Agnes houdt een beslisschema omhoog met twee paden — direct en indirect — terwijl ze bepaalt of een bedrijf onder NIS2 valt

Valt mijn bedrijf onder NIS2? Zo check je het in 5 minuten

NIS2, Compliance

Je krijgt een e-mail van een grote klant. Of het je uitkomt om een aantal vragen te beantwoorden over cybersecurity. Of je NIS2-compliant bent. Je leest de mail twee keer, googelt "NIS2", en zit tien minuten later in een konijnenhol van Europese richtlijnen, sectorenlijsten en drempels. Herkenbaar?

Dan ben je niet de enige. Voor de meeste mkb-ondernemers is dit het moment waarop NIS2 ineens concreet wordt. Niet door een wetswijziging, maar door een vraag van een klant.

In dit artikel loop je in vijf minuten door twee checks waarmee je bepaalt of NIS2 op jouw bedrijf van toepassing is. Direct of indirect.

De twee manieren waarop NIS2 op jou van toepassing kan zijn

NIS2 werkt via twee paden. Het eerste pad is direct: je bedrijf opereert in een bepaalde sector en is groot genoeg. Het tweede pad is indirect: je klanten vallen onder NIS2 en stellen eisen aan jou als leverancier.

Die twee paden vragen om een andere aanpak. Bij directe scope heb je wettelijke verplichtingen. Bij indirecte scope heb je commerciele verplichtingen, je klant verwacht antwoorden, en als je die niet kunt geven verlies je mogelijk het contract.

Laten we beide checks doorlopen.

Check 1: Val je direct onder NIS2? (De sector- en omvangscheck)

De directe scope van NIS2 draait om twee vragen: zit je in een van de aangewezen sectoren, en is je organisatie groot genoeg?

De omvangsdrempel is helder: 50 of meer medewerkers of een jaaromzet boven 10 miljoen euro. Val je daaronder, dan val je in de meeste gevallen niet direct onder NIS2.

Er zijn uitzonderingen. Bepaalde kritieke diensten vallen ongeacht hun omvang onder de richtlijn. Denk aan aanbieders van DNS-diensten, vertrouwensdiensten of domeinnaaminregistratie. Maar voor het overgrote deel van het mkb geldt: onder de drempel? Niet direct in scope.

Ben je boven de drempel? Dan hangt het af van je sector.

De 18 NIS2-sectoren in begrijpelijk Nederlands

NIS2 onderscheidt twee categorieen: sectoren met essientiele entiteiten en sectoren met belangrijke entiteiten. Het verschil zit vooral in de handhaving, essientiele entiteiten worden proactief gecontroleerd, belangrijke entiteiten achteraf. De eisen zelf zijn grotendeels gelijk.

Essientiele sectoren:

  • Energie (elektriciteit, gas, olie, warmte)
  • Transport (luchtvaart, spoor, water, weg)
  • Bankwezen
  • Financiele marktinfrastructuur
  • Gezondheidszorg (ziekenhuizen, labs, farmaceuten)
  • Drinkwater
  • Afvalwater
  • Digitale infrastructuur (datacenters, DNS, cloud, telecom)
  • ICT-dienstverlening (managed service providers)
  • Overheid
  • Ruimtevaart

Belangrijke sectoren:

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Chemie
  • Voedselproductie
  • Productie van bepaalde goederen (machines, elektronica, medische apparatuur)
  • Digitale aanbieders (online marktplaatsen, zoekmachines, sociale platforms)
  • Onderzoeksorganisaties

Zit je in een van deze sectoren en boven de drempel? Dan val je direct onder NIS2. De volgende stap is bepalen of je als essentieel of belangrijk wordt geclassificeerd, dat bepaalt hoe je gecontroleerd wordt. Lees hoe je je voorbereidt in onze gids over NIS2-audit voorbereiden.

Check 2: Val je indirect onder NIS2 via je klanten?

Hier wordt het voor de meeste Nederlandse techbedrijven interessant. Want de kans is groot dat je als SaaS-bedrijf, IT-dienstverlener, softwareleverancier of digitaal bureau niet direct in scope valt. Je hebt 15 of 30 medewerkers, je omzet zit onder de 10 miljoen, en je opereert niet in een van die 18 sectoren.

Maar je klanten wel.

NIS2 bevat een expliciet artikel over supply chain security (Art. 21, lid 2, sub d). Organisaties die onder NIS2 vallen, zijn verplicht de cybersecurity van hun toeleveranciers te beoordelen. Dat betekent dat een ziekenhuis, energiebedrijf of bank waar je software voor levert of IT-diensten aan verleent, jou vragen gaat stellen.

In de praktijk ziet dat er zo uit: je ontvangt een leveranciersvragenlijst. Daarin staan vragen over je incidentrespons, toegangsbeheer, encryptie, back-upbeleid en documentatie. Je hoeft als leverancier niet zelf NIS2-compliant te zijn. Maar je moet wel kunnen aantonen dat je security serieus neemt.

Dit is precies het scenario waarmee we dit artikel begonnen. En het is de reden waarom tientallen Nederlandse mkb-bedrijven die technisch buiten NIS2 vallen, zich toch aan het voorbereiden zijn.

Voor meer over hoe je dit aanpakt: lees ons stappenplan om leveranciers beoordelen vanuit het perspectief van je klant. Dat geeft je een idee van welke vragen je kunt verwachten.

Wat als je niet in scope bent, toch iets te doen?

Ja. En het is minder werk dan je denkt.

Als je niet direct of indirect onder NIS2 valt, heb je geen wettelijke verplichting. Maar er zijn drie praktische redenen om toch een basis neer te zetten:

Klanten veranderen. Je bedient vandaag misschien alleen kleine bedrijven. Maar als je groeit, groeien je klanten mee, of komen er nieuwe bij die wel in scope vallen.

Vertrouwen verkoopt. Een korte leveranciersverklaring waarin je beschrijft hoe je omgaat met security, is een sterk signaal. Het laat zien dat je professioneel opereert, ook als niemand het van je eist.

De basis is klein. Een incidentresponsplan, een overzicht van je systemen en leveranciers, en een korte securityverklaring. Dat is een paar uur werk. En daarmee kun je 80% van de vragen beantwoorden die een klant je ooit stelt.

Wat als je wel in scope bent, de eerste stappen

Als je na deze checks concludeert dat NIS2 wel op jou van toepassing is, direct of indirect, dan wil je weten: waar begin ik?

1. Bepaal je categorie. Ben je een essientiele of een belangrijke entiteit? Dat bepaalt hoe de toezichthouder naar je kijkt. Essientiele entiteiten worden proactief gecontroleerd. Belangrijke entiteiten achteraf, bij incidenten of klachten.

2. Wijs iemand aan. NIS2 verwacht dat het bestuur verantwoordelijkheid draagt voor cybersecurity. Dat hoeft niet te betekenen dat je een CISO aanneemt. Maar iemand in de organisatie moet eigenaar zijn van het onderwerp.

3. Doe een risicoanalyse. Breng je kritieke systemen, datastromen en dreigingen in kaart. Dat is de basis voor alle vervolgstappen. Zonder risicoanalyse kun je niet onderbouwen waarom je bepaalde maatregelen wel of niet hebt genomen.

4. Documenteer je supply chain security. Welke leveranciers hebben toegang tot je systemen of data? Heb je afspraken vastgelegd? Dit is een van de gebieden waar toezichthouders het eerst naar kijken.

Voor een volledig stappenplan kun je terecht bij ons artikel over beginnen met NIS2. Wil je het proces versnellen? Bekijk onze NIS2 compliance software waarmee je risico's, maatregelen en documentatie op een plek beheert.

De Cyberbeveiligingswet: wat verandert er in 2026?

NIS2 is een Europese richtlijn. Die moet door elk EU-land worden vertaald naar nationale wetgeving. In Nederland heet die wet de Cyberbeveiligingswet, en die wordt naar verwachting medio 2026 van kracht.

Wat verandert er concreet? De verplichtingen uit NIS2 worden dan formeel afdwingbaar voor Nederlandse organisaties die direct in scope vallen. Toezichthouders krijgen de bevoegdheid om te controleren en sancties op te leggen.

Voor bedrijven die indirect geraakt worden, via de supply chain, verandert er juridisch minder. Maar de druk neemt toe. Zodra je klanten formeel verplicht zijn om hun leveranciers te beoordelen, worden die vragenlijsten niet meer optioneel.

Het advies is simpel: wacht niet op de inwerkingtreding. Begin nu met de basis. Dat geeft je een voorsprong op het moment dat de wet van kracht wordt.

Veelgestelde vragen

Val ik als ZZP'er of micro-onderneming ook onder NIS2?

In de meeste gevallen niet. NIS2 richt zich op organisaties met 50 of meer medewerkers of een jaaromzet boven 10 miljoen euro. Als ZZP'er of micro-onderneming val je daar bijna altijd onder. De uitzondering: als je een kritieke dienst levert (zoals DNS of vertrouwensdiensten), kun je ongeacht je omvang in scope vallen. Maar dat geldt voor een zeer kleine groep.

Wat zijn de 18 NIS2-sectoren?

De 18 sectoren zijn verdeeld over twee categorieen. Essentieel: energie, transport, bankwezen, financiele marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening, overheid en ruimtevaart. Belangrijk: post- en koeriersdiensten, afvalbeheer, chemie, voedselproductie, bepaalde productiesectoren, digitale aanbieders en onderzoeksorganisaties.

Mijn klant vraagt om een NIS2-verklaring, wat moet ik sturen?

Je klant verwacht waarschijnlijk geen volledig NIS2-certificaat (dat bestaat niet). Wat ze willen is bewijs dat je security serieus neemt. Een leveranciersverklaring waarin je beschrijft hoe je omgaat met toegangsbeheer, incidentrespons, back-ups en encryptie is in de meeste gevallen voldoende. Combineer dat met een overzicht van je belangrijkste technische maatregelen.

Wanneer gaat NIS2 in Nederland van kracht?

De Cyberbeveiligingswet, de Nederlandse implementatie van NIS2, wordt naar verwachting medio 2026 van kracht. Vanaf dat moment zijn de verplichtingen formeel afdwingbaar en kunnen toezichthouders handhaven.

Wat is het verschil tussen een "essientiele entiteit" en een "belangrijke entiteit" onder NIS2?

De verplichtingen zijn grotendeels gelijk. Het verschil zit in de handhaving. Essientiele entiteiten (energie, zorg, digitale infrastructuur) worden proactief gecontroleerd door toezichthouders. Belangrijke entiteiten (post, chemie, voedsel, productie) worden achteraf gecontroleerd, meestal naar aanleiding van incidenten of klachten. De boetes kunnen in beide gevallen oplopen tot 10 miljoen euro of 2% van de jaaromzet.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis