NIS2 Quick scan

 

 

Nieuws

Het laatste nieuws en de laatste artikelen van Limen Cyber.


 

donderdag 4 september 2025

Wie moet voldoen aan de NIS2 / Cyberbeveiligingswet

De NIS2-richtlijn, die in Nederland wordt omgezet in de Cyberbeveiligingswet, heeft grote gevolgen voor veel organisaties. Maar wie moet er nu precies voldoen aan deze wet? In dit artikel leggen we op een heldere manier uit wat de wet inhoudt, welke organisaties onder de regels vallen en wat je nú al kunt doen om compliant te worden.

Wat is de NIS2/Cyberbeveiligingswet?

De NIS2 is een Europese richtlijn die de digitale weerbaarheid van organisaties moet vergroten. De wet verplicht organisaties om passende maatregelen te nemen om cyberaanvallen te voorkomen, detecteren en erop te reageren. Denk aan risicoanalyses, incidentenregistratie, leveranciersbeheer en bestuurdersverantwoordelijkheid. De Cyberbeveiligingswet is de Nederlandse vertaling van deze richtlijn en wordt in 2026 van kracht.

Wie moet voldoen aan de NIS2/Cyberbeveiligingswet?

Organisaties die actief zijn in zogenaamde essentiële of belangrijke sectoren én boven een bepaalde grootte uitkomen, vallen onder de wet.

1. Essentiële sectoren

Denk aan organisaties in:

  • Energie
  • Water
  • Digitale infrastructuur (zoals datacenters, DNS-diensten)
  • Transport
  • Financiële marktinfrastructuren
  • Gezondheidszorg
  • Overheidsdiensten
  • Ruimtevaart

2. Belangrijke sectoren

Zoals:

  • Post- en koeriersdiensten
  • Voedselproductie
  • Chemische industrie
  • Digitale diensten (zoals cloud, online marktplaatsen)
  • Afvalverwerking
  • Productie van kritieke goederen
  • Onderzoeksinstellingen met een hoog risicoprofiel

3. Grootte criteria

Je organisatie valt onder de wet als je:

  1. Meer dan 50 medewerkers hebt, of
  2. Een jaaromzet of balanstotaal van meer dan 10 miljoen euro

Er zijn uitzonderingen: bepaalde kleine organisaties vallen er toch onder vanwege hun impact, zoals specifieke leveranciers van essentiële diensten.

Let op: Je valt niet automatisch buiten de wet als je kleiner bent dan deze grens. De overheid kan je toch aanwijzen als aanbieder met een belangrijke rol in de keten.

Wat als je onder de NIS2 valt?

Als jouw organisatie onder de NIS2/Cyberbeveiligingswet valt, ben je verplicht om:

  1. Beveiligingsmaatregelen te treffen op basis van risico’s
  2. Incidenten binnen 24 uur te melden
  3. Bestuurders bewust te maken van hun verantwoordelijkheden
  4. Ketenpartners te controleren op cyberrisico’s
  5. Audits en toezicht te accepteren van de toezichthouder
  6. Waarom is het belangrijk om nu al in actie te komen?

De verplichtingen onder de NIS2 zijn omvangrijk en vereisen voorbereiding. Het kost tijd om beleid op te stellen, maatregelen te implementeren en awareness in je organisatie te vergroten. Ook moet je kunnen aantonen dat je in control bent. Lees dit artikel om te kijken wat je nu al kunt doen of vul onze quick scan in om te bepalen waar je staat en wat je nog moet doen om te voldoen aan de cyberbeveiligingswet / NIS2. 

 

Naar overzicht