Wat is een CISO en wat doet die precies?

Geplaatst op: 3 juni 2026

Professional in donker pak bestudeert beveiligingsstrategie in moderne vergaderzaal met glazen wanden en stadsgezicht op de achtergrond.

Een CISO, voluit Chief Information Security Officer, is de eindverantwoordelijke voor de informatiebeveiliging binnen een organisatie. De CISO bepaalt het cybersecuritybeleid, beheert risico’s en zorgt dat beveiliging structureel is ingebed in de bedrijfsvoering. In dit artikel beantwoorden we de meest gestelde vragen over de CISO-rol: van taken en bevoegdheden tot de vraag wanneer jouw organisatie er een nodig heeft.

Welke verantwoordelijkheden heeft een CISO binnen een organisatie?

Een CISO is verantwoordelijk voor het volledige informatiebeveiligingsbeleid van een organisatie. Dat betekent: risico’s identificeren, beveiligingsmaatregelen bepalen, incidenten managen en ervoor zorgen dat cybersecurity aansluit op de bedrijfsdoelstellingen. De CISO rapporteert doorgaans rechtstreeks aan de directie of het bestuur en maakt beveiliging bespreekbaar op het hoogste niveau.

De dagelijkse taken van een CISO zijn breed en omvatten zowel technische als organisatorische aspecten. Concreet gaat het om verantwoordelijkheden zoals:

  • Het opstellen en bewaken van het informatiebeveiligingsbeleid
  • Het uitvoeren van risicoanalyses en het prioriteren van beveiligingsmaatregelen
  • Het aansturen van beveiligingsincidenten en crisisrespons
  • Het borgen van compliance met wet- en regelgeving, zoals NIS2 en andere cyberwetgeving
  • Het trainen en bewust maken van medewerkers op het gebied van cybersecurity
  • Het bewaken van de beveiliging in de toeleveringsketen
  • Het rapporteren aan bestuur en directie over de actuele beveiligingsstatus

Wat de CISO-rol onderscheidt van andere beveiligingsfuncties, is de strategische positie. Een CISO denkt niet alleen in technische oplossingen, maar vertaalt cyberdreigingen naar bedrijfsrisico’s die het bestuur begrijpt en waarop het kan acteren. Dat maakt de functie bij uitstek een brugfunctie tussen de technische wereld en de boardroom.

Onder regelgeving zoals de NIS2-richtlijn wordt van bestuurders verwacht dat zij voldoende kennis hebben om weloverwogen beslissingen te nemen over informatiebeveiliging. De CISO speelt hierin een sleutelrol: hij of zij zorgt dat het bestuur de juiste informatie krijgt om die verantwoordelijkheid waar te kunnen maken.

Wat is het verschil tussen een CISO en een IT-manager?

Het belangrijkste verschil tussen een CISO en een IT-manager is het focusgebied. Een IT-manager is verantwoordelijk voor de beschikbaarheid en werking van IT-systemen, terwijl een CISO verantwoordelijk is voor de beveiliging van informatie en de bijbehorende risico’s. De IT-manager beheert de infrastructuur; de CISO bewaakt wat er met de data en systemen kan misgaan.

In de praktijk werken beide rollen nauw samen, maar ze hebben fundamenteel andere verantwoordelijkheden:

  • IT-manager: zorgt dat systemen draaien, beheert netwerken, servers en applicaties, en lost technische problemen op
  • CISO: bepaalt het beveiligingsbeleid, identificeert risico’s, bewaakt compliance en rapporteert aan de directie over dreigingen

Een veelgemaakte fout is dat organisaties de cybersecurityverantwoordelijkheid volledig bij de IT-manager leggen. Dat is begrijpelijk in een vroeg stadium, maar brengt risico’s mee. Een IT-manager heeft doorgaans de focus op operationele continuïteit, niet op het bredere risicobeheer dat bij een CISO-rol hoort. Bovendien kan er een belangenconflict ontstaan: snelheid en beschikbaarheid staan soms op gespannen voet met strikte beveiligingsmaatregelen.

Naarmate organisaties groeien of te maken krijgen met strengere regelgeving, wordt het steeds belangrijker om deze rollen te scheiden of in ieder geval duidelijk te definiëren wie de eindverantwoordelijkheid draagt voor informatiebeveiliging.

Wanneer heeft een organisatie een CISO nodig?

Een organisatie heeft een CISO nodig zodra cybersecurity niet langer ad hoc kan worden beheerd, maar structureel beleid en aansturing vereist. Dat moment verschilt per organisatie, maar er zijn duidelijke signalen die aangeven dat de stap naar een dedicated CISO of gelijkwaardige rol noodzakelijk is.

Overweeg een CISO wanneer één of meer van de volgende situaties van toepassing zijn:

  • De organisatie valt onder wet- en regelgeving zoals NIS2 of sectorspecifieke beveiligingsnormen
  • Er worden grote hoeveelheden gevoelige of persoonsgebonden gegevens verwerkt
  • De organisatie heeft te maken gehad met een beveiligingsincident of datalek
  • Klanten of partners stellen eisen aan aantoonbare cybersecuritymaatregelen
  • De IT-omgeving is complex geworden door groei, cloud-adoptie of digitale transformatie
  • Het bestuur wil cybersecurity actief kunnen sturen en verantwoorden

Voor kleinere organisaties is een voltijdse CISO vaak niet haalbaar of noodzakelijk. Toch geldt ook voor hen dat iemand de beveiligingsverantwoordelijkheid moet dragen. In zulke gevallen biedt een virtuele CISO een praktisch alternatief, waarbij expertise op maat wordt ingehuurd zonder de kosten van een fulltime aanstelling.

Wat is een virtuele CISO en hoe werkt dat?

Een virtuele CISO, ook wel vCISO genoemd, is een externe cybersecurityspecialist die de CISO-taken op parttime of projectbasis invult voor een organisatie. De vCISO biedt dezelfde strategische begeleiding, beleidsvorming en risicobeheer als een interne CISO, maar zonder de kosten en verplichtingen van een fulltime functie.

Een virtuele CISO werkt doorgaans op vaste basis samen met de organisatie, bijvoorbeeld een aantal dagen per maand. In die tijd:

  • Beoordeelt de vCISO de actuele beveiligingsstatus en risico’s
  • Stelt hij of zij beleid op en bewaakt de implementatie daarvan
  • Adviseert de vCISO het bestuur over prioriteiten en investeringen
  • Begeleidt de vCISO compliance-trajecten, zoals voorbereiding op NIS2
  • Treedt de vCISO op als aanspreekpunt bij beveiligingsincidenten

Het grote voordeel van een virtuele CISO is de combinatie van brede expertise en flexibiliteit. Omdat een vCISO voor meerdere organisaties werkt, brengt hij of zij kennis mee uit verschillende sectoren en situaties. Dat levert een breder perspectief op dan een interne medewerker die alleen de eigen organisatie kent.

Voor organisaties die wel behoefte hebben aan strategische cybersecuritybegeleiding maar (nog) niet de omvang hebben voor een fulltime CISO, is de virtuele variant een effectieve en betaalbare oplossing. Bekijk hoe een vCISO-dienst in de praktijk werkt.

Welke opleiding en achtergrond heeft een CISO doorgaans?

Een CISO heeft doorgaans een achtergrond in informatica, informatiebeveiliging of een aanverwante technische richting, aangevuld met ruime werkervaring in IT en security. Daarnaast zijn managementvaardigheden en kennis van wet- en regelgeving steeds belangrijker geworden voor iedereen die de CISO-rol serieus invult.

Er bestaat geen vaste route naar het CISO-vak, maar een aantal elementen komt bij de meeste ervaren CISO’s terug:

Technische basis

De meeste CISO’s zijn begonnen in een technische IT-rol, zoals systeembeheer, netwerkbeveiliging of softwareontwikkeling. Die praktijkervaring is waardevol omdat het helpt om dreigingen en kwetsbaarheden op een realistisch niveau in te schatten. Zonder technische fundering is het lastig om beveiligingsmaatregelen te beoordelen of te prioriteren.

Certificeringen en kennis van regelgeving

Naast een formele opleiding zijn erkende certificeringen een belangrijk onderdeel van het profiel. Veelgenoemde certificeringen zijn CISSP (Certified Information Systems Security Professional), CISM (Certified Information Security Manager) en ISO 27001 Lead Implementer. Daarnaast wordt van een CISO verwacht dat hij of zij de relevante wet- en regelgeving goed begrijpt, zoals de NIS2-richtlijn, de AVG en sectorspecifieke normen.

Naast de technische en juridische kennis vraagt de CISO-rol steeds meer om zachte vaardigheden: communiceren met bestuurders, draagvlak creëren voor beveiligingsmaatregelen en medewerkers bewust maken van risico’s. Een CISO die alleen technisch sterk is maar niet kan uitleggen waarom beveiliging belangrijk is voor de business, mist een cruciaal deel van de functie.

Voor organisaties die op zoek zijn naar een CISO, is het dan ook verstandig om niet alleen te kijken naar technische kennis, maar ook naar communicatieve vaardigheden, strategisch inzicht en ervaring met beleidsvorming.

Hoe Q-Cyber helpt met de CISO-rol in jouw organisatie

Niet elke organisatie heeft de middelen of de behoefte aan een fulltime CISO, maar iedereen heeft wel behoefte aan iemand die de beveiligingsverantwoordelijkheid serieus neemt. Wij bieden daar een concrete oplossing voor, afgestemd op de schaal en het risicoprofiel van jouw organisatie.

Wat wij voor je kunnen doen:

  • Virtuele CISO-diensten: via ons Continuous-Q programma leveren wij een team van specialisten dat als vCISO fungeert, beleid schrijft, risico’s beheert en het bestuur adviseert
  • NIS2-begeleiding: wij voeren gap-analyses uit, schrijven beleid op maat en begeleiden het volledige compliance-traject
  • Trainingen voor bestuurders: wij verzorgen trainingen die bestuurders in staat stellen hun verantwoordelijkheid onder NIS2 waar te maken
  • Onafhankelijk advies: wij zijn niet gebonden aan softwarepartijen of leveranciers, waardoor ons advies altijd in jouw belang is
  • Pentests en vulnerability scans: wij testen de kwetsbaarheden in jouw omgeving zodat de CISO of het bestuur weet waar de prioriteiten liggen

Of je nu op zoek bent naar structurele begeleiding of een eenmalige beoordeling van je beveiligingspositie: wij denken graag met je mee. Neem contact op en ontdek wat wij voor jouw organisatie kunnen betekenen.

Lees meer

Wat zijn de sancties bij niet-naleving van NIS2?

Geplaatst op: 3 juni 2026

Gebarsten ijzeren hangslot op beton met officiële documenten eronder, verlicht door rood waarschuwingslicht in dramatische schaduw.

Bij niet-naleving van de NIS2-richtlijn kunnen organisaties te maken krijgen met forse financiële boetes, operationele sancties en in ernstige gevallen persoonlijke aansprakelijkheid van bestuurders. Voor essentiële entiteiten lopen de boetes op tot maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, voor belangrijke entiteiten tot 7 miljoen euro of 1,4%. De NIS2-sancties zijn daarmee bewust ontworpen om cybersecurity een boardroomprioriteit te maken. In dit artikel beantwoorden we de meest gestelde vragen over NIS2-handhaving, boetes en wat u kunt doen om risico’s te beperken.

Hoe hoog zijn de boetes voor NIS2-overtredingen?

De hoogte van een NIS2-boete hangt af van de categorie waartoe een organisatie behoort. Essentiële entiteiten riskeren boetes tot maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, waarbij het hoogste bedrag van de twee van toepassing is. Belangrijke entiteiten kunnen worden beboet tot maximaal 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Deze boeteplafonds gelden als maximumbedragen. In de praktijk zal een toezichthouder bij het bepalen van de hoogte van een boete rekening houden met de ernst van de overtreding, de mate van nalatigheid, de schade die is ontstaan en of de organisatie aantoonbaar stappen heeft gezet om te voldoen. Een eerste overtreding waarbij de organisatie direct corrigerende maatregelen neemt, zal doorgaans anders worden behandeld dan structurele noncompliance.

In Nederland wordt de NIS2-wetgeving omgezet via de Cyberbeveiligingswet (Cbw), waarvan de inwerkingtreding wordt verwacht in het tweede kwartaal van 2026. De boetebevoegdheden zijn daarin verankerd op basis van de Europese richtlijn. Organisaties die nu al investeren in NIS2-compliance verkleinen hun risico op sancties aanzienlijk zodra de wet van kracht wordt.

Welke toezichthouders handhaven de NIS2-richtlijn in Nederland?

In Nederland is de handhaving van de NIS2-richtlijn verdeeld over meerdere toezichthouders, afhankelijk van de sector. De Rijksinspectie Digitale Infrastructuur (RDI) is aangewezen als primaire toezichthouder voor de overheidssector, met uitzondering van waterschappen. Voor waterschappen is dat de Inspectie Leefomgeving en Transport (ILT).

Voor andere sectoren, zoals energie, transport, financiën en gezondheidszorg, zijn sectorspecifieke toezichthouders verantwoordelijk. Welke toezichthouder bevoegd is, hangt af van de sector waarin een organisatie actief is en of zij als essentieel of belangrijk wordt aangemerkt.

De RDI maakt bij het overheidstoezicht zo veel mogelijk gebruik van bestaande verantwoordingsstructuren om de administratieve lasten te beperken. Voor gemeenten betekent dit dat de ENSIA-methodiek als basis dient voor het NIS2-toezicht. Voor rijkspartijen zijn dat het jaarlijkse Informatiebeveiligingsbeeld van de Audit Dienst Rijk (ADR) en de rapportages van de Algemene Rekenkamer (ARK). De verwachting is dat naarmate overheidsorganisaties volwassener worden in hun informatiebeveiligingspraktijk, er minder actief toezicht nodig is.

Wat zijn de niet-financiële sancties bij NIS2-overtredingen?

Naast financiële boetes voorziet de NIS2-richtlijn ook in een reeks niet-financiële handhavingsmaatregelen. Deze kunnen worden ingezet als aanvulling op of alternatief voor boetes, afhankelijk van de ernst van de situatie en de mate van naleving.

De meest voorkomende niet-financiële sancties zijn:

  • Bindende aanwijzingen: de toezichthouder verplicht een organisatie specifieke maatregelen te nemen binnen een bepaalde termijn.
  • Bevelen tot naleving: een formele opdracht om te stoppen met een overtreding of om een bepaalde beveiligingsmaatregel te implementeren.
  • Tijdelijke schorsing van diensten: in ernstige gevallen kan een toezichthouder een essentiële entiteit opdragen bepaalde activiteiten tijdelijk te staken totdat aan de vereisten is voldaan.
  • Publicatie van de overtreding: de toezichthouder kan besluiten een overtreding openbaar te maken, wat reputatieschade tot gevolg kan hebben.
  • Verplichte audits: een organisatie kan worden verplicht een onafhankelijke beveiligingsaudit te laten uitvoeren.

Niet-financiële sancties kunnen in de praktijk ingrijpender zijn dan een boete, zeker wanneer een tijdelijke schorsing of publicatie van een overtreding het vertrouwen van klanten, partners of burgers schaadt. De combinatie van reputatierisico en operationele verstoring maakt NIS2-compliance tot een strategisch vraagstuk.

Wanneer kan een bestuurder persoonlijk aansprakelijk worden gesteld?

De NIS2-richtlijn legt de verantwoordelijkheid voor cyberweerbaarheid expliciet bij het bestuur van een organisatie. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld wanneer er sprake is van grove nalatigheid bij ernstige cyberbeveiligingsincidenten die het gevolg zijn van het structureel negeren van verplichtingen.

Concreet betekent dit dat bestuurders geacht worden voldoende kennis te hebben van de cybersecurityrisico’s waarmee hun organisatie te maken heeft. De Cyberbeveiligingswet verplicht alle bestuursleden een training te volgen die hen leert beveiligingsrisico’s te herkennen, risicobeheersmaatregelen te beoordelen en de gevolgen van die risico’s voor de organisatie in te schatten. Bestuurders hebben na inwerkingtreding van de wet maximaal twee jaar om aan deze trainingsplicht te voldoen.

Een belangrijk onderscheid geldt voor overheidsorganisaties: de NIS2-bepaling over persoonlijke aansprakelijkheid van bestuurders bij niet-naleving is uitdrukkelijk niet van toepassing op overheidsinstanties. De Cyberbeveiligingswet brengt voor private organisaties geen nieuwe aansprakelijkheden met zich mee buiten wat al bestond: bestuurders konden al bij grove nalatigheid aansprakelijk worden gesteld op basis van het bestaande recht. NIS2 versterkt echter de normatieve verwachting en maakt het lastiger om onwetendheid als verweer aan te voeren.

Hoe verschilt NIS2-handhaving van de AVG-handhaving?

NIS2-handhaving en AVG-handhaving lijken op elkaar omdat beide Europese regelgeving betreffen met forse boetebevoegdheden, maar er zijn wezenlijke verschillen in focus, reikwijdte en handhavingssystematiek.

De AVG richt zich primair op de bescherming van persoonsgegevens en de rechten van betrokkenen. De handhaving is in Nederland belegd bij de Autoriteit Persoonsgegevens (AP), die optreedt bij datalekken en schendingen van privacyrechten. De boeteplafonds zijn hoger: tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

NIS2 richt zich op de weerbaarheid van netwerk- en informatiesystemen van organisaties die kritieke of belangrijke diensten leveren. Het gaat niet uitsluitend om persoonsgegevens, maar om de continuïteit en veiligheid van systemen en processen. De handhaving is sectoraal georganiseerd en belegd bij meerdere toezichthouders, afhankelijk van de sector.

Een ander verschil is de proactieve aard van NIS2. Waar de AVG-handhaving vaak reactief is na een incident of klacht, voorziet NIS2 in actief toezicht op de naleving van de zorgplicht, ongeacht of er een incident heeft plaatsgevonden. Organisaties moeten kunnen aantonen dat zij structureel werken aan cyberbeveiliging. Beide wetten kunnen overigens tegelijk van toepassing zijn: een cyberincident waarbij persoonsgegevens zijn gelekt, kan leiden tot handhaving onder zowel de NIS2 als de AVG.

Hoe verklein je het risico op NIS2-sancties?

Het risico op NIS2-sancties verklein je door aantoonbaar en structureel te werken aan cyberbeveiliging, ruim voordat een toezichthouder aan de deur staat. De kern is niet perfecte beveiliging, maar een gedocumenteerde, risicogebaseerde aanpak die laat zien dat uw organisatie haar verplichtingen serieus neemt.

Concrete stappen die het risico significant verlagen:

  1. Bepaal of uw organisatie onder NIS2 valt en of u als essentieel of belangrijk wordt aangemerkt. Gebruik hiervoor de NIS2 Zelfevaluatietool van de RVO.
  2. Implementeer een risicogebaseerd beveiligingsbeleid dat minimaal de NIS2-zorgplicht dekt: toegangsbeheer, cryptografie, incidentrespons, bedrijfscontinuïteit en supply chain-beveiliging.
  3. Stel een meldproces in voor cyberincidenten. NIS2 vereist dat significante incidenten binnen 24 uur worden gemeld bij de bevoegde autoriteit, met een vervolgmelding binnen 72 uur en een eindverslag binnen een maand.
  4. Train uw bestuurders op de drie verplichte leerdoelen: risicoherkenning, beoordeling van maatregelen en impactbeoordeling.
  5. Breng uw toeleveringsketen in kaart en toets de cybersecuritymaatregelen van uw leveranciers. De NIS2-zorgplicht vereist inzicht in de beveiligingspraktijken in uw keten.
  6. Documenteer alles. Aantoonbaarheid is cruciaal: een toezichthouder beoordeelt niet alleen wat u doet, maar ook of u kunt bewijzen dat u het doet.

Voor overheidsorganisaties geldt dat naleving van de BIO2 een logisch en effectief startpunt is, omdat dit normenkader wettelijk wordt verankerd als sectoraal kader onder de Cyberbeveiligingswet. Wie de BIO2 al toepast, heeft een sterke basis voor NIS2-compliance.

Hoe Q-Cyber helpt met NIS2-compliance

NIS2 is complex, maar met de juiste begeleiding hoeft het niet overweldigend te zijn. Wij helpen organisaties stap voor stap richting aantoonbare compliance, zonder onnodige complexiteit en zonder binding aan softwarepartijen. Onze aanpak is pragmatisch, onafhankelijk en afgestemd op uw specifieke situatie.

Wat wij voor uw organisatie kunnen doen:

  • Gap-analyse: we brengen in kaart waar uw organisatie nu staat ten opzichte van de NIS2-vereisten en welke stappen prioriteit hebben.
  • Beleidsvorming: we schrijven cybersecuritybeleid op maat dat aansluit op de zorgplicht en uw risicoprofiel.
  • Bestuurderstrainingen: we verzorgen trainingen die de drie verplichte leerdoelen dekken en bestuurders in staat stellen hun verantwoordelijkheid waar te maken.
  • Technische toetsing: via penetratietesten en vulnerability scans toetsen we de technische weerbaarheid van uw systemen.
  • Virtuele CISO: via Continuous-Q bieden we doorlopende begeleiding door een team van specialisten, zonder de kosten van een fulltime CISO.
  • Supply chain-advies: we helpen u de cybersecuritymaatregelen van uw leveranciers in kaart te brengen en te borgen.

De Rijksoverheid adviseert organisaties om niet te wachten totdat de Cyberbeveiligingswet in werking treedt. De risico’s zijn er nu al, en wie nu in actie komt, staat straks aanzienlijk sterker. Neem contact op en ontdek hoe wij uw organisatie kunnen begeleiden naar NIS2-compliance.

Lees meer

Wat zijn de NIS2-eisen voor toegangsbeheer?

Geplaatst op: 2 juni 2026

Zware stalen kluisdeur op een kier met verlicht groen elektronisch toegangspaneel in moderne serverruimte gang.

De NIS2-eisen voor toegangsbeheer verplichten organisaties om passende technische en organisatorische maatregelen te nemen die de toegang tot netwerken en informatiesystemen beperken tot bevoegde gebruikers. Concreet gaat het om beleid voor toegangscontrole, het gebruik van multi-factorauthenticatie en het beheer van bevoorrechte toegangsrechten. Dit artikel beantwoordt de meest gestelde vragen over NIS2-toegangsbeheer, van de specifieke eisen tot de eerste stappen richting compliance.

Welke specifieke maatregelen schrijft NIS2 voor op het gebied van toegangsbeheer?

NIS2 schrijft voor dat organisaties beveiligingsmaatregelen voor personeel en toegangsbeveiliging implementeren, inclusief het gebruik van multi-factorauthenticatie of continue authenticatie. Toegangsbeheer is daarmee een expliciet onderdeel van de zorgplicht: organisaties moeten aantoonbaar regelen wie toegang heeft tot welke systemen, onder welke voorwaarden en op basis van welk beleid.

De NIS2-richtlijn, en de Nederlandse uitwerking daarvan in de Cyberbeveiligingswet, benoemt de volgende minimummaatregelen die direct raken aan toegangsbeheer:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen: toegangsrechten moeten worden bepaald op basis van een risicoafweging
  • Beveiligingsmaatregelen voor personeel en toegangsbeveiliging: denk aan het principe van least privilege, functiescheiding en periodieke toegangsreviews
  • Multi-factorauthenticatie (MFA) of continue authenticatie: dit is een expliciete minimummaatregel onder NIS2
  • Beveiliging van netwerk- en informatiesystemen bij verwerving, ontwikkeling en onderhoud: toegangsrechten moeten ook bij systeemwijzigingen worden getoetst
  • Beleid en procedures voor cryptografie en encryptie: versleuteling beschermt gegevens ook wanneer toegangscontroles falen

De concrete invulling van deze maatregelen is gelaagd geregeld: de Cyberbeveiligingswet stelt de hoofdlijnen vast, het Cyberbeveiligingsbesluit werkt deze nader uit, en sectorspecifieke ministeriële regelingen geven verdere invulling. Voor overheidsorganisaties geldt de Baseline Informatiebeveiliging Overheid 2 (BIO2) als normenkader, dat goed aansluit op de NIS2-vereisten voor toegangscontrole.

Voor welke organisaties gelden de NIS2-eisen voor toegangsbeheer?

De NIS2-eisen voor toegangsbeheer gelden voor alle organisaties die onder de Cyberbeveiligingswet vallen: zowel essentiële als belangrijke entiteiten. In Nederland gaat het om meer dan 10.000 organisaties die direct onder NIS2 vallen, en naar schatting 50.000 bedrijven die aan deze groep leveren, krijgen eveneens met de richtlijn te maken wanneer er sprake is van risico’s in de toeleveringsketen.

De volgende overheidsorganisaties vallen automatisch onder de wet en daarmee onder de NIS2-eisen voor toegangsbeheer:

  • Ministeries, inclusief diensten en agentschappen
  • Provincies
  • Gemeenten
  • Waterschappen
  • Zelfstandige bestuursorganen (ZBO’s) die onder de Kaderwet ZBO’s vallen

Naast de publieke sector vallen ook organisaties in sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur en financiële dienstverlening onder de wet. Het onderscheid tussen essentiële en belangrijke entiteiten zit primair in de intensiteit van het toezicht, niet in de inhoud van de verplichtingen. Beide categorieën moeten NIS2 identity management en toegangscontrole aantoonbaar op orde hebben.

Organisaties zijn zelf verantwoordelijk voor het bepalen of zij onder de Cyberbeveiligingswet vallen. Hulpmiddelen hiervoor zijn de NIS2 Zelfevaluatietool van de Rijksoverheid en de Flowchart Registratieplicht van het NCSC.

Wat is het verschil tussen toegangsbeheer onder NIS2 en de AVG?

Toegangsbeheer onder NIS2 richt zich op de beschikbaarheid, integriteit en continuïteit van netwerken en informatiesystemen als geheel, terwijl de AVG toegangsbeheer primair benadert vanuit de bescherming van persoonsgegevens. NIS2 heeft een bredere scope: het gaat niet alleen om persoonsgegevens, maar om alle informatie en systemen die kritiek zijn voor de dienstverlening van een organisatie.

In de praktijk zijn er belangrijke overeenkomsten: beide kaders vereisen dat toegang tot gegevens en systemen wordt beperkt tot bevoegde personen, dat toegangsrechten worden gedocumenteerd en dat er maatregelen zijn om onbevoegde toegang te detecteren en te voorkomen. Maar er zijn ook wezenlijke verschillen:

  • Scope: de AVG beschermt persoonsgegevens; NIS2 beschermt de volledige netwerk- en informatieinfrastructuur
  • Risicobeoordeling: NIS2 vereist een brede risicoanalyse van de gehele organisatie; de AVG focust op gegevensverwerkingsrisico’s
  • MFA-verplichting: NIS2 benoemt multi-factorauthenticatie expliciet als minimummaatregel; de AVG doet dat niet
  • Toezichthouder: de AVG wordt gehandhaafd door de Autoriteit Persoonsgegevens; NIS2-toezicht ligt bij de Rijksinspectie Digitale Infrastructuur (RDI) of de Inspectie Leefomgeving en Transport (ILT)
  • Meldplicht: NIS2 verplicht melding van significante cyberincidenten binnen 24 uur; de AVG schrijft melding van datalekken voor binnen 72 uur

Voor organisaties die aan beide kaders moeten voldoen, is het verstandig toegangsbeheer integraal in te richten: maatregelen die voldoen aan de strengere NIS2-eisen voor toegangscontrole dekken doorgaans ook de AVG-vereisten op dit vlak af.

Hoe verschilt privileged access management van gewoon toegangsbeheer?

Gewoon toegangsbeheer regelt wie toegang heeft tot welke systemen en gegevens op basis van iemands rol. Privileged Access Management (PAM) gaat een stap verder: het richt zich specifiek op het beheren en bewaken van accounts met verhoogde rechten, zoals systeembeheerders, database-administrators en andere gebruikers die kritieke systemen kunnen wijzigen, uitschakelen of uitlezen.

Het onderscheid is relevant voor NIS2 compliance toegangsbeheer, omdat bevoorrechte accounts een disproportioneel hoog risico vormen. Een aanvaller die een gewoon gebruikersaccount overneemt, kan slechts beperkte schade aanrichten. Een aanvaller die een beheerdersaccount compromitteert, kan systemen platleggen, back-ups verwijderen of de volledige infrastructuur overnemen.

PAM omvat doorgaans de volgende elementen die verder gaan dan standaard NIS2 toegangscontrole:

  • Just-in-time toegang: beheerdersrechten worden alleen verleend op het moment dat ze nodig zijn en daarna automatisch ingetrokken
  • Sessieregistratie: alle handelingen van bevoorrechte gebruikers worden gelogd en kunnen worden geauditeerd
  • Wachtwoordkluis: beheerdersaccounts gebruiken unieke, roterende wachtwoorden die centraal worden beheerd
  • Goedkeuringsworkflows: toegang tot kritieke systemen vereist voorafgaande toestemming

NIS2 vereist niet expliciet een PAM-systeem bij naam, maar de zorgplicht en de eis van passende technische maatregelen maken PAM voor grotere organisaties met complexe IT-omgevingen in de praktijk een logische en noodzakelijke maatregel.

Wat zijn de gevolgen van onvoldoende toegangsbeheer onder NIS2?

Onvoldoende NIS2 toegangsbeheer kan leiden tot boetes van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en tot 7 miljoen euro of 1,4% van de jaaromzet voor belangrijke entiteiten. Bovendien kan het senior management persoonlijk aansprakelijk worden gesteld bij ernstige overtredingen, wat cybersecurity tot een directe bestuursverantwoordelijkheid maakt.

Naast de financiële gevolgen zijn er operationele en reputatierisico’s. Zwak toegangsbeheer is een van de meest voorkomende oorzaken van succesvolle cyberaanvallen: gestolen inloggegevens, te brede toegangsrechten en het ontbreken van MFA maken het aanvallers aanzienlijk gemakkelijker om systemen te compromitteren. Als zo’n incident leidt tot verstoring van de dienstverlening, geldt bovendien de meldplicht: een significante verstoring moet binnen 24 uur worden gemeld bij het NCSC.

Voor overheidsorganisaties geldt dat de Rijksinspectie Digitale Infrastructuur (RDI) toezicht houdt op naleving. Hoewel de aansprakelijkheidsbepaling voor bestuurders uitdrukkelijk niet van toepassing is op overheidsinstanties, blijft de politieke leiding verantwoordelijk voor de cyberweerbaarheid van de organisatie. Onvoldoende toegangscontrole kan daarmee ook politieke en bestuurlijke gevolgen hebben.

Hoe begin je met het verbeteren van toegangsbeheer voor NIS2-compliance?

Begin met een risicogebaseerde inventarisatie: breng in kaart welke systemen, gegevens en processen het meest kritiek zijn voor uw dienstverlening, en bepaal vervolgens wie daar nu toegang toe heeft en of dat gerechtvaardigd is. Vanuit die basis bouwt u stapsgewijs naar NIS2-compliant toegangsbeheer.

Een praktische aanpak in stappen:

  1. Voer een toegangsaudit uit: inventariseer alle accounts, rechten en rollen in uw organisatie en identificeer overbodige of te brede toegangsrechten
  2. Implementeer het least privilege-principe: gebruikers krijgen alleen de toegang die ze nodig hebben voor hun functie, niet meer
  3. Activeer multi-factorauthenticatie: MFA is een expliciete NIS2-minimummaatregel en een van de meest effectieve basismaatregelen
  4. Stel een toegangsbeleid op: documenteer wie toegang heeft tot welke systemen, hoe rechten worden verleend en ingetrokken, en hoe periodieke reviews plaatsvinden
  5. Voer regelmatige toegangsreviews in: controleer periodiek of toegangsrechten nog actueel en gerechtvaardigd zijn, zeker bij functiewijzigingen en uitdiensttreding
  6. Pak bevoorrechte accounts apart aan: implementeer extra controles voor beheerders- en serviceaccounts
  7. Train medewerkers en bestuurders: de Cyberbeveiligingswet verplicht bestuurders een training te volgen over beveiligingsrisico’s en risicobeheersmaatregelen

Voor organisaties die nog aan het begin staan, biedt de BIO2 een goed startpunt: dit normenkader sluit nauw aan op de NIS2-zorgplicht en dekt een groot deel van de vereisten voor NIS2 identity management en toegangscontrole af. Een gap-analyse helpt u snel inzicht te krijgen in waar uw organisatie nu staat en welke stappen prioriteit verdienen.

Hoe Q-Cyber helpt met NIS2 toegangsbeheer

Wij begeleiden organisaties bij het volledig NIS2-compliant inrichten van toegangsbeheer: van de eerste inventarisatie tot het schrijven van beleid en het uitvoeren van technische tests. Onze aanpak is pragmatisch, onafhankelijk en volledig afgestemd op uw specifieke risicoprofiel.

Wat wij concreet voor u doen:

  • Gap-analyse toegangsbeheer: we brengen in kaart waar uw huidige toegangscontrole tekortschiet ten opzichte van de NIS2-eisen
  • Beleidsschrijving: we stellen een toegangsbeleid op dat voldoet aan de zorgplicht van de Cyberbeveiligingswet
  • Technisch testen: via penetratietesten en vulnerability scans testen we of uw toegangsbeveiliging in de praktijk standhoudt
  • Virtuele CISO: via Continuous-Q bieden we doorlopende begeleiding door een team van specialisten, inclusief NIS2-monitoring en advies
  • Bestuurderstraining: we verzorgen trainingen die voldoen aan de trainingsplicht van de Cyberbeveiligingswet
  • Onafhankelijk advies: we zijn niet gebonden aan softwarepartijen of leveranciers, zodat ons advies altijd in uw belang is

Wacht niet tot de Cyberbeveiligingswet in werking treedt. De risico’s zijn er nu al, en wie nu begint, is straks aantoonbaar beter voorbereid. Neem contact op en ontdek hoe wij uw organisatie verder helpen.

Lees meer

Wat is NIS2 en wat betekent het voor jouw bedrijf?

Geplaatst op: 2 juni 2026

Officieel nalevingsdocument met rood zegel en hangslot op donker bureau, verlicht door gerichte bureaulamp.

De NIS2-richtlijn is Europese wetgeving die organisaties in kritieke sectoren verplicht om hun cyberbeveiliging op orde te brengen. De richtlijn legt concrete eisen op aan risicobeheer, incidentmelding en bestuurlijke verantwoordelijkheid, met als doel de digitale weerbaarheid van de EU als geheel te versterken. In dit artikel beantwoorden we de meest gestelde vragen over NIS2 en wat het concreet betekent voor jouw organisatie.

Voor welke bedrijven geldt de NIS2-richtlijn?

De NIS2-richtlijn geldt voor organisaties in sectoren die als essentieel of belangrijk worden beschouwd voor de samenleving. In Nederland vallen naar schatting ruim 10.000 organisaties direct onder de wet, en nog eens circa 50.000 bedrijven die aan deze groep leveren, krijgen er indirect mee te maken zodra er sprake is van risico’s in de toeleveringsketen.

De wet maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten zijn organisaties in sectoren zoals energie, transport, water, gezondheidszorg, digitale infrastructuur en de overheid. Belangrijke entiteiten omvatten onder andere post- en koeriersdiensten, afvalbeheer, de chemische industrie en digitale aanbieders. Het verschil zit vooral in de intensiteit van het toezicht: essentiële entiteiten staan onder strenger toezicht dan belangrijke entiteiten.

Voor de overheid gelden aparte regels. Ministeries, provincies, gemeenten en waterschappen vallen automatisch onder de cyberbeveiligingswetgeving. Zelfstandige bestuursorganen en gemeenschappelijke regelingen moeten per geval worden beoordeeld aan de hand van vier wettelijke criteria.

Ben je niet zeker of jouw organisatie onder de wet valt? Je bent zelf verantwoordelijk om dit te bepalen. Hulpmiddelen hiervoor zijn de NIS2 Zelfevaluatietool via regelhulpenvoorbedrijven.nl en de Flowchart Registratieplicht van het NCSC.

Wat zijn de verplichtingen onder NIS2?

Organisaties die onder de NIS2-richtlijn vallen, hebben vier hoofdverplichtingen: een zorgplicht voor risicobeheer, een registratieplicht bij het NCSC, een meldplicht voor significante incidenten en een trainingsplicht voor bestuurders. Samen vormen deze verplichtingen de basis voor structurele digitale weerbaarheid.

Zorgplicht: passende maatregelen nemen

De zorgplicht verplicht organisaties om passende technische en organisatorische maatregelen te nemen om de continuïteit van hun dienstverlening te waarborgen. De basis is een risicobeoordeling. Minimummaatregelen omvatten onder andere:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen
  • Maatregelen voor bedrijfscontinuïteit en crisisbeheer
  • Beveiliging van de toeleveringsketen (supply chain security)
  • Beleid voor gebruik van cryptografie en encryptie
  • Toegangsbeveiliging en multi-factorauthenticatie
  • Beveiligingsmaatregelen voor personeel

Registratieplicht, meldplicht en trainingsplicht

Organisaties die onder de wet vallen, zijn verplicht zich te registreren in het entiteitenregister via het NCSC-portaal. Door registratie ontvang je informatie over actuele cyberdreigingen. Vrijwillige registratie was al mogelijk vanaf 17 oktober 2024; de verplichting gaat in na inwerkingtreding van de Cyberbeveiligingswet.

Bij een significant cyberincident geldt een strikte meldprocedure in drie stappen: een vroegtijdige waarschuwing binnen 24 uur na ontdekking, een vervolgmelding met aanvullende informatie binnen 72 uur, en een eindverslag met een gedetailleerde beschrijving uiterlijk één maand na de eerste melding.

Daarnaast verplicht de wet alle bestuurders om een cybersecuritytraining te volgen. Via deze training leren zij beveiligingsrisico’s te herkennen, risicobeheersmaatregelen te beoordelen en de gevolgen voor hun organisatie te overzien. Bestuurders hebben maximaal twee jaar na inwerkingtreding van de wet om aan deze verplichting te voldoen.

Wat zijn de gevolgen als je niet voldoet aan NIS2?

Niet voldoen aan de NIS2-richtlijn kan leiden tot aanzienlijke financiële boetes en reputatieschade. Essentiële entiteiten riskeren boetes tot maximaal 10 miljoen euro of 2% van hun wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten gelden boetes tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Naast financiële sancties is er een persoonlijk risico voor het senior management. Bij ernstige overtredingen kan het management persoonlijk aansprakelijk worden gesteld, wat van cybersecurity een echte boardroomkwestie maakt. Voor overheidsorganisaties geldt overigens dat de aansprakelijkheidsbepaling voor bestuurders uitdrukkelijk niet van toepassing is, maar de bestuurlijke verantwoordelijkheid voor cyberweerbaarheid blijft onverminderd gelden.

Het toezicht op naleving is voor de meeste overheidssectoren belegd bij de Rijksinspectie Digitale Infrastructuur (RDI), en voor waterschappen bij de Inspectie Leefomgeving en Transport (ILT). De toezichthouders maken zoveel mogelijk gebruik van bestaande verantwoordingsstructuren om de administratieve lasten te beperken.

Hoe verschilt NIS2 van de originele NIS-richtlijn?

NIS2 is een ingrijpende uitbreiding van de oorspronkelijke NIS-richtlijn uit 2016. De voornaamste verschillen zijn een veel bredere reikwijdte, strengere verplichtingen, hogere boetes en expliciete bestuurlijke verantwoordelijkheid. Waar de eerste NIS-richtlijn zich beperkte tot een relatief kleine groep aanbieders van essentiële diensten, trekt NIS2 de scope aanzienlijk ruimer.

Concreet zijn de belangrijkste verschillen:

  • Meer sectoren: NIS2 omvat aanzienlijk meer sectoren dan haar voorganger, waaronder de publieke sector, post- en koeriersdiensten en de voedingsindustrie.
  • Strengere eisen aan risicobeheer: NIS2 vereist uitgebreider beleid, inclusief supply chain security en cryptografiebeleid, die in de originele richtlijn niet of nauwelijks aan bod kwamen.
  • Bestuurlijke verantwoordelijkheid: De originele richtlijn legde de verantwoordelijkheid niet expliciet bij het bestuur. NIS2 doet dat wel, inclusief een trainingsplicht voor bestuurders.
  • Hogere boetes: De sancties zijn fors verhoogd ten opzichte van de eerste richtlijn.
  • Harmonisatie: NIS2 streeft naar meer uniformiteit in implementatie tussen EU-lidstaten, wat grensoverschrijdend opererende organisaties meer duidelijkheid geeft.

In Nederland wordt de NIS2-richtlijn omgezet via de Cyberbeveiligingswet (Cbw), het Cyberbeveiligingsbesluit (Cbb) en sectorspecifieke ministeriële regelingen. Dit drielaagse systeem zorgt voor zowel een gemeenschappelijke basis als ruimte voor sectorspecifieke invulling.

Hoe begin je met NIS2-compliance in jouw organisatie?

De eerste stap naar NIS2-compliance is bepalen of jouw organisatie onder de wet valt. Gebruik daarvoor de NIS2 Zelfevaluatietool of de Flowchart Registratieplicht van het NCSC. Wacht niet op de officiële inwerkingtreding van de wet: de risico’s bestaan nu al, en vroegtijdige voorbereiding geeft je een voorsprong.

Een praktische aanpak bestaat uit de volgende stappen:

  1. Bepaal je status: Val je onder de wet als essentiële of belangrijke entiteit?
  2. Voer een gap-analyse uit: Breng in kaart welke maatregelen al aanwezig zijn en wat er nog ontbreekt.
  3. Registreer je bij het NCSC-portaal: Vrijwillige registratie is al mogelijk en geeft je toegang tot dreigingsinformatie.
  4. Stel of actualiseer beleid op: Denk aan risicoanalyse, incidentrespons, toegangsbeveiliging en supply chain-beleid.
  5. Train je bestuurders: De trainingsplicht geldt voor alle leden van het bestuur en moet binnen twee jaar na inwerkingtreding zijn afgerond.
  6. Test je weerbaarheid: Een penetratietest of vulnerability scan helpt kwetsbaarheden in kaart te brengen voordat anderen ze vinden.

De Rijksoverheid adviseert organisaties nadrukkelijk om niet af te wachten. Wie nu begint, bouwt stap voor stap aan een solide basis en staat straks niet voor onverwachte verrassingen.

Hoe Q-Cyber helpt met NIS2-compliance

Wij begeleiden organisaties door het volledige NIS2-traject, van eerste oriëntatie tot concrete implementatie. Onze aanpak combineert technische kennis met beleidsmatige expertise, zodat compliance niet alleen op papier klopt, maar ook in de praktijk werkt. Wat we voor jouw organisatie kunnen doen:

  • Gap-analyse: We brengen in kaart waar jouw organisatie staat ten opzichte van de NIS2-vereisten en wat er nog moet gebeuren.
  • Beleid op maat: We schrijven cybersecuritybeleid dat aansluit op jouw specifieke risicoprofiel en sector.
  • Bestuurderstrainingen: We verzorgen trainingen die bestuurders in staat stellen weloverwogen beslissingen te nemen over informatiebeveiliging.
  • Technisch testen: Via pentesten en vulnerability scans brengen we kwetsbaarheden in kaart voordat ze een probleem worden.
  • Virtuele CISO: Via Continuous-Q® bieden we doorlopende ondersteuning door een team van specialisten, zonder dat je een fulltime CISO hoeft aan te stellen.
  • Onafhankelijk advies: We zijn niet gebonden aan softwarepartijen of leveranciers, zodat ons advies altijd in jouw belang is.

Wil je weten hoe jouw organisatie ervoor staat op het gebied van NIS2? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer

NIS2-richtlijn uitgelegd: verplichtingen voor het mkb

Geplaatst op: 2 juni 2026

Ondernemer bestudeert AVG-nalevingsdocument aan minimalistisch bureau met stalen hangslot op de papieren, natuurlijk daglicht.

De NIS2-richtlijn geldt voor mkb-bedrijven die actief zijn in sectoren die als essentieel of belangrijk worden aangemerkt, zoals energie, transport, digitale infrastructuur, gezondheidszorg en voedselproductie. Voldoe je aan de drempelwaarden van minimaal 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro, dan val je hoogstwaarschijnlijk onder de richtlijn. Dit artikel beantwoordt de meest gestelde vragen over NIS2 voor het mkb: van wie er precies onder valt tot hoe je je voorbereidt op compliance.

Voor welke mkb-bedrijven geldt de NIS2-richtlijn?

De NIS2-richtlijn geldt voor mkb-bedrijven die actief zijn in een van de aangewezen sectoren én die voldoen aan de drempelwaarden voor middelgrote ondernemingen: minimaal 50 medewerkers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro. Kleine ondernemingen vallen in principe buiten de scope, tenzij ze een kritieke rol spelen in hun sector.

In Nederland vallen naar schatting ruim 10.000 organisaties direct onder de NIS2-richtlijn. Daarbovenop krijgen naar schatting 50.000 bedrijven die aan deze groep leveren indirect met de richtlijn te maken, omdat zij moeten kunnen aantonen dat ook hun cybersecurity op orde is. Dat maakt de reikwijdte van NIS2 in de praktijk veel groter dan de formele drempelwaarden suggereren.

De richtlijn maakt onderscheid tussen twee categorieën:

  • Essentiële entiteiten: bedrijven in sectoren zoals energie, transport, drinkwater, gezondheidszorg en digitale infrastructuur. Voor hen gelden de strengste eisen en het intensiefste toezicht.
  • Belangrijke entiteiten: bedrijven in sectoren zoals voedselproductie, chemie, post en digitale dienstverleners. Zij vallen ook onder NIS2, maar het toezicht is minder intensief.

Ben je niet zeker of jouw organisatie onder de NIS2-regelgeving valt? Via de NIS2 Zelfevaluatietool op regelhulpenvoorbedrijven.nl kun je zelf bepalen of je verplichtingen hebt.

Wat zijn de concrete verplichtingen onder NIS2?

Onder de NIS2-richtlijn moeten organisaties vier hoofdcategorieën van verplichtingen nakomen: risicobeheer, meldplicht, bestuurlijke verantwoordelijkheid en registratie. De kern is dat cybersecurity structureel wordt ingebed in beleid, processen en het bestuur van de organisatie, en niet alleen technisch wordt opgelost.

De verplichtingen op het gebied van cyberrisicobeheer omvatten onder meer:

  • Beleid voor beveiliging van netwerk- en informatiesystemen
  • Toegangsbeheer en cryptografie
  • Supply chain-beveiliging: ook de beveiliging van leveranciers en partners
  • Bedrijfscontinuïteit en incidentrespons
  • Bewustzijnstrainingen voor medewerkers

De meldplicht is een van de meest concrete verplichtingen. Bij een significant cyberincident moet je binnen 24 uur een vroegtijdige waarschuwing sturen aan de bevoegde autoriteit, binnen 72 uur een aanvullende melding doen, en uiterlijk één maand na het incident een eindverslag indienen. Een incident is meldingswaardig als het de continuïteit van je dienstverlening aanzienlijk kan verstoren.

Daarnaast moeten bestuurders aantoonbaar betrokken zijn bij cybersecurity. Zij zijn verantwoordelijk voor beslissingen over beveiliging en moeten een training volgen die hen leert risico’s te herkennen, maatregelen te beoordelen en de impact voor de organisatie in te schatten.

Wat is het verschil tussen NIS1 en NIS2?

NIS2 is een aanzienlijk uitgebreidere en strengere opvolger van de originele NIS-richtlijn uit 2016. Het belangrijkste verschil is de reikwijdte: NIS1 richtte zich op een beperkte groep aanbieders van essentiële diensten, terwijl NIS2 veel meer sectoren en organisaties omvat, inclusief middelgrote bedrijven in het mkb.

De voornaamste verschillen op een rij:

  • Meer sectoren: NIS2 voegt nieuwe sectoren toe zoals voedselproductie, afvalbeheer, chemie en digitale dienstverleners die buiten NIS1 vielen.
  • Strengere eisen: NIS2 stelt expliciete minimumeisen aan risicobeheer, supply chain-beveiliging en incidentrespons die in NIS1 veel vager waren geformuleerd.
  • Bestuurlijke aansprakelijkheid: NIS2 legt de verantwoordelijkheid expliciet bij het bestuur neer. Senior management kan persoonlijk aansprakelijk worden gesteld bij ernstige overtredingen.
  • Hogere boetes: Essentiële entiteiten kunnen boetes krijgen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten loopt dit op tot 7 miljoen euro of 1,4%.
  • Harmonisatie: NIS2 zorgt voor meer uniformiteit tussen EU-lidstaten, zodat organisaties die in meerdere landen actief zijn niet langer te maken hebben met sterk uiteenlopende nationale regels.

Wat gebeurt er als een mkb-bedrijf niet voldoet aan NIS2?

Als een mkb-bedrijf niet voldoet aan de NIS2-verplichtingen, kan de toezichthouder handhavend optreden met boetes, aanwijzingen en in ernstige gevallen tijdelijke beperkingen op de bedrijfsvoering. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Naast financiële sancties zijn er nog andere gevolgen:

  • Persoonlijke aansprakelijkheid van bestuurders: Bij ernstige nalatigheid kunnen individuele bestuurders aansprakelijk worden gesteld. Dit maakt NIS2 tot een boardroomissue dat niet kan worden gedelegeerd aan de IT-afdeling.
  • Reputatieschade: Toezichthouders kunnen in bepaalde gevallen besluiten overtredingen openbaar te maken, wat directe gevolgen heeft voor het vertrouwen van klanten en partners.
  • Verlies van opdrachten: Bedrijven die leveren aan NIS2-plichtige organisaties lopen het risico uit aanbestedingen te worden geweerd als zij hun cybersecurity niet op orde hebben.

Het is belangrijk te begrijpen dat de toezichthouder niet zomaar boetes uitdeelt. De aanpak is doorgaans risico- en proportionaliteitsgebaseerd, waarbij de ernst van de overtreding en de mate van nalatigheid bepalend zijn voor de reactie.

Hoe bereidt een mkb-bedrijf zich voor op NIS2-compliance?

Een mkb-bedrijf bereidt zich voor op NIS2-compliance door eerst te bepalen of het onder de richtlijn valt, vervolgens een gap-analyse uit te voeren om te zien waar de organisatie staat, en daarna gericht maatregelen te implementeren op het gebied van beleid, techniek en bestuur. Een gefaseerde aanpak werkt het best.

Praktische stappen voor voorbereiding:

  1. Bepaal of je onder NIS2 valt: Gebruik de NIS2 Zelfevaluatietool of de flowchart van het NCSC om je status te bepalen.
  2. Voer een gap-analyse uit: Breng in kaart welke maatregelen je al hebt en waar de gaten zitten ten opzichte van de NIS2-vereisten.
  3. Stel een risicogebaseerd beveiligingsbeleid op: Documenteer je aanpak voor toegangsbeheer, incidentrespons, continuïteitsplanning en supply chain-beveiliging.
  4. Train je bestuur: Zorg dat directie en management de verplichte training volgen en aantoonbaar betrokken zijn bij cybersecurity-beslissingen.
  5. Richt een meldproces in: Zorg dat je weet hoe je een incident meldt, wie daarvoor verantwoordelijk is en binnen welke termijnen dat moet gebeuren.
  6. Registreer je bij het NCSC: Essentiële en belangrijke entiteiten kunnen zich al vrijwillig registreren via het NCSC-portaal.

Voor bedrijven die ook technisch willen weten hoe sterk hun beveiliging is, biedt een penetratietest waardevolle inzichten in kwetsbaarheden voordat een aanvaller ze ontdekt.

Wanneer moet een mkb-bedrijf compliant zijn met NIS2?

De Europese NIS2-richtlijn had in oktober 2024 geïmplementeerd moeten zijn in nationale wetgeving van alle EU-lidstaten. In Nederland loopt de implementatie via de Cyberbeveiligingswet (Cbw), die in 2026 naar verwachting in werking treedt. Zodra de Cbw van kracht is, gelden de verplichtingen direct voor alle organisaties die onder de wet vallen.

De boodschap van de Rijksoverheid is duidelijk: wacht niet af. De risico’s waar NIS2 op reageert zijn er nu al, en wie pas in actie komt als de wet van kracht is, loopt achter. Bovendien hebben organisaties na inwerkingtreding een beperkte tijd om aan alle verplichtingen te voldoen, waaronder de trainingsplicht voor bestuurders waarvoor maximaal twee jaar geldt.

In 2026 is het dus zaak om niet alleen de wet te kennen, maar ook aantoonbaar te kunnen laten zien dat je maatregelen hebt getroffen. Toezichthouders zoals de Rijksinspectie Digitale Infrastructuur (RDI) zijn al actief en de verwachting is dat handhaving snel volgt na inwerkingtreding.

Hoe Q-Cyber helpt met NIS2-compliance

Wij begeleiden mkb-bedrijven door het volledige NIS2-traject, van de eerste oriëntatie tot aantoonbare compliance. Onze aanpak combineert technische kennis met beleidsmatige expertise, zodat je niet alleen de juiste maatregelen treft maar ze ook kunt verantwoorden richting toezichthouders en klanten.

Wat wij concreet doen:

  • Gap-analyse: We brengen in kaart waar jouw organisatie staat ten opzichte van de NIS2-vereisten en welke stappen prioriteit verdienen.
  • Beleidsvorming: We schrijven op maat gemaakt beveiligingsbeleid op het gebied van toegangsbeheer, incidentrespons, continuïteit en supply chain-beveiliging.
  • Bestuurstrainingen: We verzorgen trainingen voor directie en management die voldoen aan de trainingsplicht onder de Cyberbeveiligingswet.
  • Technische testen: Via vulnerability scans en penetratietesten brengen we kwetsbaarheden in kaart voordat aanvallers dat doen.
  • Virtuele CISO: Via Continuous-Q® bieden we een team van specialisten dat structureel de cybersecurity van jouw organisatie bewaakt en verbetert.
  • Onafhankelijk advies: We zijn niet gebonden aan softwarepartijen of leveranciers, zodat ons advies altijd in jouw belang is.

Wil je weten waar jouw organisatie staat en welke stappen je als eerste moet zetten? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer

Hoe bereid je jouw bedrijf voor op NIS2?

Geplaatst op: 2 juni 2026

Stalen kluisdeur op een kier in modern kantoorgebouw, professional plaatst compliance-map tegen deurpost, warm amberkleurig licht.

Je bedrijf voorbereiden op NIS2 begint met weten of je eronder valt, gevolgd door het in kaart brengen van de verplichtingen en het stap voor stap invoeren van de juiste maatregelen. De NIS2-richtlijn is inmiddels omgezet in de Nederlandse Cyberbeveiligingswet, waarvan de inwerkingtreding wordt verwacht in het tweede kwartaal van 2026. In dit artikel beantwoorden we de meest gestelde vragen over NIS2 compliance, van reikwijdte tot concrete voorbereiding.

Geldt de NIS2-richtlijn ook voor mijn bedrijf?

De NIS2-richtlijn geldt voor organisaties in sectoren die als essentieel of belangrijk worden beschouwd voor de samenleving. In Nederland vallen naar schatting ruim 10.000 organisaties direct onder de wet, en nog eens circa 50.000 bedrijven die aan deze groep leveren, kunnen indirect met de vereisten te maken krijgen via de supply chain.

Of jouw bedrijf onder de NIS2-regelgeving valt, hangt af van de sector waarin je actief bent en de omvang van je organisatie. Sectoren zoals energie, transport, drinkwater, digitale infrastructuur, gezondheidszorg, financiën en overheid vallen automatisch onder de wet. Voor middelgrote en grote ondernemingen in deze sectoren geldt een directe verplichting.

Overheidsorganisaties vormen een aparte categorie. Gemeenten, provincies, waterschappen en ministeries worden automatisch als essentiële entiteit aangemerkt, ongeacht hun omvang. Het omvangscriterium dat voor commerciële organisaties geldt, is uitdrukkelijk niet van toepassing op overheidsinstanties.

Ben je niet zeker of jouw organisatie eronder valt? Je kunt dit zelf nagaan via de NIS2 Zelfevaluatietool op regelhulpenvoorbedrijven.nl of de Flowchart Registratieplicht van het NCSC. Organisaties zijn zelf verantwoordelijk voor het bepalen of zij onder de Cyberbeveiligingswet vallen.

Wat zijn de concrete verplichtingen onder NIS2?

Organisaties die onder de NIS2-richtlijn vallen, hebben drie hoofdverplichtingen: een zorgplicht, een meldplicht en een registratieplicht. Daarnaast geldt een trainingsplicht voor bestuurders. Samen vormen deze verplichtingen de kern van wat NIS2 compliance in de praktijk betekent.

Zorgplicht: passende beveiligingsmaatregelen

De zorgplicht verplicht organisaties om passende technische en organisatorische maatregelen te nemen om de continuïteit van hun dienstverlening te borgen. Dit is geen vrijblijvende aanbeveling, maar een wettelijke verplichting die gebaseerd is op een risicoanalyse. De minimummaatregelen omvatten onder andere:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen
  • Maatregelen voor bedrijfscontinuïteit en crisisbeheer
  • Beveiliging van de toeleveringsketen (supply chain security)
  • Gebruik van multi-factorauthenticatie
  • Beleid voor cryptografie en encryptie
  • Beveiligingsmaatregelen voor personeel en toegangsbeheer

Meldplicht: incidenten tijdig rapporteren

Significante cyberincidenten moeten worden gemeld bij het NCSC. De procedure bestaat uit drie stappen: een vroegtijdige waarschuwing binnen 24 uur na ontdekking, een aanvullende melding binnen 72 uur, en een eindverslag uiterlijk één maand na het incident. Een incident is meldingswaardig als het de continuïteit van de dienstverlening aanzienlijk kan verstoren.

Registratieplicht en trainingsplicht

Organisaties die onder de wet vallen, moeten zich registreren in het entiteitenregister van het NCSC. Daarnaast verplicht de Cyberbeveiligingswet alle bestuurders om een training te volgen over het herkennen en beoordelen van beveiligingsrisico’s. Bestuurders hebben na inwerkingtreding maximaal twee jaar om aan deze trainingsplicht te voldoen.

Wat gebeurt er als je niet voldoet aan NIS2?

Organisaties die niet voldoen aan de NIS2-vereisten riskeren aanzienlijke boetes. Essentiële entiteiten kunnen worden beboet tot maximaal 10 miljoen euro of 2% van hun wereldwijde jaaromzet. Voor belangrijke entiteiten liggen de maximumboetes op 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Naast financiële sancties is er een bestuurlijke dimensie. De NIS2-richtlijn legt de verantwoordelijkheid voor cyberweerbaarheid expliciet bij het bestuur van een organisatie. Bestuurders moeten voldoende kennis hebben om weloverwogen beslissingen te nemen over informatiebeveiliging. Bij grove nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld, wat cybersecurity tot een echte boardroomkwestie maakt.

Het toezicht voor de meeste organisaties wordt uitgeoefend door de Rijksinspectie Digitale Infrastructuur (RDI). Voor waterschappen is dat de Inspectie Leefomgeving en Transport (ILT). De toezichthouders maken waar mogelijk gebruik van bestaande verantwoordingsstructuren, zoals de ENSIA-methodiek voor gemeenten, om de administratieve lasten te beperken.

Hoe begin je met de voorbereiding op NIS2?

De voorbereiding op NIS2 begint met het bepalen of je organisatie onder de wet valt, gevolgd door een grondige analyse van de huidige staat van je informatiebeveiliging. Wie nu begint, heeft een voorsprong en voorkomt dat cybersecurity een crisisproject wordt in plaats van een gestructureerd traject.

Een praktische aanpak bestaat uit de volgende stappen:

  1. Bepaal je status: Gebruik de zelfevaluatietool of de NCSC-flowchart om vast te stellen of je organisatie onder de Cyberbeveiligingswet valt en als essentieel of belangrijk wordt aangemerkt.
  2. Voer een gap-analyse uit: Breng in kaart welke maatregelen al aanwezig zijn en waar de grootste tekortkomingen zitten ten opzichte van de NIS2-vereisten.
  3. Stel een risicobeoordeling op: De zorgplicht is gebaseerd op risicobeheer. Een gedegen risicoanalyse vormt de basis voor alle vervolgstappen.
  4. Registreer je organisatie: Vrijwillige registratie bij het NCSC is al mogelijk. Door vroeg te registreren ontvang je informatie over actuele cyberdreigingen.
  5. Informeer het bestuur: Betrek bestuurders actief bij het traject en zorg dat zij de trainingsplicht serieus nemen.

Het NCSC biedt op zijn overzichtspagina over de Cyberbeveiligingswet diverse hulpmiddelen aan, waaronder checklists, infosheets en een doorverwijsboom om de juiste stappen te zetten.

Welke maatregelen moet je als eerste invoeren?

De maatregelen die je als eerste moet invoeren zijn de basismaatregelen die de grootste risico’s direct verkleinen: een actuele risicoanalyse, multi-factorauthenticatie, een incidentresponsplan en beleid voor toegangsbeheer. Dit zijn de fundamenten waarop alle verdere NIS2-voorbereiding wordt gebouwd.

Prioriteer de maatregelen op basis van je risicoanalyse, maar houd rekening met de volgende aandachtspunten die als minimumvereisten gelden onder de cybersecuritywetgeving:

  • Multi-factorauthenticatie: Dit is een van de meest effectieve basismaatregelen en staat expliciet in de NIS2-minimumvereisten vermeld.
  • Incidentresponsproces: Zonder een werkend meldproces kun je niet voldoen aan de meldplicht. Stel dit vroeg in het traject op.
  • Supply chain beveiliging: Breng in kaart welke leveranciers toegang hebben tot jouw systemen en welke risico’s dat met zich meebrengt.
  • Bedrijfscontinuïteitsplan: Zorg dat je weet wat je doet als een aanval toch succesvol is. Back-upbeleid en herstelplannen zijn essentieel.
  • Beleid voor informatiebeveiliging: Documenteer je aanpak. NIS2 vereist niet alleen dat je maatregelen neemt, maar ook dat je kunt aantonen dat je dit gestructureerd doet.

Voor een diepgaandere technische toetsing van je huidige beveiligingsniveau kan een penetratietest waardevolle inzichten opleveren in de kwetsbaarheden die als eerste moeten worden aangepakt.

Wanneer moet je NIS2-klaar zijn?

De inwerkingtreding van de Nederlandse Cyberbeveiligingswet wordt verwacht in het tweede kwartaal van 2026. Het wetsvoorstel is op 4 juni 2025 ingediend bij de Tweede Kamer. Organisaties die onder de wet vallen, moeten vanaf de inwerkingtreding direct aan de verplichtingen voldoen.

De Rijksoverheid adviseert expliciet om niet af te wachten totdat de wet in werking treedt. De risico’s waar NIS2 op inspeelt bestaan namelijk al. Organisaties die nu beginnen met hun NIS2-voorbereiding, bouwen stap voor stap aan een solide basis en voorkomen dat zij bij inwerkingtreding in tijdnood komen.

Voor bestuurders geldt een uitzondering op de directe verplichting: zij hebben na inwerkingtreding maximaal twee jaar om de verplichte training te voltooien. Dit neemt echter niet weg dat het verstandig is om bestuurders nu al te betrekken bij het beveiligingsbeleid van de organisatie.

Hoe Q-Cyber helpt met NIS2 voorbereiding

Q-Cyber begeleidt organisaties door het volledige NIS2-traject, van de eerste gap-analyse tot en met de implementatie van beleid en technische maatregelen. Wij combineren diepgaande technische kennis met beleidsexpertise, zodat je niet alleen voldoet aan de wet, maar ook daadwerkelijk weerbaarder wordt.

Wat wij concreet voor je doen:

  • Gap-analyse: We brengen in kaart waar jouw organisatie nu staat ten opzichte van de NIS2-vereisten en welke stappen prioriteit hebben.
  • Beleidsvorming: We schrijven informatiebeveiligingsbeleid op maat, afgestemd op jouw sector en risicoprofiel.
  • Bestuurderstrainingen: We verzorgen trainingen voor het management, zodat bestuurders voldoen aan de trainingsplicht en cybersecurity begrijpen als strategisch vraagstuk.
  • Technisch testen: Via vulnerability scans en pentests toetsen we de technische weerbaarheid van je systemen.
  • Virtuele CISO: Via Continuous-Q bieden we doorlopende begeleiding door een team van specialisten, zonder dat je een fulltime CISO in dienst hoeft te nemen.
  • Onafhankelijk advies: We werken zonder binding aan softwarepartijen of leveranciers, zodat ons advies altijd in jouw belang is.

Wil je weten waar jouw organisatie staat en hoe je de NIS2-voorbereiding het beste kunt aanpakken? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer