Stalen kluisdeur op een kier in modern kantoorgebouw, professional plaatst compliance-map tegen deurpost, warm amberkleurig licht.

Hoe bereid je jouw bedrijf voor op NIS2?

Je bedrijf voorbereiden op NIS2 begint met weten of je eronder valt, gevolgd door het in kaart brengen van de verplichtingen en het stap voor stap invoeren van de juiste maatregelen. De NIS2-richtlijn is inmiddels omgezet in de Nederlandse Cyberbeveiligingswet, waarvan de inwerkingtreding wordt verwacht in het tweede kwartaal van 2026. In dit artikel beantwoorden we de meest gestelde vragen over NIS2 compliance, van reikwijdte tot concrete voorbereiding.

Geldt de NIS2-richtlijn ook voor mijn bedrijf?

De NIS2-richtlijn geldt voor organisaties in sectoren die als essentieel of belangrijk worden beschouwd voor de samenleving. In Nederland vallen naar schatting ruim 10.000 organisaties direct onder de wet, en nog eens circa 50.000 bedrijven die aan deze groep leveren, kunnen indirect met de vereisten te maken krijgen via de supply chain.

Of jouw bedrijf onder de NIS2-regelgeving valt, hangt af van de sector waarin je actief bent en de omvang van je organisatie. Sectoren zoals energie, transport, drinkwater, digitale infrastructuur, gezondheidszorg, financiën en overheid vallen automatisch onder de wet. Voor middelgrote en grote ondernemingen in deze sectoren geldt een directe verplichting.

Overheidsorganisaties vormen een aparte categorie. Gemeenten, provincies, waterschappen en ministeries worden automatisch als essentiële entiteit aangemerkt, ongeacht hun omvang. Het omvangscriterium dat voor commerciële organisaties geldt, is uitdrukkelijk niet van toepassing op overheidsinstanties.

Ben je niet zeker of jouw organisatie eronder valt? Je kunt dit zelf nagaan via de NIS2 Zelfevaluatietool op regelhulpenvoorbedrijven.nl of de Flowchart Registratieplicht van het NCSC. Organisaties zijn zelf verantwoordelijk voor het bepalen of zij onder de Cyberbeveiligingswet vallen.

Wat zijn de concrete verplichtingen onder NIS2?

Organisaties die onder de NIS2-richtlijn vallen, hebben drie hoofdverplichtingen: een zorgplicht, een meldplicht en een registratieplicht. Daarnaast geldt een trainingsplicht voor bestuurders. Samen vormen deze verplichtingen de kern van wat NIS2 compliance in de praktijk betekent.

Zorgplicht: passende beveiligingsmaatregelen

De zorgplicht verplicht organisaties om passende technische en organisatorische maatregelen te nemen om de continuïteit van hun dienstverlening te borgen. Dit is geen vrijblijvende aanbeveling, maar een wettelijke verplichting die gebaseerd is op een risicoanalyse. De minimummaatregelen omvatten onder andere:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen
  • Maatregelen voor bedrijfscontinuïteit en crisisbeheer
  • Beveiliging van de toeleveringsketen (supply chain security)
  • Gebruik van multi-factorauthenticatie
  • Beleid voor cryptografie en encryptie
  • Beveiligingsmaatregelen voor personeel en toegangsbeheer

Meldplicht: incidenten tijdig rapporteren

Significante cyberincidenten moeten worden gemeld bij het NCSC. De procedure bestaat uit drie stappen: een vroegtijdige waarschuwing binnen 24 uur na ontdekking, een aanvullende melding binnen 72 uur, en een eindverslag uiterlijk één maand na het incident. Een incident is meldingswaardig als het de continuïteit van de dienstverlening aanzienlijk kan verstoren.

Registratieplicht en trainingsplicht

Organisaties die onder de wet vallen, moeten zich registreren in het entiteitenregister van het NCSC. Daarnaast verplicht de Cyberbeveiligingswet alle bestuurders om een training te volgen over het herkennen en beoordelen van beveiligingsrisico’s. Bestuurders hebben na inwerkingtreding maximaal twee jaar om aan deze trainingsplicht te voldoen.

Wat gebeurt er als je niet voldoet aan NIS2?

Organisaties die niet voldoen aan de NIS2-vereisten riskeren aanzienlijke boetes. Essentiële entiteiten kunnen worden beboet tot maximaal 10 miljoen euro of 2% van hun wereldwijde jaaromzet. Voor belangrijke entiteiten liggen de maximumboetes op 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Naast financiële sancties is er een bestuurlijke dimensie. De NIS2-richtlijn legt de verantwoordelijkheid voor cyberweerbaarheid expliciet bij het bestuur van een organisatie. Bestuurders moeten voldoende kennis hebben om weloverwogen beslissingen te nemen over informatiebeveiliging. Bij grove nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld, wat cybersecurity tot een echte boardroomkwestie maakt.

Het toezicht voor de meeste organisaties wordt uitgeoefend door de Rijksinspectie Digitale Infrastructuur (RDI). Voor waterschappen is dat de Inspectie Leefomgeving en Transport (ILT). De toezichthouders maken waar mogelijk gebruik van bestaande verantwoordingsstructuren, zoals de ENSIA-methodiek voor gemeenten, om de administratieve lasten te beperken.

Hoe begin je met de voorbereiding op NIS2?

De voorbereiding op NIS2 begint met het bepalen of je organisatie onder de wet valt, gevolgd door een grondige analyse van de huidige staat van je informatiebeveiliging. Wie nu begint, heeft een voorsprong en voorkomt dat cybersecurity een crisisproject wordt in plaats van een gestructureerd traject.

Een praktische aanpak bestaat uit de volgende stappen:

  1. Bepaal je status: Gebruik de zelfevaluatietool of de NCSC-flowchart om vast te stellen of je organisatie onder de Cyberbeveiligingswet valt en als essentieel of belangrijk wordt aangemerkt.
  2. Voer een gap-analyse uit: Breng in kaart welke maatregelen al aanwezig zijn en waar de grootste tekortkomingen zitten ten opzichte van de NIS2-vereisten.
  3. Stel een risicobeoordeling op: De zorgplicht is gebaseerd op risicobeheer. Een gedegen risicoanalyse vormt de basis voor alle vervolgstappen.
  4. Registreer je organisatie: Vrijwillige registratie bij het NCSC is al mogelijk. Door vroeg te registreren ontvang je informatie over actuele cyberdreigingen.
  5. Informeer het bestuur: Betrek bestuurders actief bij het traject en zorg dat zij de trainingsplicht serieus nemen.

Het NCSC biedt op zijn overzichtspagina over de Cyberbeveiligingswet diverse hulpmiddelen aan, waaronder checklists, infosheets en een doorverwijsboom om de juiste stappen te zetten.

Welke maatregelen moet je als eerste invoeren?

De maatregelen die je als eerste moet invoeren zijn de basismaatregelen die de grootste risico’s direct verkleinen: een actuele risicoanalyse, multi-factorauthenticatie, een incidentresponsplan en beleid voor toegangsbeheer. Dit zijn de fundamenten waarop alle verdere NIS2-voorbereiding wordt gebouwd.

Prioriteer de maatregelen op basis van je risicoanalyse, maar houd rekening met de volgende aandachtspunten die als minimumvereisten gelden onder de cybersecuritywetgeving:

  • Multi-factorauthenticatie: Dit is een van de meest effectieve basismaatregelen en staat expliciet in de NIS2-minimumvereisten vermeld.
  • Incidentresponsproces: Zonder een werkend meldproces kun je niet voldoen aan de meldplicht. Stel dit vroeg in het traject op.
  • Supply chain beveiliging: Breng in kaart welke leveranciers toegang hebben tot jouw systemen en welke risico’s dat met zich meebrengt.
  • Bedrijfscontinuïteitsplan: Zorg dat je weet wat je doet als een aanval toch succesvol is. Back-upbeleid en herstelplannen zijn essentieel.
  • Beleid voor informatiebeveiliging: Documenteer je aanpak. NIS2 vereist niet alleen dat je maatregelen neemt, maar ook dat je kunt aantonen dat je dit gestructureerd doet.

Voor een diepgaandere technische toetsing van je huidige beveiligingsniveau kan een penetratietest waardevolle inzichten opleveren in de kwetsbaarheden die als eerste moeten worden aangepakt.

Wanneer moet je NIS2-klaar zijn?

De inwerkingtreding van de Nederlandse Cyberbeveiligingswet wordt verwacht in het tweede kwartaal van 2026. Het wetsvoorstel is op 4 juni 2025 ingediend bij de Tweede Kamer. Organisaties die onder de wet vallen, moeten vanaf de inwerkingtreding direct aan de verplichtingen voldoen.

De Rijksoverheid adviseert expliciet om niet af te wachten totdat de wet in werking treedt. De risico’s waar NIS2 op inspeelt bestaan namelijk al. Organisaties die nu beginnen met hun NIS2-voorbereiding, bouwen stap voor stap aan een solide basis en voorkomen dat zij bij inwerkingtreding in tijdnood komen.

Voor bestuurders geldt een uitzondering op de directe verplichting: zij hebben na inwerkingtreding maximaal twee jaar om de verplichte training te voltooien. Dit neemt echter niet weg dat het verstandig is om bestuurders nu al te betrekken bij het beveiligingsbeleid van de organisatie.

Hoe Q-Cyber helpt met NIS2 voorbereiding

Q-Cyber begeleidt organisaties door het volledige NIS2-traject, van de eerste gap-analyse tot en met de implementatie van beleid en technische maatregelen. Wij combineren diepgaande technische kennis met beleidsexpertise, zodat je niet alleen voldoet aan de wet, maar ook daadwerkelijk weerbaarder wordt.

Wat wij concreet voor je doen:

  • Gap-analyse: We brengen in kaart waar jouw organisatie nu staat ten opzichte van de NIS2-vereisten en welke stappen prioriteit hebben.
  • Beleidsvorming: We schrijven informatiebeveiligingsbeleid op maat, afgestemd op jouw sector en risicoprofiel.
  • Bestuurderstrainingen: We verzorgen trainingen voor het management, zodat bestuurders voldoen aan de trainingsplicht en cybersecurity begrijpen als strategisch vraagstuk.
  • Technisch testen: Via vulnerability scans en pentests toetsen we de technische weerbaarheid van je systemen.
  • Virtuele CISO: Via Continuous-Q bieden we doorlopende begeleiding door een team van specialisten, zonder dat je een fulltime CISO in dienst hoeft te nemen.
  • Onafhankelijk advies: We werken zonder binding aan softwarepartijen of leveranciers, zodat ons advies altijd in jouw belang is.

Wil je weten waar jouw organisatie staat en hoe je de NIS2-voorbereiding het beste kunt aanpakken? Neem contact met ons op voor een vrijblijvend gesprek.