Valt mijn organisatie onder NIS2? Zo kom je er in 5 minuten achter
Duizenden organisaties in de EU vallen inmiddels onder de NIS2-richtlijn — velen zonder het te beseffen. Het toepassingsgebied is aanzienlijk breder dan de oorspronkelijke NIS-richtlijn, en de gevolgen van non-compliance zijn fors: boetes tot €10 miljoen en persoonlijke aansprakelijkheid voor bestuurders.
In dit artikel lopen we de exacte criteria met je door, zodat je kunt vaststellen of NIS2 op jouw organisatie van toepassing is.
Snelle check: geldt NIS2 voor jou?
Gebruik deze beslisboom voor een snel antwoord:
Is NIS2 van toepassing op uw organisatie?
1Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja▼Nee▼2Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
✗NIS2 is niet rechtstreeks van toepassing op uw organisatie.
Ja▼Nee▼✓NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
3Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja▼!NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
1Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja ↓Nee →2Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
Ja ↓Nee →3Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja ↓Nee →✗NIS2 is niet rechtstreeks van toepassing op uw organisatie.
✓NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
!NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
Van toepassingMogelijk van toepassingNiet van toepassing
De 18 NIS2-sectoren
NIS2 geldt niet automatisch voor elke organisatie. De richtlijn bestrijkt 18 sectoren verdeeld over twee bijlagen. Uw organisatie moet actief zijn in een van deze sectoren om onder de regelgeving te vallen.
Diagram laden...
Wat telt als een sector?
Zelfs als uw primaire activiteit binnen een van de 18 sectoren valt, moet uw organisatie ook voldoen aan de drempelwaarden voor middelgrote of grotere ondernemingen, of expliciet zijn aangewezen door uw nationale bevoegde autoriteit. Organisaties in bijlage I-sectoren krijgen te maken met strengere eisen en hogere boetes dan die in bijlage II.
Boetes en handhaving
Het niet naleven van NIS2 kan leiden tot aanzienlijke boetes. Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaarlijkse omzet (het hoogste bedrag geldt), terwijl belangrijke entiteiten boetes tot €7 miljoen of 1,4% van de wereldwijde jaarlijkse omzet kunnen krijgen.
Diagram laden...
| Essentiële entiteiten | Belangrijke entiteiten | |
|---|---|---|
| Max boete (vast) | €10 miljoen | €7 miljoen |
| Max boete (% omzet) | 2% van wereldwijde jaaromzet | 1,4% van wereldwijde jaaromzet |
| Toezichtmodel | Proactief — audits op elk moment | Reactief — alleen na incidenten |
| Bestuurdersaansprakelijkheid | Ja — persoonlijk | Ja — persoonlijk |
De boete is het bedrag dat hoger is — het vaste bedrag of het percentage van de omzet.
Veelvoorkomende misvattingen
"We zijn te klein voor NIS2"
Als je 50+ werknemers of €10M+ omzet/balanstotaal hebt, voldoe je aan de drempel. Veel middelgrote bedrijven beseffen niet dat dit hen ook omvat.
"NIS2 is alleen voor IT-bedrijven"
NIS2 bestrijkt 18 sectoren waaronder voeding, maakindustrie, afvalbeheer en postdiensten. Het gaat niet alleen om technologie.
"We zijn niet 'essentieel' dus hoeven we ons geen zorgen te maken"
Zowel essentiële als belangrijke entiteiten moeten dezelfde 10 maatregelen uit Artikel 21 implementeren. Het verschil zit alleen in de strictheid van het toezicht en de maximale boetebedragen.
"Ons land heeft NIS2 nog niet geïmplementeerd, dus we hebben tijd"
De EU-richtlijn is sinds januari 2023 van kracht. Zelfs als je nationale wetgeving vertraagd is, is de richting duidelijk en stellen veel klanten en partners nu al NIS2-niveau beveiligingseisen.
"We hebben al ISO 27001, dus we zijn gedekt"
ISO 27001 dekt veel van wat NIS2 vereist, maar niet alles. NIS2 voegt specifieke eisen toe rond incidentmelding (24-uursnotificaties), bestuurdersaansprakelijkheid en ketenbeveiliging die ISO 27001 niet volledig afdekt.
Hoe bepaal je je NIS2-status — stap voor stap
Hier is een praktische checklist:
- Tel je werknemers — heb je er 50 of meer? Zo ja → ga door naar stap 2
- Controleer je financiën — is je jaaromzet of balanstotaal hoger dan €10 miljoen? Zo ja → ga door naar stap 2
- Identificeer je sector — opereer je in een van de 18 gedekte sectoren? Zo ja → NIS2 is op jou van toepassing
- Controleer uitzonderingen — ben je een DNS-aanbieder, TLD-register of vertrouwensdienstverlener ongeacht je omvang? Zo ja → NIS2 is op jou van toepassing
- Controleer ketenblootstelling — vallen je klanten onder NIS2? Zo ja → verwacht indirecte nalevingseisen
Twijfel je? Doe onze gratis quickscan
Nog onzeker of NIS2 op jouw organisatie van toepassing is — of hoe goed je voorbereid bent? Onze gratis NIS2-quickscan helpt je er in enkele minuten achter te komen.
De scan beoordeelt je organisatie op alle 10 Artikel 21-maatregelcategorieën en geeft je een helder beeld van waar je staat — volledig gratis en vrijblijvend.
Lees ook
- Wat is NIS2? — Het complete overzicht van de EU-richtlijn
- NIS2 en ketenbeveiliging — Waarom NIS2 ook jou raakt als leverancier
- NIS2-tijdlijn per EU-land — Waar staat elk land?