Viktoria ComplianceStart Assessment
Terug naar blog
NIS26 min readFebruary 28, 2026

NIS2 Toepassingsgebied gedecodeerd: Welke MKB-bedrijven vallen onder de richtlijn - en wat betekent dit voor uw bedrijf?

De NIS2-richtlijn (Richtlijn (EU) 2022/2555) is de belangrijkste herziening van de EU-cyberbeveiligingswetgeving sinds de oorspronkelijke NIS-richtlijn in 2016. Door het toepassingsgebied drastisch uit te breiden, strengere verplichtingen in te voeren en aanzienlijke boetes op te leggen, dwingt NIS2 duizenden organisaties in heel Europa om hun cyberbeveiligingshouding opnieuw te beoordelen. Voor KMO's is de uitdaging om te begrijpen of en hoe de richtlijn op hun bedrijf van toepassing is.

De uitbreiding van het toepassingsgebied: Wie wordt gedekt?

De oorspronkelijke NIS-richtlijn was van toepassing op een beperkt aantal exploitanten van essentiële diensten en aanbieders van digitale diensten. NIS2 vervangt dit door een veel bredere classificatie: essentiële entiteiten en belangrijke entiteiten. Het onderscheid is van belang omdat het de intensiteit van het toezicht door de toezichthouder en de zwaarte van de sancties bepaalt.

Essentiële entiteiten

Essentiële entiteiten zijn onderworpen aan proactieve, ex ante toezichtmaatregelen. Deze categorie omvat organisaties in de volgende sectoren:

  • Energie (elektriciteit, olie, gas, waterstof, stadsverwarming)
  • Vervoer (lucht, spoor, water, weg)
  • Bancaire en financiële marktinfrastructuur
  • Gezondheid (zorgverleners, EU-referentielaboratoria, farmaceutische productie)
  • Drinkwatervoorziening en -distributie
  • Beheer van afvalwater
  • Digitale infrastructuur (IXP's, DNS-providers, TLD-registers, cloud computing, datacenters, CDN's)
  • ICT-dienstenbeheer in B2B (beheerde dienstverleners, beheerde leveranciers van beveiligingsdiensten)
  • Openbaar bestuur (centrale overheid)
  • Ruimte

Belangrijke entiteiten

Belangrijke entiteiten zijn onderworpen aan reactief toezicht achteraf. Sectoren zijn onder andere:

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Chemische productie en distributie
  • Voedselproductie, -verwerking en -distributie
  • Productie van medische apparatuur, computers, elektronica, machines en motorvoertuigen
  • Digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerkplatforms)
  • Onderzoeksinstellingen

Grootte Drempels

NIS2 past een "size-cap"-regel toe. In het algemeen heeft de richtlijn betrekking op middelgrote ondernemingen en groter: organisaties met 50 of meer werknemers OF een jaaromzet (of jaarlijks balanstotaal) van 10 miljoen euro of meer. Bepaalde entiteiten vallen echter onder het toepassingsgebied, ongeacht hun grootte, waaronder aanbieders van DNS-diensten, TLD-naamregisters en entiteiten die de enige aanbieder zijn van een kritieke dienst in een lidstaat.

KMO's onder deze drempels zijn over het algemeen vrijgesteld, tenzij ze actief zijn in een van de specifiek aangewezen subsectoren. Elke organisatie in de toeleveringsketen van een essentiële of belangrijke entiteit kan echter te maken krijgen met contractuele cyberbeveiligingsverplichtingen die door hun klanten worden opgelegd om te voldoen aan de NIS2-beveiligingsvereisten voor de toeleveringsketen.

Belangrijkste verplichtingen onder NIS2

1. Risicobeheer cyberbeveiliging (artikel 21)

Artikel 21 vereist dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om risico's voor de beveiliging van netwerk- en informatiesystemen te beheren. Deze maatregelen moeten minimaal het volgende omvatten

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen
  • Procedures voor incidentafhandeling
  • Bedrijfscontinuïteit en crisisbeheer (inclusief back-upbeheer en noodherstel)
  • Beveiliging van de toeleveringsketen, inclusief beveiligingsaspecten van relaties met directe leveranciers
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerken en informatiesystemen, inclusief behandeling en openbaarmaking van kwetsbaarheden
  • Beleid en procedures om de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging te beoordelen
  • Basis cyberhygiënepraktijken en cyberveiligheidstraining
  • Beleid voor het gebruik van cryptografie en, indien van toepassing, encryptie
  • Beveiliging van personeel, toegangscontrolebeleid en activabeheer
  • Gebruik van multi-factor authenticatie, beveiligde communicatie en beveiligde noodcommunicatie

2. Rapportage van incidenten (artikelen 23 en 30)

NIS2 introduceert een meerfasige meldingsplicht voor incidenten die aanzienlijk strenger is dan de oorspronkelijke richtlijn:

  1. Vroegtijdige waarschuwing: Stel de bevoegde autoriteit of het CSIRT binnen 24 uur na het bekend worden van een significant incident op de hoogte. In de vroegtijdige waarschuwing moet worden aangegeven of het incident vermoedelijk is veroorzaakt door onwettige of kwaadwillige handelingen en of het grensoverschrijdende gevolgen kan hebben.
  2. Melding van incident: Geef binnen 72 uur een eerste beoordeling inclusief de ernst en impact, en indicatoren van compromittering indien beschikbaar.
  3. Eindrapport: Geef binnen een maand een gedetailleerde beschrijving van het incident, de hoofdoorzaak, de toegepaste risicobeperkende maatregelen en, indien van toepassing, de grensoverschrijdende gevolgen.

Een significant incident wordt gedefinieerd als een incident dat een ernstige operationele verstoring of financieel verlies heeft veroorzaakt of kan veroorzaken, of dat andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

3. Veiligheid van de toeleveringsketen

Artikel 21, lid 2, onder d), vereist expliciet dat entiteiten de beveiliging van de toeleveringsketen aanpakken. Dit betekent dat u de cyberbeveiligingspraktijken van uw directe leveranciers en dienstverleners moet beoordelen, beveiligingsvereisten in inkoopcontracten moet opnemen en de risico's van derden voortdurend moet controleren. Voor veel KMO's zal deze verplichting indirect binnenkomen via contractuele vereisten die worden opgelegd door grotere klanten die zelf NIS2-gereguleerde entiteiten zijn.

4. Verantwoordingsplicht bestuursorgaan (artikel 20)

NIS2 legt directe verantwoordelijkheid bij het managementorgaan (raad van bestuur, uitvoerend management) voor het goedkeuren van en toezicht houden op de implementatie van maatregelen voor risicobeheer op het gebied van cyberbeveiliging. Leden van het bestuursorgaan moeten cyberbeveiligingstraining volgen en kunnen persoonlijk aansprakelijk worden gesteld voor overtredingen. Dit is een belangrijke afwijking van de oorspronkelijke richtlijn inzake netwerk- en informatiebeveiliging en brengt het beheer van cyberbeveiliging op één lijn met de mate van aansprakelijkheid die in de financiële regelgeving wordt gehanteerd.

Nationale omzetting en handhaving

De lidstaten moesten NIS2 uiterlijk op 17 oktober 2024 in nationale wetgeving hebben omgezet. Vanaf begin 2026 hebben de meeste lidstaten de omzetting voltooid, hoewel de implementatietijdschema's en specifieke vereisten variëren. Organisaties moeten de nationale omzetting raadplegen in elke lidstaat waar ze actief zijn, omdat de vereisten verder kunnen gaan dan het minimum van NIS2.

Sancties

De boetes onder NIS2 zijn aanzienlijk en verschillen per type entiteit:

  • Essentiële entiteiten: Administratieve boetes tot EUR 10 miljoen of 2% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
  • Belangrijke entiteiten: Administratieve boetes van maximaal 7 miljoen euro of 1,4% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Toezichthoudende autoriteiten kunnen ook niet-monetaire oplossingen opleggen, waaronder bindende instructies, bevelen om auditaanbevelingen uit te voeren, bevelen om beveiligingsmaatregelen in overeenstemming te brengen, en tijdelijke opschorting van certificeringen of autorisaties.

Praktische stappen voor KMO's

Als uw organisatie binnen het toepassingsgebied van NIS2 valt, of als u actief bent in de toeleveringsketen van een gereguleerde entiteit, dan bieden de volgende stappen een pragmatisch uitgangspunt:

  1. Beoordeling van het toepassingsgebied: Bepaal of uw organisatie een essentiële entiteit, een belangrijke entiteit of buiten het toepassingsgebied valt. Houd rekening met zowel de sectorclassificatie als de drempels voor omvang.
  2. Gap-analyse: Vergelijk uw huidige cyberbeveiligingsmaatregelen met de vereisten van Artikel 21. Identificeer gebieden waar uw bestaande controles tekortschieten.
  3. Voorbereiding op respons bij incidenten: Maak of verbeter uw plan voor respons bij incidenten om te voldoen aan de 24-uurs, 72-uurs en 1-maands rapportagetijdlijnen.
  4. Beoordeling van de toeleveringsketen: Beoordeel de cyberbeveiligingshouding van uw kritieke leveranciers en neem beveiligingseisen op in inkoopcontracten.
  5. Betrokkenheid van het management: Licht uw raad van bestuur of uitvoerend management in over hun NIS2-verantwoordelijkheden en organiseer cyberbeveiligingstraining.
  6. Documentatie: Bewaar bewijsmateriaal van alle cyberbeveiligingsmaatregelen, risicobeoordelingen en incidentrapporten. NIS2-naleving is aantoonbare naleving.

De NIS2-richtlijn is geen ver-van-mijn-bed-show. Het is een actieve nalevingsverplichting voor duizenden Europese organisaties. KMO's die nu actie ondernemen om hun verplichtingen te begrijpen en hun gaten in de cyberbeveiliging te dichten, zullen zich in een aanzienlijk betere positie bevinden dan diegenen die wachten tot handhavingsmaatregelen hun hand dwingen.

Controleer uw compliance-gereedheid

Doorloop onze gratis AVG-, NIS2- en AI-verordening-gereedheidsbeoordeling en ontvang binnen enkele minuten persoonlijke aanbevelingen.

Gratis beoordeling starten

EU Compliance Weekly

Get the latest regulatory updates, compliance tips, and enforcement news delivered to your inbox every week.

We respect your privacy. Unsubscribe anytime.