NIS2 (Richtlijn (EU) 2022/2555) verhoogt de digitale weerbaarheid van organisaties die belangrijk zijn voor de samenleving. In Nederland is de richtlijn geïmplementeerd via de Cyberbeveiligingswet, die op 15 augustus 2026 in werking treedt. De eerste vraag is steeds dezelfde: vallen wij eronder?
De sectoren
De richtlijn wijst sectoren aan in twee bijlagen: sectoren met een hoge kritikaliteit (onder meer energie, vervoer, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur, ICT-dienstenbeheer en overheid) en overige kritieke sectoren (onder meer post, afvalbeheer, chemie, levensmiddelen, industrie en digitale aanbieders). Werkt uw organisatie in of voor zo’n sector, dan is nader toetsen nodig.
De omvang
Als hoofdregel richt NIS2 zich op middelgrote en grote organisaties in de aangewezen sectoren — als vuistregel: vanaf 50 medewerkers of meer dan 10 miljoen euro jaaromzet. Kleine en micro-organisaties vallen er in beginsel buiten, met uitzonderingen voor partijen met een kritieke rol (zoals bepaalde aanbieders van digitale infrastructuur en delen van de overheid).
Essentieel of belangrijk?
De wet onderscheidt essentiële en belangrijke entiteiten. De verplichtingen — zorgplicht en meldplicht — zijn grotendeels gelijk; het verschil zit vooral in het toezicht: essentiële entiteiten krijgen proactief toezicht, belangrijke entiteiten toezicht achteraf. Voor uw maatregelen maakt de indeling dus weinig uit; voor de kans op controle wel.
Niet onder de wet? De keten raakt u alsnog
Ketenbeveiliging is een van de tien zorgplichtgebieden. Organisaties die wél onder NIS2 vallen, moeten eisen stellen aan hun leveranciers en dienstverleners. Softwareleveranciers, IT-dienstverleners en andere toeleveranciers krijgen de eisen daardoor via contracten en inkoopvragenlijsten opgelegd — aantoonbare informatiebeveiliging wordt zo een commerciële voorwaarde, ook zonder wettelijke plicht.
Twijfelt u over de scope?
Leg uw sector, omvang en dienstverlening naast de criteria en documenteer de conclusie — ook een onderbouwde “wij vallen er niet onder” is waardevol richting klanten. Valt u er wél onder, begin dan met de zelfevaluatie op de tien zorgplichtgebieden.