Does my business fall under NIS2 / the Cybersecurity Act?

De NIS2-richtlijn (Cybersecurity Act) geldt voor organisaties in 18 essentiële en belangrijke sectoren zoals energie, transport, financiën, gezondheidszorg en digitale infrastructuur. Middelgrote bedrijven (50+ medewerkers of €10M+ omzet) in deze sectoren vallen er doorgaans onder.

Wanneer treedt de Cybersecurity Act in werking?

De Cybersecurity Act — de Nederlandse implementatie van de EU NIS2-richtlijn — treedt naar verwachting in Q2 2026 in werking. Organisaties doen er goed aan nu al aan de verplichtingen te voldoen.

Wat zijn de boetes bij niet-naleving van NIS2?

For violations of the NIS2 directive, essential entities risk fines of up to 10 million euros or 2% of global annual turnover.

NIS2 Compliance MKB | Cyberbeveiligingswet Consultant

NIS2 Compliance voor het MKB

NIS2 status (april 2026): de richtlijn is sinds 17 oktober 2024 van kracht. De Nederlandse Cyberbeveiligingswet — de NIS2-implementatiewet — is op 15 april 2026 aangenomen door de Tweede Kamer en wacht op afronding van de senaatsbehandeling. Toezichthouders zijn al gestart met monitoring; bestuurlijke verantwoording is verplicht.

De Cyberbeveiligingswet — de Nederlandse uitwerking van de Europese NIS2-richtlijn voor het MKB — treedt naar verwachting in Q2 2026 in werking. Essentiële en belangrijke entiteiten moeten dan aantoonbaar voldoen aan zorgplicht, meldplicht en ketenbeveiliging. Bij niet-naleving riskeren essentiële organisaties boetes tot €10 miljoen. Wij voeren de gap-analyse uit en begeleiden uw organisatie stap voor stap naar volledige NIS2-compliance.

Wat is NIS2?

NIS2 (Network and Information Systems Directive 2) is de opvolger van de originele NIS-richtlijn en stelt verplichte cybersecurityvereisten aan een veel bredere groep organisaties in Europa. De richtlijn wordt via de Cyberbeveiligingswet in Nederland omgezet in nationale wetgeving, verwacht in 2026.

NIS2 geldt voor organisaties in 18 sectoren, ingedeeld als essentiële entiteiten (energie, transport, financiën, gezondheidszorg) en belangrijke entiteiten (post, afvalbeheer, digitale infrastructuur, productie). Middelgrote en grote organisaties vallen vrijwel altijd onder de richtlijn.

Wat vereist NIS2?

NIS2 legt vier hoofdverplichtingen op:

Risicobeheersmaatregelen: Organisaties moeten passende technische, operationele en organisatorische beveiligingsmaatregelen implementeren — waaronder incident response, supply chain security, toegangsbeheer en encryptie.
Meldplicht: Significante incidenten moeten binnen 24 uur gemeld worden bij de bevoegde autoriteit (eerste melding), gevolgd door een uitgebreid rapport binnen 72 uur.
Bestuursaansprakelijkheid: Bestuurders zijn persoonlijk aansprakelijk voor NIS2-naleving. Boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet.
Ketenveiligheid: Organisaties moeten ook de cybersecurityrisico's van hun leveranciers en dienstverleners beheersen.

Overlap met ISO 27001

NIS2 en ISO 27001 hebben een grote overlap: een ISMS dat voldoet aan ISO 27001:2022 dekt een substantieel deel van de NIS2-vereisten af. Wij helpen u de overlap te maximaliseren zodat u met één traject zowel certificering als wettelijke compliance bereikt.

Onze NIS2 aanpak

Scope-bepaling: Beoordeling of en hoe uw organisatie onder NIS2 valt
Gap-analyse: Vergelijking van uw huidige beveiliging met de NIS2-vereisten
Implementatie: Beveiligingsmaatregelen, procedures en meldprocessen inrichten
Bewijs & documentatie: Aantoonbare compliance via ons GRC Platform

Wie valt onder NIS2?

De Cyberbeveiligingswet (Nederlandse implementatie van NIS2) geldt voor essentiele en belangrijke entiteiten. Essentiele sectoren zijn onder andere energie, transport, drinkwater, bankwezen, digitale infrastructuur en overheid. Belangrijke sectoren omvatten post, afvalbeheer, chemische industrie, voedselproductie en digitale aanbieders. Organisaties met 50+ medewerkers of 10+ miljoen omzet vallen binnen scope. Nederland verwacht dat zo 8.000 organisaties direct binnen de wet vallen.

De 10 basismaatregelen

NIS2 verplicht minimaal 10 beheersmaatregelen: risicoanalyse en informatiebeveiligingsbeleid, incidentbehandeling, bedrijfscontinuiteit en crisismanagement, supply chain security, beveiliging van verwerving/ontwikkeling, cyberhygiene-trainingen, cryptografie, personeelsbeveiliging en toegangsbeheer, multi-factor authenticatie en beveiligde communicatie. Deze maatregelen moeten state-of-the-art en evenredig aan het risico zijn.

Verschil met NIS1

Ten opzichte van NIS1 is de scope fors uitgebreid (meer sectoren, meer middelgrote bedrijven), is persoonlijke bestuurdersaansprakelijkheid geintroduceerd en gelden striktere meldtermijnen: een eerste melding moet binnen 24 uur, een uitgebreide melding binnen 72 uur. Boetes lopen op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiele entiteiten.

Veelgestelde vragen

Wanneer moet ik NIS2-compliant zijn?

De Cyberbeveiligingswet treedt gefaseerd in werking in 2026. Organisaties doen er verstandig aan om nu al met de gap-analyse te starten en een implementatieroadmap op te leveren, zodat registratie en auditgereedheid tijdig geregeld zijn.

Wat zijn de boetes onder NIS2?

Voor essentiele entiteiten bedragen boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet (het hoogste van de twee). Voor belangrijke entiteiten geldt 7 miljoen euro of 1,4%. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid.

Hoe weet ik of mijn organisatie onder NIS2 valt?

Via een scopebepaling kijken we naar sector, medewerkersaantal, omzet en afhankelijkheden in uw keten. In een sessie bepalen we of u essentieel, belangrijk of out-of-scope bent, en welke verplichtingen volgen.

NIS2 Compliance voor het MKB

Wat is NIS2?

Wat vereist NIS2?

Overlap met ISO 27001

Onze NIS2 aanpak

NIS2 Kernvereisten

Gerelateerde Diensten

Valt u onder NIS2?

NIS2-compliant voor 2026?

Wie valt onder NIS2?

De 10 basismaatregelen

Verschil met NIS1

Veelgestelde vragen

Kennisbank: NIS2

NIS2 per sector