NIS2-sectoren: welke sectoren vallen onder de Cyberbeveiligingswet?
Welke sectoren vallen onder NIS2? Een compleet overzicht van Annex I (hoge kritikaliteit) en Annex II (overige kritieke sectoren) van de Cyberbeveiligingswet, met uitleg per sector en wat omvang ermee te maken heeft.
NIS2 geldt niet voor iedereen: de wet wijst een vaste lijst sectoren aan, verdeeld over twee bijlagen. Val je daar niet in, dan val je in principe niet onder de Cyberbeveiligingswet (verwacht op 1 juli 2026). In dit overzicht zie je alle sectoren van Annex I en Annex II, met uitleg per sector — en waarom je sector alleen nog niet het hele verhaal is.
Wil je direct weten of jouw organisatie eronder valt? Doe de gratis NIS2-check — antwoord in 2 minuten.
Twee bijlagen: hoge kritikaliteit en overig kritiek
NIS2 verdeelt de sectoren over twee lijsten:
- Annex I — sectoren met hoge kritikaliteit. Grote organisaties hierin zijn doorgaans essentiële entiteiten: proactief toezicht en de hoogste boetes.
- Annex II — overige kritieke sectoren. Organisaties hierin zijn doorgaans belangrijke entiteiten: reactief toezicht en lagere (maar nog steeds forse) boetes.
In welke categorie je valt, bepaalt het toezicht- en boeteregime. Het verschil tussen essentieel en belangrijk leggen we uit in Val ik onder NIS2?.
Annex I — sectoren met hoge kritikaliteit
- Energie — elektriciteit, olie, gas, waterstof en stadsverwarming
- Transport — lucht, spoor, maritiem en weg. Lees: NIS2 in transport en logistiek
- Bankwezen en financiële marktinfrastructuur
- Gezondheidszorg — ziekenhuizen, klinieken, zorgaanbieders en laboratoria. Lees: NIS2 in de zorg
- Drinkwater en afvalwater
- Digitale infrastructuur — internetknooppunten (IXP's), DNS, cloud, datacenters en CDN's
- ICT-servicebeheer (B2B) — managed service providers (MSP's) en MSSP's. Lees: NIS2 voor IT-dienstverleners en MSP's
- Overheid — centrale en regionale overheidsdiensten
- Ruimtevaart
Annex II — overige kritieke sectoren
- Post- en koeriersdiensten
- Afvalbeheer
- Vervaardiging van kritieke producten — chemie, medische hulpmiddelen, elektronica, machines en voertuigen
- Voedsel — productie, verwerking en distributie
- Digitale aanbieders — online marktplaatsen, zoekmachines en sociale netwerken
- Onderzoeksorganisaties
Sector alleen is niet genoeg: ook de omvang telt
In een sector zitten betekent nog niet automatisch dat je onder NIS2 valt. Daarvoor moet je ook minimaal middelgroot zijn:
| Categorie | Medewerkers | Omzet / balanstotaal |
|---|---|---|
| Klein / micro | < 50 | < €10 mln |
| Middelgroot | < 250 | < €50 mln / < €43 mln |
| Groot | ≥ 250 | ≥ €50 mln / ≥ €43 mln |
Vuistregel: vanaf 50 medewerkers óf €10 miljoen omzet in een gereguleerde sector val je in beginsel onder de wet. Bij een groep tellen de geconsolideerde cijfers mee.
Val je net buiten de directe scope, dan kun je er alsnog mee te maken krijgen via je klanten — zie NIS2 als toeleverancier.
Automatisch in scope — ongeacht grootte
Een aantal organisaties valt áltijd onder NIS2, ook als ze klein zijn:
- DNS-aanbieders en TLD-registries
- Vertrouwensdienstverleners (eIDAS)
- Aanbieders van openbare elektronische communicatienetwerken
- Door de overheid aangewezen kritieke entiteiten
Wat moet je doen?
- Bepaal je positie met de gratis NIS2-check: val je onder de wet, en als essentiële of belangrijke entiteit?
- Meet je rijpheid met de gap-analyse tegen de tien NCSC-zorgplichtmaatregelen.
- Bouw de basis met de whitepaper: de 10 stappen naar NIS2-compliance.
Volgende stap: doe de gratis check en daarna de gap-analyse — binnen een half uur weet je waar je staat.
Veelgestelde vragen
Hoeveel sectoren vallen onder NIS2? NIS2 wijst een vaste lijst sectoren aan, verdeeld over twee bijlagen: Annex I (hoge kritikaliteit) en Annex II (overige kritieke sectoren). Samen beslaan ze het overgrote deel van de vitale en economisch belangrijke sectoren.
Wat is het verschil tussen Annex I en Annex II? Annex I bevat de sectoren met hoge kritikaliteit (energie, transport, zorg, digitale infrastructuur, enzovoort); grote organisaties daarin zijn doorgaans essentiële entiteiten. Annex II bevat overige kritieke sectoren (post, afval, voedsel, productie, digitale aanbieders, onderzoek); organisaties daarin zijn doorgaans belangrijke entiteiten.
Mijn sector staat niet in de lijst — val ik dan buiten NIS2? In beginsel wel: val je in geen enkele aangewezen sector, dan val je niet rechtstreeks onder de Cyberbeveiligingswet. Je kunt er nog wel indirect mee te maken krijgen als leverancier van een organisatie die er wél onder valt. Doe de NIS2-check voor zekerheid.
Val ik onder NIS2 als ik in een sector zit maar klein ben? Meestal niet: je moet ook minimaal middelgroot zijn (≥50 medewerkers óf ≥€10 miljoen omzet). Uitzonderingen zijn organisaties die ongeacht hun grootte in scope vallen, zoals DNS-aanbieders en vertrouwensdienstverleners.
Wanneer treedt de Cyberbeveiligingswet in werking? De wet wordt verwacht op 1 juli 2026. De volledige tijdlijn staat in NIS2-deadline: wanneer treedt de Cyberbeveiligingswet in werking?.
Gratis whitepaper · 12 pagina's
De 10 stappen naar NIS2-compliance
Per maatregel: wat het is, concrete acties, en de valkuil. Direct als PDF in je inbox.
Vraag de whitepaper aanBlijf op de hoogte van NIS2
Periodiek de belangrijkste updates over de Cyberbeveiligingswet, plus praktische tips voor het MKB. Geen spam, uitschrijven kan altijd.
Door je in te schrijven ga je akkoord met onze verwerking van je e-mailadres. Geen spam, makkelijk uitschrijven.