NIS2: wanneer ben je verplicht? Een praktijkvoorbeeld uit de IT-sector
Veel IT-bedrijven denken dat ze niet onder NIS2 vallen, maar door het zelf hosten van DNS-infrastructuur blijken ze tóch essentieel te zijn. De uitzondering voor DNS-dienstverleners is in de praktijk nog te weinig bekend, terwijl de impact van fouten groot kan zijn. Dit artikel helpt IT-organisaties om helder te bepalen of ze NIS2-plichtig zijn en welke stappen verstandig zijn.
De NIS2‑richtlijn, of in Nederland Cyberbeveiligingswet (Cbw), zorgt voor flink wat vragen in de markt. Logisch: het is nieuwe wetgeving, het raakt veel organisaties én het is soms best technisch. Vooral IT‑bedrijven merken dat klanten, partners en zelfs collega‑leveranciers vragen hebben als: Valt onze organisatie onder NIS2? En: Wanneer ben je precies NIS2 plichtig?
In dit artikel nemen we je mee in wat NIS2‑plichtigheid bepaalt. We pakken het breed op, maar zoomen vooral in op één belangrijk, en vaak verkeerd ingeschat, onderdeel: DNS‑diensten. Want juist daar gaat het in de praktijk regelmatig fout.
Wanneer ben je als IT‑bedrijf NIS2‑plichtig?
De meeste IT‑bedrijven kijken als eerste naar de omvangseis: het aantal medewerkers. Dat is begrijpelijk, want in veel gevallen bepaalt omvang inderdaad of je een belangrijke entiteit of essentiële entiteit bent. Maar, die redenering klopt niet altijd.
Er zijn uitzonderingen waarbij je altijd onder NIS2 valt, ongeacht het aantal medewerkers dat je in dienst hebt. En één van de uitzonderingen waar veel IT‑organisaties zich niet bewust van zijn, is: DNS‑diensten.
De praktijk: IT‑bedrijven die níet denken te vallen onder NIS2, maar dat tóch doen
In de praktijk zien we regelmatig IT‑bedrijven die het als volgt beredeneren: “Wij hebben maar twintig of dertig mensen, dus we vallen niet onder NIS2.”
Maar zodra we hun dienstverlening bekijken, blijkt dat ze zélf DNS‑infrastructuur draaien. En precies dat maakt je automatisch een essentiële entiteit volgens artikel 8 van de Cbw. Er komt dus geen omvangsgrens aan te pas.
Veel IT‑bedrijven verwarren DNS‑beheer met DNS‑dienstverlening. Maar er zit een groot verschil tussen:
- DNS‑records beheren via een registrar of hostingpartij → niet NIS2‑plichtig
- Zelf DNS‑servers hosten voor klanten → wél NIS2‑plichtig (essentieel)
Juist dit onderscheid wordt in de markt nog vaak over het hoofd gezien.
Waarom DNS zo’n kritieke rol speelt
DNS is een fundament van het internet. Als DNS niet werkt, werkt niets. Het is digitale infrastructuur met een enorme ketenimpact. Een storing in de DNS‑keten kan leiden tot uitval, trage systemen en applicaties die wereldwijd slecht bereikbaar zijn. Herstel duurt vaak lang, onder andere door caching en time‑to‑live (TTL) instellingen. Een verkeerde wijziging kan daardoor uren, soms zelfs dagen, doorwerken.
En dat is de reden dat de wetgever zegt: DNS‑aanbieders zijn altijd essentieel. Whoops‑momenten op DNS‑niveau raken niet één organisatie, maar hele ketens.
Een concreet voorbeeld: de DNS-storing bij AWS
Een recente storing bij AWS laat goed zien hoe kwetsbaar DNS is. Door een fout in de DNS-infrastructuur werden diensten niet meer correct doorverwezen. Het gevolg: websites en applicaties die wereldwijd slecht bereikbaar waren of volledig uitvielen. Herstel duurde langer dan verwacht, omdat verkeerde DNS‑informatie blijft rondzwerven door caching en TTL-instellingen. Dit soort incidenten onderstrepen precies waarom DNS-aanbieders automatisch als essentiële entiteit worden aangemerkt onder NIS2.
Hoe bepaal je of jouw IT‑bedrijf wél of niet NIS2‑plichtig is?
Hier komt het aan op een paar scherpe vragen. Kijk bijvoorbeeld naar:
1. Welke diensten bied je precies aan?
- Host je zelf infrastructuur?
- Bied je diensten aan die onderdeel zijn van digitale ketens?
2. Beheer je DNS‑records of beheer je DNS‑servers?
- Records beheren = administratief
- DNS‑servers draaien = infrastructuur (en dus essentieel)
3. Wat is de impact van jouw dienstverlening op andere organisaties?
- Hoe groter de impact, hoe groter de kans dat je binnen het NIS2‑domein valt.
4. Werk je met ketenpartners die wél NIS2‑plichtig zijn?
Door ketenverantwoordelijkheid krijg je er vroeg of laat toch mee te maken.
Wat kun je doen als je DNS zelf draait?
Voor kleine IT‑organisaties is het goed om stil te staan bij de vraag of je DNS wel zélf wilt blijven doen. DNS levert economisch weinig op, maar de risico’s en verplichtingen kunnen aanzienlijk zijn. Het is daarom verstandig om:
- te beoordelen of DNS‑hosting echt past bij jullie organisatie
- te onderzoeken of uitbesteden een verstandige stap is
Veel IT‑bedrijven kiezen er uiteindelijk voor om DNS‑diensten niet zelf te hosten, maar te verhuizen naar een gespecialiseerde partij.
Er zit ook een positieve kant aan NIS2
NIS2 draait niet alleen om verplichtingen. Het gaat ook over samenwerking, ketenveiligheid en betrouwbaarheid. Je mag je als organisatie bijvoorbeeld proactief aanmelden bij het NCSC, ook als je niet NIS2‑plichtig bent. Het levert voordelen op:
- Je staat bij hen bekend als betrouwbare partij
- Ze herkennen jouw digitale adressen bij grootschalige incidenten
- Je kunt ondersteuning krijgen bij ernstige situaties
Zeker voor IT‑bedrijven geeft dat vertrouwen richting klanten en partners.
De essentie: kijk verder dan omvang
Wanneer je NIS2‑plichtig bent, hangt dus niet alleen af van je omvang. Vooral voor IT‑bedrijven geldt: kijk naar de aard van je dienstverlening. Host je zelf kritieke infrastructuur zoals DNS? Dan ben je eerder NIS2‑plichtig dan je denkt.
Wil je weten hoe dit voor jouw organisatie zit of heb je behoefte aan een NIS2‑duiding op maat? Neem dan gerust contact met ons op. Als partner in certificeren helpen we je graag verder!
Voldoe tijdig aan de NIS2 eisen!
Start vandaag nog en voorkom boetes!
- NIS2 experts
- Praktisch stappenplan
- Offerte op maat
