NIS2: het complete overzicht

De vragen die ondernemers ons vaak stellen, met een eerlijk antwoord.

Geldt NIS2 ook voor mijn bedrijf?

Dat hangt af van je sector en je omvang. Grote en middelgrote organisaties in aangewezen sectoren (denk aan energie, zorg, transport en digitale infrastructuur) vallen er direct onder. NIS2 onderscheidt daarbij 'essentiële' en 'belangrijke' sectoren; de volledige opsomming staat in bijlage 1 en 2 van de Cyberbeveiligingswet. Of jouw bedrijf eronder valt, check je via de officiële afbakening op het Ondernemersplein en op het Nationaal Cyber Security Centrum sectoroverzicht.

Ik ben een kleiner bedrijf, ben ik dan vrijgesteld?

Niet per se. Lever je aan een organisatie die zelf onder NIS2 valt, dan kan die klant eisen dat ook jouw beveiliging aantoonbaar op orde is. Zo werkt de wet door in de keten: ook als toeleverancier van een NIS2-bedrijf kunnen je klanten eisen gaan stellen aan je cyberveiligheid. Lees er meer over op Samendigitaalveilig

Wanneer treedt de wet in werking?

De Nederlandse Cyberbeveiligingswet treedt naar verwachting rond 1 juli 2026 in werking. De actuele stand vind je bij het Nationaal Cyber Security Centrum.

Vijf stappen naar NIS2. Per stap leggen we helder uit: wat houdt het in, is het verplicht, en waar vind je de beste informatie? Direct naar de bron, zonder omwegen.

1. Bepaal of je onder de cyberbeveiligingswet valt

Begin bij de officiële bron. Die is leidend, kosteloos en de meest betrouwbare basis voor al je vervolgstappen. Kijk op Nationaal Cyber Security Centrum of op Ondernemersplein

2. Breng je basis-cyberhygiëne in kaart

Kijk wat je al hebt staan. De meeste mkb'ers hebben de helft al geregeld, zoals een firewall, back-ups, antivirus. Wat meestal ontbreekt is vastgelegd beleid, niet de techniek. Lees er meer over op het Nationaal Cyber Security Centrum of op het Digital Trust Center. 

3. Kies een passende norm

Er zijn lichtere en zwaardere normen om je voorbereiding aan op te hangen. De NIS2-SC10 vraagt om aantoonbaar voldoen aan 17 controls; ISO 27001 is uitgebreider. Welke past, hangt af van je rol in de keten en hoe zwaar je klanten je erop toetsen. Kijk voor meer informatie op Samen Digitaal Veilig of op NEN.

4. Regel incidentmelding en leveranciersbeheer

Dit is het onderdeel dat bedrijven het vaakst over het hoofd zien en dat toezichthouders scherp toetsen. Bij een significant incident moet je zo snel mogelijk, maar in elk geval binnen 24 uur, een eerste melding doen bij het CSIRT en de toezichthouder. Zorg dat je dit proces vastlegt en borg ook de beveiliging van je leveranciers. Kijk voor meer informatie op het Nationaal Cyber Security Centrum.

Wil je je verder verdiepen? Hieronder een overzicht van webinars en achtergrondmateriaal. Per onderdeel zie je voor wie het bedoeld is en of het kosteloos of een betaalde dienst is.

Webinar deel 1 'De Cyberbeveiligingswet komt eraan' - NCSC, NCTV en RDI. 

Voor organisaties die nog niet bekend zijn met de wet en de impact ervan. Kijk hier kosteloos terug.

Webinar deel 2 'Zorgplicht en bestuurlijke verantwoordelijkheid' - NCSC en NCTV. 

Gaat in op de zorgplicht, bestuurlijke verantwoordelijkheid en opleidingsplicht. Voor bestuurders en cybersecurity-verantwoordelijken. Kijk hier kosteloos terug. 

Webinar deel 3 'Beveiliging van de toeleveranciersketen' - NCTV, NCSC en RDI. 

Over hoe je toeziet op de veiligheid van je toeleveringsketen. Voor organisaties met leveranciersrisico's. Kijk hier kosteloos terug. 

Verzamelpagina van Nationaal Cyber Security Centrum

Verzamelpagina met hulpmiddelen, waaronder de NIS2 Zelfevaluatie en NIS2-Quickscan van de RDI, de flowchart van het NCSC en het Cyberbeveiligingswet Control Framework van de Auditdienst Rijk en NOREA.

Cyberbeveiligingswet voor onderwijs en onderzoek - SURF. 

Pagina met webinars, registratiehandleiding en achtergrond, toegespitst op onderwijs- en onderzoeksinstellingen. 

NIS2 Supply Chain: oriëntatiewebinars - Samen Digitaal Veilig (initiatief van MKB-Nederland en VNO-NCW). 

Voor mkb'ers en ketenleveranciers die toewerken naar aantoonbare basisveiligheid (SC10). De webinars zijn kosteloos, het certificeringstraject is betaald. Kijk op Samen Digitaal Veilig. 

NIS2-factsheet - ICTRecht 

Overzicht van de regels, verplichtingen en de tijdlijn. Voor wie een juridisch overzicht zoekt. Kosteloos via aanmelding. 

Cheat Sheet NIS2 / Cyberbeveiligingswet - ICTRecht

Beknopt naslagdocument met de kernverplichtingen en termijnen. Voor wie snel de hoofdlijnen wil. 

Training NIS2: cybersecurity en risicomanagement - ICTRecht Academy

Betaalde training waarmee de NIS2-verplichtingen worden vertaald naar de praktijk. Gericht op bestuurders en cybersecurity-verantwoordelijken; ook in-house mogelijk.

NIS2 dwingt je om risico's te beheersen. Maar zoals gezegd: compliance is geen garantie. Je kunt alles op orde hebben en alsnog getroffen worden. Door een leverancier, een menselijke fout of een aanval die niemand zag aankomen.

Daar stopt de wet en begint een verzekering. NIS2 vraagt je de deur op slot te doen. Een cyberverzekering vangt op wat er gebeurt als er tóch wordt ingebroken: de kosten, de schade, het herstel, de bedrijfsstilstand.

Cyberverzekering Premium

Ondernemers willen eenvoud, voorspelbaarheid en ondersteuning. Daarom hebben we Cyberverzekering Premium vernieuwd: met geïntegreerde preventie, monitoring en een eenvoudige, snelle digitale acceptatie. 

Bekijk wat Cyberverzekering Premium dekt >

Ben je het overzicht kwijt? NIS2 staat namelijk niet op zichzelf. Ook de AI Act, de Data Act en de AVG vragen om actie. Onze juridische partner ICTRecht helpt je vooruit. In een gratis intake stellen zij een persoonlijke Digital Decade Roadmap op. Je ziet direct welke regels voor jouw onderneming gelden en wanneer je moet handelen. Handig richting 2030 en waardevol als je naar ISO 27001 toewerkt.

Interesse? Neem contact op met ICTRecht via [email protected].