Naar inhoud
ProVectus AI
EN

Blog

Valt mijn organisatie onder NIS2? Complete uitleg voor Nederlandse organisaties (2026)

De meest gestelde vraag: valt mijn organisatie onder NIS2? Deze gids helpt beoordelen of en hoe NIS2 op u van toepassing is.

Wat is NIS2 precies?

Europese wetgeving die organisaties verplicht digitale risico’s structureel te beheren en aantoonbaar te maken — vitale sectoren, digitale dienstverleners en ketens. Cybersecurity wordt een bestuursverantwoordelijkheid.

Wanneer valt een organisatie onder NIS2?

Vaak bij: activiteit in een kritieke sector, middelgrote/grote omvang, digitale dienstverlening, rol in vitale keten.

Voorbeelden van sectoren

  • Overheid/gemeenten — digitale dienstverlening en publieke rol
  • Zorg — ziekenhuizen, GGZ, netwerken, grote aanbieders
  • Energie/infrastructuur — netbeheerders, gas, water
  • Transport/logistiek — luchtvaart, havens, rail, keten
  • Digitale diensten — cloud, hosting, SaaS, datacenters, MSP

Essentiële vs belangrijke entiteiten

Essentieel — hoge maatschappelijke impact (o.a. energie, water, zorg, digitale infrastructuur), zwaarder toezicht.
Belangrijk — o.a. digitale dienstverleners, productie, logistiek — eveneens verplichte maatregelen.

Middelgrote organisaties

Veel organisaties vallen onder NIS2 bij o.a. >50 medewerkers en >€10M omzet in een relevante sector — ook zonder eigen vitale infrastructuur.

Kleine organisaties en indirecte verplichtingen

Soms wel: kritieke leverancier, digitale infrastructuur, onderdeel vitale keten — indirecte NIS2-verplichting.

Supply-chain compliance

Klanten kunnen eisen: ISO 27001, vragenlijsten, assessments, audit-evidence — ook zonder formele NIS2-classificatie.

Wat moet u doen als NIS2 geldt?

Aantonen: cyberrisicomanagement, incidentrespons, leveranciersbeoordeling, monitoring/logging, continuïteit, bestuurlijke rapportage.

Hoe snel moet u voldoen?

Implementatie duurt vaak 3 tot 9 maanden; toezicht, keteneisen en aanbestedingen maken vroege start verstandig.

Veelgemaakte misverstanden

“Te klein”, “geen vitale sector”, “geen eigen infrastructuur” — in de praktijk vallen veel organisaties toch onder NIS2 of keteneisen.

Snelle NIS2-checklist

  • Kritieke sector?
  • Digitale diensten?
  • Leverancier van vitale organisaties?
  • meer dan 50 medewerkers en meer dan €10 miljoen omzet in scope?

Meerdere “ja” → hoge kans op NIS2-relevantie; bevestig met maturity assessment.

Waarom dit in 2026 telt

NIS2 maakt deel uit van Europese strategie samen met DORA, Cybersecurity Act, AI Act en AVG — cybersecurity wordt structureel onderdeel van governance.

← Alle artikelenHome