Val ik onder NIS2? Een complete gids voor Nederlandse bedrijven

De Nederlandse Cyberbeveiligingswet — onze implementatie van de Europese NIS2-richtlijn — wordt verwacht op 1 juli 2026. Voor veel Nederlandse bedrijven is de eerste vraag: val ik er eigenlijk wel onder?

In dit artikel leggen we stap voor stap uit hoe je dat bepaalt, met praktijkvoorbeelden voor het Nederlandse MKB.

De korte versie

Je valt onder NIS2 als je voldoet aan alle drie onderstaande voorwaarden:

1. Je bedrijf is gevestigd in Nederland (of biedt diensten aan in Nederland)
2. Je actief bent in een gereguleerde sector (Annex I of Annex II)
3. Je bedrijf is middelgroot of groot (≥50 FTE óf ≥€10 miljoen omzet)

Plus: er zijn een aantal automatische uitzonderingen waarbij grootte niet uitmaakt — denk aan DNS-aanbieders, TLD-registries en vertrouwensdienstverleners.

Twijfel je? Doe onze gratis NIS2-check — in 2 minuten weet je het zeker.

Stap 1: Zit je in een gereguleerde sector?

NIS2 onderscheidt twee categorieën sectoren:

Annex I — Sectoren met hoge kritikaliteit

• Energie (elektriciteit, olie, gas, waterstof, stadsverwarming)
• Transport (lucht, rail, maritiem, weg)
• Bankwezen en financiële marktinfrastructuur
• Gezondheidszorg
• Drinkwater en afvalwater
• Digitale infrastructuur (IXP's, DNS, cloud, datacenters, CDN)
• ICT-beheer (B2B) — MSP's en MSSP's
• Overheid (centraal en regionaal)
• Ruimtevaart

Annex II — Overige kritieke sectoren

• Post- en koeriersdiensten
• Afvalbeheer
• Vervaardiging van kritieke producten (chemie, medische hulpmiddelen, elektronica, machines, voertuigen)
• Voedsel (productie, verwerking, distributie)
• Digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerken)
• Onderzoeksorganisaties

Stap 2: Hoe groot is je bedrijf?

NIS2 gebruikt de standaard EU-definities:

Categorie	FTE	Omzet	Balanstotaal
Micro	< 10	< €2 mln	< €2 mln
Klein	< 50	< €10 mln	< €10 mln
Middelgroot	< 250	< €50 mln	< €43 mln
Groot	≥ 250	≥ €50 mln	≥ €43 mln

Belangrijk: bij een groep tellen de geconsolideerde cijfers. Een Nederlandse dochter met 30 FTE die onderdeel is van een internationale groep met 5.000 FTE valt dus alsnog onder NIS2.

Stap 3: Belangrijke of Essentiële Entiteit?

Als je onder NIS2 valt, ben je óf een Belangrijke óf een Essentiële entiteit. Het verschil zit in het toezicht en de boetes:

• Essentiële entiteit: proactief toezicht, boetes tot €10 miljoen of 2% wereldwijde omzet
• Belangrijke entiteit: reactief toezicht, boetes tot €7 miljoen of 1,4% wereldwijde omzet

Vuistregel:

• Groot bedrijf + Annex I sector → Essentiële entiteit
• Alle andere combinaties → Belangrijke entiteit

Automatisch in scope (ongeacht grootte)

Sommige organisaties vallen áltijd onder NIS2, ook als ze klein zijn:

• DNS-aanbieders en TLD-registries
• Vertrouwensdienstverleners (eIDAS)
• Aanbieders van openbare elektronische communicatienetwerken
• Door de overheid aangewezen kritieke entiteiten

En nu?

Als je onder NIS2 valt, krijg je verplichtingen rond:

1. Risicobeheer en cybersecurity-maatregelen
2. Incidentmelding (binnen 24 uur initieel, 72 uur volledig)
3. Bestuurlijke verantwoordelijkheid (directie persoonlijk aansprakelijk)
4. Registratie bij de toezichthouder

Volgende stap: Bepaal eerst zeker of je onder NIS2 valt met onze gratis check. Daarna helpen we je met de gap-analyse.

Veelgestelde vragen

Wanneer treedt de Cyberbeveiligingswet in werking? De Nederlandse Cyberbeveiligingswet wordt verwacht op 1 juli 2026. Nederland heeft de oorspronkelijke EU-deadline van oktober 2024 niet gehaald.

Wat als ik nu al voldoe aan ISO 27001? ISO 27001 is een goede basis, maar dekt niet alle NIS2-eisen. Met name de incidentmeldingsplicht, bestuurlijke aansprakelijkheid en supply chain security vragen extra aandacht.

Geldt NIS2 ook voor mijn leveranciers? Ja en nee. Je leveranciers vallen alleen rechtstreeks onder NIS2 als ze zelf aan de criteria voldoen. Maar je bent wél verplicht om de cybersecurity van je supply chain te beheersen — dus contractuele eisen aan leveranciers worden de norm.