NIS2 in Nederland: val je eronder en wat gebeurt er als je niet voldoet?
Ben jij één van die duizenden organisaties die straks te maken krijgt met strengere verplichtingen, intensiever toezicht en hogere boetes? Voldoe tijdig aan de NIS2!
Ik ben Camiël Brekelmans, een enthousiaste aanpakker bij CertificeringsAdvies Nederland (CAN). Mijn passie ligt in het oplossen van complexe vraagstukken en het creëren van werkbare oplossingen.
camiel@certificeringsadvies.nlDe Europese NIS2-richtlijn is niet zomaar een technische wet. Het is een fundamentele herziening van hoe Europa omgaat met digitale weerbaarheid. In Nederland wordt NIS2 vertaald naar de Cyberbeveiligingswet (Cbw) en het Cyberbeveiligingsbesluit (CBB). Dat betekent dat duizenden organisaties straks te maken krijgen met strengere verplichtingen, intensiever toezicht en hogere boetes.
Twee vragen staan daarbij centraal:
- Val ik als organisatie onder NIS2, en ben ik dan een essentiële of belangrijke entiteit?
- Wat gebeurt er als ik niet aan de verplichtingen voldoe – welke sancties kan ik verwachten?
Dit blog geeft een uitgebreid antwoord op beide vragen.
De scope: wie valt eronder?
De Cbw neemt de structuur van NIS2 over. Organisaties vallen in scope als ze:
- actief zijn in een sector die genoemd wordt in bijlage I of II van NIS2, en;
- voldoen aan het size-cap-criterium: meer dan 50 werknemers of een jaaromzet/balanstotaal van meer dan 10 miljoen euro.
Afbeelding: NIS2 flowchart – CertificeringsAdvies Nederland
Essentiële sectoren (bijlage I)
De lijst van essentiële sectoren omvat onder meer:
- Energie (elektriciteit, olie, gas, district heating).
- Vervoer (luchtvaart, spoor, scheepvaart, wegvervoer).
- Gezondheidszorg (ziekenhuizen, laboratoria, zorginstellingen).
- Drinkwater en afvalwater.
- Digitale infrastructuur (DNS, TLD’s, datacenters, cloudproviders).
Deze organisaties worden vrijwel altijd als essentieel aangemerkt.
Belangrijke sectoren (bijlage II)
Bijlage II bevat sectoren die óók van groot maatschappelijk belang zijn, maar iets minder direct vitaal. Voorbeelden:
- Post- en koeriersdiensten.
- Afvalstoffenbeheer.
- Levensmiddelenproductie en distributie.
- Chemische stoffen.
- Onderzoeksinstellingen en fabrikanten van kritieke producten.
Deze vallen meestal in de categorie belangrijk.
Altijd in scope
Ongeacht hun omvang vallen bepaalde entiteiten automatisch onder NIS2, zoals aanbieders van vertrouwensdiensten, TLD-registers en overheidsinstanties.
Aanwijzing door de minister
De Cbw geeft ministers de mogelijkheid om organisaties expliciet aan te wijzen als essentieel of belangrijk. Dit kan bijvoorbeeld gebeuren wanneer een bedrijf de enige aanbieder is van een cruciale dienst in Nederland.
Hoeveel organisaties in Nederland?
Volgens de memorie van toelichting worden er in Nederland ongeveer 8.100 organisaties geraakt door de Cbw. Dat is een enorme sprong ten opzichte van de circa 400 organisaties die onder de oude Wbni vielen.
Essentieel of belangrijk: wat is het verschil?
Het onderscheid zit vooral in het toezicht, niet in de verplichtingen zelf. Beide groepen moeten voldoen aan dezelfde zorgplicht (artikel 21 NIS2) en meldplicht.
Essentiële entiteiten krijgen een intensief toezichtregime. Dat betekent dat toezichthouders je niet alleen na een incident kunnen aanspreken, maar ook vooraf actief mogen controleren of je beveiligingsmaatregelen op orde zijn. Denk aan audits, het opvragen van rapportages en zelfs fysieke inspecties.
Belangrijke entiteiten vallen onder een lichter toezichtregime. Hier grijpt de toezichthouder meestal pas in na een incident, een klacht of een signaal dat er iets niet goed gaat. Je hoeft dus minder vaak te rekenen op proactieve controles, maar de verplichtingen waar je aan moet voldoen zijn in de basis wél hetzelfde.
Toezicht: hoe werkt het in Nederland?
De Cbw geeft toezichthouders vergaande bevoegdheden. Zij mogen:
- Bedrijfsruimten betreden.
- Documenten en digitale gegevens inzien.
- Informatie vorderen.
- Identificatie eisen.
Wie zijn de toezichthouders?
De Rijksinspectie Digitale Infrastructuur (RDI) krijgt een coördinerende rol. Daarnaast blijven sectorale toezichthouders actief, zoals de Nederlandse Zorgautoriteit (zorg), de ILT (transport) of de Autoriteit Nucleaire Veiligheid en Stralingsbescherming.
Sancties: wat als je niet voldoet?
De sancties zijn stevig en sluiten aan bij de schaal van de organisatie.
Herstellende maatregelen
- Waarschuwing.
- Bindende aanwijzing.
- Last onder dwangsom.
- Verplichte openbaarmaking van de overtreding.
Boetes
De maximale boetes zijn:
- Essentiële entiteiten: €10 miljoen of 2% van de wereldwijde jaaromzet.
- Belangrijke entiteiten: €7 miljoen of 1,4% van de omzet.
Schorsing van bestuurders
Een bijzonder element is dat toezichthouders ook bestuurders kunnen schorsen wanneer zij ernstig tekortschieten. Daarmee ligt de verantwoordelijkheid nadrukkelijk in de bestuurskamer.
Voorbeelden uit de praktijk
De noodzaak van deze regels blijkt uit recente incidenten:
- Gezondheidszorg: De Ierse Health Service Executive werd in 2021 getroffen door een ransomware-aanval die ziekenhuizen wekenlang platlegde. Kosten: tientallen miljoenen euro’s (bron).
- Industrie: Jaguar Land Rover moest in 2025 zijn Britse fabrieken wekenlang stilleggen na een cyberaanval (bron).
- Staalproductie: Een Duitse staalfabriek liep in 2014 fysieke schade op nadat hackers een hoogoven ontregelden (bron).
- Energie: In 2025 zetten Russische hackers kort een sluis open in een Noorse dam, waardoor water ongecontroleerd werd geloosd (bron).
- Banken: Duitse banken werden herhaaldelijk getroffen door DDoS-aanvallen die internetbankieren urenlang platlegden (bron).
Deze incidenten laten zien: digitale aanvallen hebben directe maatschappelijke impact. NIS2 wil voorkomen dat zulke situaties in Nederland onbeheerst toeslaan.
Wat betekent dit concreet voor organisaties?
- Bepaal of je in scope bent: kijk naar sector en omvang.
- Check of je essentieel of belangrijk bent :dat bepaalt de intensiteit van toezicht.
- Breng governance op orde: het bestuur moet aantoonbaar betrokken zijn.
- Implementeer maatregelen: artikel 21 NIS2 noemt expliciet zaken als back-ups, incidentrespons, business continuity en supply chain security.
- Leg besluiten vast: zonder documentatie kan een toezichthouder aannemen dat er sprake is van nalatigheid.
Veelgestelde vragen NIS2
Start vandaag nog!
De Cbw en CBB brengen NIS2 in volle breedte naar Nederland. Het speelveld verandert fundamenteel:
- 8.100 organisaties vallen straks onder toezicht.
- Essentieel of belangrijk bepaalt vooral de intensiteit van het toezicht.
- Sancties variëren van aanwijzingen en dwangsommen tot miljoenenboetes en zelfs schorsing van bestuurders.
Afwachten is geen optie. Organisaties moeten nu hun positie bepalen, maatregelen implementeren en hun governance op orde brengen. Heb je daarbij hulp nodig? Informeer gerust naar de mogelijkheden. Onze adviseurs staan voor je klaar!
Ik ben Camiël Brekelmans, een enthousiaste aanpakker bij CertificeringsAdvies Nederland (CAN). Mijn passie ligt in het oplossen van complexe vraagstukken en het creëren van werkbare oplossingen.
camiel@certificeringsadvies.nl
Start vandaag nog met NIS2!
Start tijdig en voorkom boetes!
- Voldoe aan de eisen
- Advies op maat
- Vrijblijvende offerte
