 of meer medewerkers, of meer dan 50 miljoen euro omzet en meer dan 43 miljoen euro balanstotaal. Belangrijke entiteiten: 50 of meer medewerkers, of meer dan 10 miljoen euro omzet en meer dan 10 miljoen euro balanstotaal.

Zit je er duidelijk onder? Dan ben je in de meeste gevallen niet direct in scope. Er zijn uitzonderingen voor aanbieders van kritieke nationale diensten, maar die zijn zeldzaam voor reguliere mkb's.

Val je in een van de onderstaande sectoren en haal je de drempelwaarden? Dan ben je waarschijnlijk in scope.

| Sector | Voorbeelden | |--------|-------------| | Energie | Elektriciteitsnetbeheerders, gasnetbeheerders | | Transport | Luchtvaart, spoor, weg- en zeevervoer | | Bankwezen | Banken en kredietinstellingen | | Financiele marktinfrastructuur | Handelsplatformen, centrale tegenpartijen | | Gezondheidszorg | Ziekenhuizen, laboratoria, farma | | Drinkwater | Drinkwaterbedrijven | | Afvalwater | Afvalwaterbeheerders | | Digitale infrastructuur | DNS-providers, datacenters, cloudproviders | | ICT-dienstverlening (beheerd) | Managed service providers, IT-outsourcing | | Overheid | Overheidsinstellingen op nationaal en regionaal niveau | | Ruimtevaart | Exploitanten van grondinfrastructuur | | Post- en koeriersdiensten | Postbedrijven, pakketbezorgers | | Afvalbeheer | Afvalverwerkingsbedrijven | | Chemie | Chemische producenten en distributeurs | | Voeding | Grootschalige voedselproductie en -distributie | | Productie | Medische hulpmiddelen, elektronica, machinebouw | | Digitale aanbieders | Online marktplaatsen, zoekmachines, sociale platforms | | Onderzoek | Onderzoeksorganisaties |

Let op de categorieën digitale aanbieders en ICT-dienstverlening beheerd. Veel Nederlandse techbedrijven vallen hier sneller onder dan ze denken. Bied je clouddiensten, managed services of software-as-a-service aan met een substantiele marktpositie? Dan is het de moeite waard om dit te laten beoordelen.

Check 2: Val je indirect onder NIS2 via je klanten?

Dit is de check die de meeste bedrijven overslaan.

NIS2 verplicht essentiële en belangrijke entiteiten om de beveiliging van hun leveranciersketen te beoordelen (Art. 21, lid 2d). Concreet: je klant die wel onder NIS2 valt, moet jou als leverancier screenen.

Stel jezelf drie vragen:

Heb ik klanten die actief zijn in een NIS2-sector?
Hebben deze klanten meer dan 50 medewerkers of meer dan 10 miljoen euro omzet?
Lever ik aan hen software, IT-diensten, data-opslag of andere digitale diensten?

Als je op alle drie "ja" antwoordt, is de kans groot dat je op korte of lange termijn een NIS2-vragenlijst in je inbox vindt. Niet omdat jij verplichtingen hebt, maar omdat jouw klant die heeft.

Dit is de werkelijkheid voor de meeste Nederlandse tech-mkb's: ze zijn niet direct in scope, maar ze merken NIS2 wel via hun klanten. En dat is geen reden om niets te doen.

Wat als je niet in scope bent? Toch iets te regelen

Niet in scope zijn betekent niet dat je niets hoeft te doen.

Als je klanten hebt die zelf wel in scope zijn, gaan zij vroeg of laat vragen wat jouw beveiligingspraktijken zijn. Wie is verantwoordelijk voor je systemen? Hoe ga je om met incidenten? Heb je je leveranciers beoordeeld?

Een goed voorbereide leveranciersverklaring kan een contract winnen of behouden. Bedrijven die de documentatie al op orde hebben, antwoorden snel en professioneel op die vragenlijsten. Bedrijven die dat niet doen, verliezen soms de opdracht voordat ze ook maar een gesprek hebben gevoerd.

Wat klanten verwachten te zien is grotendeels hetzelfde als wat NIS2 direct vereist: systeemdocumentatie, leveranciersbeheer, een incidentresponsplan en aantoonbaar toegangsbeheer. Je doet het voor de klantrelatie, maar je bouwt ondertussen de fundering voor je eigen compliance.

Bekijk hoe ComplianceHive je helpt die documentatie op te bouwen.

Wat als je wel in scope bent? De eerste stappen

Ben je direct in scope? Dan zijn de eerste stappen overzichtelijk.

Stap 1 is bepalen in welke categorie je valt. Essentiële entiteit of belangrijke entiteit? Dat bepaalt de ernst van het toezicht. Essentieel staat onder proactief toezicht, belangrijk onder reactief.

Stap 2 is een verantwoordelijke aanwijzen. NIS2 verwacht dat bestuur en management aantoonbaar betrokken zijn. Iemand moet eigenaar zijn van het dossier.

Stap 3 is een risicoanalyse uitvoeren. Welke systemen zijn kritiek? Welke dreigingen zijn realistisch? Welke maatregelen heb je al getroffen en welke ontbreken nog?

Stap 4 is je leveranciersketen in kaart brengen. Je leveranciers kunnen risico's introduceren die bij jou terechtkomen. Je moet kunnen aantonen dat je ze hebt beoordeeld. Een gestructureerde leveranciersrisicoanalyse helpt je daarbij.

Stap 5 is documenteren. Beveiligingsmaatregelen die niet op papier staan, bestaan niet voor een toezichthouder. Leg vast wat je hebt ingericht, wie verantwoordelijk is en wanneer je het hebt beoordeeld.

Wil je een stap verder? Lees dan ons volledige stappenplan in het artikel over NIS2-audit voorbereiding voor het mkb.

De Cyberbeveiligingswet: wat verandert er in 2026?

De Cyberbeveiligingswet is de Nederlandse implementatie van NIS2. De verwachting is dat die wet in de eerste helft van 2026 van kracht wordt. Op dat moment worden de verplichtingen formeel afdwingbaar voor organisaties die direct in scope zijn.

Wat verandert er concreet? Toezichthouders kunnen actief controleren of je maatregelen op orde zijn. Er geldt een meldplicht bij significante incidenten: 24 uur voor een eerste melding, 72 uur voor een formeel rapport. En voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.

Begin nu, niet als de wet er is. Wie nu al werkt aan documentatie en processen, hoeft in 2026 alleen bij te sturen. Wie dan pas begint, begint van nul.

Wat nu?

Directe of indirecte scope — de documentatie die je nodig hebt is grotendeels dezelfde. Welke systemen heb je? Wie heeft er toegang? Hoe handel je een incident af? Wie is intern verantwoordelijk? Dat zijn de vragen die klanten stellen en toezichthouders straks ook.

Start met NIS2 voor mkb-bedrijven: waar begin je? als je nog helemaal aan het begin staat.

ComplianceHive helpt je die documentatie stap voor stap op te bouwen: systeemdocumentatie, leveranciersbeheer, risicoanalyses. Zodat je klaar bent als een klant vraagt, of als een toezichthouder belt.

Probeer ComplianceHive 30 dagen gratis.

Dit artikel is algemene informatie en geen juridisch advies. Raadpleeg een gekwalificeerde jurist of NIS2-specialist voor een beoordeling die specifiek is voor jouw situatie.