Naar hoofdinhoud

Blog

NIS2: wat betekent het voor jouw organisatie?

NIS2 (Network and Information Security 2) is de Europese richtlijn die organisaties verplicht hun digitale weerbaarheid aantoonbaar op orde te hebben. In Nederland wordt de richtlijn vertaald naar de Cyberbeveiligingswet. Voor veel bedrijfseigenaren en ICT-verantwoordelijken roept dat de vraag op: vallen wij eronder, en wat moeten we precies doen?

In dit artikel leggen we uit wie onder NIS2 valt, welke verplichtingen erbij horen en hoe je met een praktische tweetrapsraket voldoet aan de eisen.

De Nederlandse Cyberbeveiligingswet: stand van zaken

De Cyberbeveiligingswet, de Nederlandse implementatie van NIS2, is inmiddels aangenomen en treedt naar verwachting op 1 juli 2026 in werking. Daarmee wordt NIS2 in Nederland niet langer een Europees document waar je “iets mee moet”, maar een echte wet met toezichthouders, sancties en bestuurlijke aansprakelijkheid.

De Cyberbeveiligingswet houdt vast aan de hoofdlijnen van NIS2, maar maakt een paar dingen concreet:

  • Toezicht in Nederland is belegd bij meerdere autoriteiten, afhankelijk van je sector. Voor digitale infrastructuur en algemene IT-dienstverlening is dat onder meer de Rijksinspectie Digitale Infrastructuur (RDI), in andere sectoren de bestaande sectorale toezichthouders (zoals DNB voor financiële instellingen of de IGJ voor zorg).
  • Het Nationaal Cyber Security Centrum (NCSC) wordt centraal aanspreekpunt voor incidentmeldingen en informatiedeling.
  • Registratieplicht: organisaties die onder de wet vallen moeten zichzelf actief registreren bij de toezichthouder. Niet wachten tot er een brief op de mat valt.
  • Sancties lopen door tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, plus persoonlijke bestuurdersaansprakelijkheid bij grove nalatigheid.

Praktisch betekent dit dat 1 juli 2026 geen deadline is om dán pas te beginnen, maar de datum waarop je aantoonbaar in control moet zijn. Een serieuze nulmeting, plan en uitvoering kosten algauw zes tot twaalf maanden. Wachten tot het voorjaar van 2026 levert vrijwel zeker een ad-hoc traject op.

Voor wie geldt NIS2?

De richtlijn maakt onderscheid tussen twee categorieën organisaties:

  • Essentiële entiteiten: organisaties in sectoren waarvan de samenleving direct afhankelijk is. Denk aan energie, drinkwater, transport, banken, financiële marktinfrastructuur, gezondheidszorg, digitale infrastructuur (datacenters, DNS, cloud) en overheid.
  • Belangrijke entiteiten: organisaties die maatschappelijk belangrijk zijn maar minder kritiek. Denk aan post- en koeriersdiensten, afvalbeheer, voedselproductie en -distributie, productie van chemische stoffen, machines en medische apparatuur, en aanbieders van digitale diensten zoals online marktplaatsen en zoekmachines.

Als hoofdregel geldt: middelgrote en grote organisaties (vanaf 50 medewerkers of 10 miljoen euro omzet) in deze sectoren vallen rechtstreeks onder NIS2. Voor sommige sectoren, zoals vertrouwensdiensten en digitale infrastructuur, geldt de richtlijn ook bij kleinere omvang.

Ook MKB-leveranciers krijgen ermee te maken

Ben je géén essentiële of belangrijke entiteit, maar lever je IT, software, hardware of diensten aan een organisatie die dat wél is? Dan ga je het indirect merken. NIS2 verplicht grote organisaties namelijk om de risico’s in hun toeleveringsketen te beheersen. Zij zullen hun leveranciers vragen om:

  • Aantoonbare basismaatregelen op het gebied van informatiebeveiliging.
  • Heldere afspraken over incidentmelding en doorlooptijden.
  • Contractuele bepalingen over beveiliging en audits.

Voor veel MKB-bedrijven betekent dit dat zij hun beveiliging in lijn moeten brengen met NIS2, ook al staan ze niet zelf in de wet.

Wat moet je regelen?

NIS2 schrijft geen specifieke producten voor, maar wel een set van beheersmaatregelen die op orde moeten zijn. Op hoofdlijnen:

  • Een risicoanalyse en informatiebeveiligingsbeleid.
  • Maatregelen om incidenten te voorkomen, te detecteren en af te handelen.
  • Bedrijfscontinuïteit en back-up management.
  • Beveiliging van de toeleveringsketen.
  • Beveiliging bij aanschaf, ontwikkeling en onderhoud van systemen.
  • Multifactor-authenticatie, encryptie en toegangsbeheer.
  • Bewustwording en training van medewerkers.
  • Een meldplicht bij significante incidenten (eerste melding binnen 24 uur, een uitgebreide melding binnen 72 uur).

Daarbij komt persoonlijke verantwoordelijkheid: bestuurders zijn aansprakelijk voor de naleving en moeten de maatregelen goedkeuren en monitoren. Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet.

Onze aanpak: een tweetrapsraket

NIS2 dekt zowel techniek als organisatie. Die twee kanten vragen elk om een ander type expertise. Daarom adviseren we een aanpak in twee stappen.

Stap 1: korte ICT-sessie met XSbyte

We beginnen met een korte, praktische sessie waarin we samen kijken naar de technische kant van NIS2. Denk aan:

  • Hoe is je netwerk, werkplekken en cloudomgeving ingericht?
  • Welke beveiligingsmaatregelen draaien er al (firewalls, MFA, EDR, back-ups, monitoring)?
  • Waar zitten de grootste technische risico’s en welke quick wins zijn er?
  • Wat is realistisch nodig om aan de NIS2-eisen te voldoen?

Het resultaat is een helder beeld van waar je technisch staat en welke ICT-maatregelen prioriteit hebben. Vaak is dat al voldoende om de belangrijkste risico’s te adresseren.

Stap 2: GAP-analyse met onze partner Fendix

Voor de organisatorische en juridische kant van NIS2 werken we samen met Fendix. Zij voeren een gestructureerde GAP-analyse uit waarmee je toetst hoe je organisatie scoort op alle eisen van de richtlijn. Dat omvat onder meer:

  • Beleid, governance en bestuurlijke verantwoordelijkheid.
  • Risicobeheer en incidentprocessen.
  • Leveranciersbeheer en contractuele afspraken.
  • Documentatie en bewijsvoering.

Je krijgt een rapport met de afwijkingen en een prioriteitenlijst van wat er nog moet gebeuren. Samen kunnen we dit vertalen naar daadwerkelijke actiepunten die we vervolgens samen kunnen implementeren. Daarna kun je gericht aan de slag, samen met XSbyte voor de technische uitvoering en met Fendix voor de procesmatige verankering.

Waarom deze aanpak werkt

Veel partijen presenteren NIS2 als één groot project. In de praktijk werkt het beter om te beginnen met een afgebakende technische sessie waarin je snel resultaat boekt, en daarna een grondige GAP-analyse te doen. Zo voorkom je dat je geld uitgeeft aan compliance-trajecten zonder eerst de fundamenten op orde te hebben, en weet je waar je staat voordat je grote keuzes maakt.

Wat zien we in de praktijk?

In de gesprekken die we de afgelopen maanden voeren over NIS2 en de Cyberbeveiligingswet zien we steeds dezelfde patronen:

  • Er zijn al de nodige beveiligingsmaatregelen genomen, maar het totaaloverzicht ontbreekt. Niemand kan in vijf minuten laten zien hoe de organisatie scoort op de eisen van de richtlijn.
  • Beleid en procedures zijn ooit opgesteld maar zelden geactualiseerd, en in de dagelijkse praktijk werkt het vaak net iets anders dan het document beschrijft.
  • Op incidenten wordt prima gereageerd, maar er is geen structureel proces om eruit te leren of te rapporteren.
  • Het is onduidelijk of de organisatie überhaupt onder de wet valt, of via klanten en leveranciers indirect met de eisen te maken krijgt.

Dat is geen schande, het is logisch. NIS2 raakt techniek, organisatie, bestuur en contracten tegelijk, en de meeste MKB-organisaties hebben nooit als doel gehad om compliance-specialist te worden. Het probleem ontstaat pas als deze situatie blijft bestaan tot vlak voor 1 juli 2026.

Concreet: wat doe je nu?

Wachten tot de Cyberbeveiligingswet ingaat is geen verstandige strategie. Wat wél werkt, en wat we klanten op dit moment adviseren:

  1. Bepaal of je onder de wet valt of er via je toeleveringsketen mee te maken krijgt. Twijfel? Stel de vraag, ze is in een uur te beantwoorden.
  2. Maak een nulmeting van je huidige beveiliging en processen. Niet als boekwerk, maar als startfoto.
  3. Prioriteer op risico, niet op richtlijn-volgorde. De grootste risico’s eerst, ongeacht in welke paragraaf van NIS2 ze staan.
  4. Werk naar een realistisch tijdpad richting juli 2026, met duidelijke ankerpunten voor techniek én organisatie.
  5. Documenteer onderweg. Niet “we hebben het geregeld” als antwoord aan de toezichthouder, maar aantoonbaar geregeld.

Door deze stappen nu te zetten houd je het overzicht, kun je investeringen spreiden en voorkom je dat compliance een paniekvoetbalwedstrijd wordt op het moment dat de wet ingaat.

Aan de slag

Wil je weten of NIS2 op jouw organisatie van toepassing is, of wil je direct beginnen met de eerste stap? Neem contact met ons op. We plannen graag een korte ICT-sessie in en lichten samen met Fendix de vervolgstappen toe.

Meer lezen

Gerelateerde artikelen

Zelf sparren over je ICT?

Herkenbare situatie of juist iets heel anders? Bel of mail gerust we denken graag mee.

Neem contact op Bekijk de diensten