Contact

0316-282557
 info@decom.nl

Samenwerken met Decom is kiezen voor advies zonder flauwekul en een nuchtere aanpak. Met kennis van zaken en focus op service.

ADVIES OP MAAT

Wat jij moet weten over NIS2

GESCHREVEN DOOR: Sharon Gorseling OP 12-01-2026

Waarom deze wet ook voor jouw organisatie relevant is

De misvatting dat de NIS2-richtlijn alleen geldt voor organisaties met meer dan vijftig medewerkers is hardnekkig en gevaarlijk. Juridisch gezien klopt het deels: er is inderdaad een ondergrens van 50 medewerkers of 10 miljoen euro omzet. Maar praktisch gezien ligt de impact van NIS2 veel breder. 

Werk je als organisatie samen met klanten of partners die wél NIS2-plichtig zijn? Dan krijg je vrijwel zeker te maken met ketenaansprakelijkheid. Dat betekent dat ook kleinere MKB-bedrijven moeten kunnen aantonen dat hun digitale veiligheid op orde is. Wie dat niet kan, loopt het risicoklanten, contracten of zelfs financiering te verliezen. 

NIS2 is daarmee geen ‘IT-feestje’, maar een wet die raakt aan continuïteit, vertrouwen en goed bestuur. In Q2 van 2026 gaat de wet van start en daarom is het een perfect moment om jou te informeren.

Wat is NIS2 en waarom bestaat deze wet?

De NIS2-richtlijn (Network and Information Security Directive 2) is Europese wetgeving die bedoeld is om de digitale weerbaarheid van organisaties te vergroten. Onze economie en maatschappij zijn steeds afhankelijker van digitale systemen. Cyberincidenten hebben daardoor directe impact op: 

  • Bedrijfscontinuïteit 
  • Dienstverlening aan klanten 
  • Financiële stabiliteit 
  • Maatschappelijke processen 

Met NIS2 wil de Europese Unie organisaties dwingen om structureel en aantoonbaar met cybersecurity bezig te zijn en dus niet pas als het misgaat, maar preventief. 

Geldt NIS2 voor jouw organisatie?

Direct vallen naar schatting 8.000 tot 10.000 organisaties in Nederland onder de NIS2-wet. Indirect krijgen 50.000 tot 100.000 organisaties ermee te maken via hun klanten of ketenpartners. 

Je valt direct onder NIS2 als:

  • Je actief bent in een essentiële of belangrijke sector (zoals zorg, energie, transport, digitale infrastructuur, overheid, logistiek, financiële dienstverlening), én 
  • Je meer dan 50 medewerkers hebt of meer dan 10 miljoen euro omzet draait.

Je valt indirect onder NIS2 als:

  • Je leverancier, IT-partner of dienstverlener bent van een NIS2-plichtige organisatie. 

In dat geval zal je klant van jouw eisen dat je kunt bewijzen dat jouw digitale veiligheid op orde is. Zonder dat bewijs word je een risico in de keten. Dan heb je te maken met ketenaansprakelijkheid.  

Twijfel je? Via de officiële NIS2 Zelfevaluatie NL kun je snel nagaan of de wet voor jouw organisatie geldt. 

Waarom NIS2 niet te negeren is

De impact van NIS2 reikt verder dan wetgeving alleen: 

  • Banken nemen digitale veiligheid steeds vaker mee in hun risicoanalyse. Slechte cybersecurity betekent moeilijkere financiering. 
  • Accountants toetsen strenger op cyberrisico’s en kunnen tekortkomingen benoemen in jaarrekeningen of verslagen. 
  • Bestuurders hebben een wettelijke plicht tot ‘goed bestuur’: risico’s beheersen, continuïteit waarborgen en vertrouwen behouden. 

In dat licht wordt NIS2 steeds vaker gezien als een echte license to operate. Aantoonbare cybersecurity is geen luxe meer, maar een randvoorwaarde om zaken te kunnen doen. 

De registratieplicht: weten wie verantwoordelijk is

Organisaties die onder NIS2 vallen, zijn verplicht zich te registreren. In Nederland verloopt dit via een portaal van het NCSC (Nationaal Cyber Security Centrum). 

Onderdeel van deze registratieplicht is: 

  • Het vastleggen van organisatiegegevens 
  • Het aanwijzen van verantwoordelijken 
  • Het registreren van alle internetdomeinen die onder jouw verantwoordelijkheid vallen 

Deze registratie maakt voor toezichthouders duidelijk wie waarvoor verantwoordelijk is en vormt het startpunt van toezicht en handhaving. 

De zorgplicht: structureel werken aan digitale veiligheid

De NIS2-wet kent een uitgebreide zorgplicht. Deze bestaat uit minimaal tien verplichtingen waaraan organisaties moeten voldoen. Samen vormen ze een raamwerk voor volwassen cybersecuritybeleid. 

  1. Risicoanalyse en beveiligingsbeleid
    Elke organisatie moet inzicht hebben in haar cyberrisico’s en een passend beveiligingsbeleid voeren.
  2. Incidentenbehandeling
    Er moeten duidelijke procedures zijn voor cyberincidenten: wat doe je, wie bel je en wie beslist?
  3. Bedrijfscontinuïteit
    Denk aan back-ups, noodvoorzieningen, herstelplannen en crisismanagement.
  4. Beveiliging van de toeleveringsketen
    De grootste uitdaging: inzicht krijgen in risico’s bij leveranciers en partners.
  5. Veilige ontwikkeling en onderhoud
    Systemen moeten veilig worden ontwikkeld, onderhouden en tijdig gepatcht.
  6. Evaluatie van beveiligingsmaatregelen
    Cybersecurity is geen eenmalig project, maar een continu verbeterproces.
  7. Cyberhygiëne en training
    Medewerkers moeten basiskennis hebben van digitale veiligheid en regelmatig worden getraind.
  8. Gebruik van cryptografie
    Gegevens moeten passend worden beschermd met encryptie en versleuteling.
  9. Toegangs- en personeelsbeveiliging
    Wie heeft waar toegang toe, en hoe worden bedrijfsmiddelen beheerd?
  10. Multifactor authenticatie en veilige communicatie
    Waar mogelijk moet MFA worden gebruikt en communicatie veilig verlopen.

Belangrijk: je moet niet alleen maatregelen nemen, maar deze ook aantoonbaar maken. 

De meldplicht: snel, gestructureerd en transparant

Naast de zorgplicht kent NIS2 een duidelijke meldplicht voor significante cyberincidenten. 

Deze meldplicht bestaat uit drie stappen: 

  1. Vroegtijdige waarschuwing (binnen 24 uur)
    Een eerste melding zodra duidelijk is dat er sprake kan zijn van een ernstig incident.
  2. Vervolgmelding (binnen 72 uur)
    Aanvullende informatie over aard, impact en eerste maatregelen.
  3. Eindrapport (uiterlijk binnen 1 maand)
    Een volledig verslag met oorzaak, gevolgen en genomen verbetermaatregelen.

Een incident is meldingsplicht als het bijvoorbeeld: 

  • Veel personen raakt 
  • Langdurige verstoring veroorzaakt 
  • Aanzienlijke financiële schade oplevert 

Vrijwillige meldingen kunnen ook worden gedaan via het NCSC-portaal, bijvoorbeeld bij twijfel. 

Wat betekent dit concreet voor jou?

Na het lezen van dit artikel zou je een ding helder moeten hebben: niets doen is geen optie. 

  • Val je direct onder NIS2? Dan moet je voldoen aan registratie-, zorg- en meldplicht. 
  • Val je indirect onder NIS2? Dan gaan jouw klanten dit van je eisen. 
  • Kun je jouw cybersecurity niet aantonen? Dan loop je risico op verlies van klanten, financiering en vertrouwen. 

NIS2 is geen doel op zich, maar een middel om organisaties weerbaarder, professioneler en toekomstbestendig te maken. Wie nu investeert in digitale veiligheid, investeert in continuïteit. 

Heb je vragen over wat NIS2 voor jouw organisatie betekent of hoe je hier praktisch invulling aan geeft? Dan is dit het moment om het gesprek aan te gaan. Digitale veiligheid is geen sluitpost meer, het is een voorwaarde om te blijven ondernemen. 

 

Delen op social media

Profiel Sharon G
Sharon Gorseling

operationeel directeur

sharon.gorseling@decom.nl
0316 282 557
Linkedin

Overige berichten

>> Wat is een chatbot nou eigenlijk?

>> Updaten is belangrijker dan jij denkt

>> (Bijna) alles over AI

>> KPN Extra Veilig Mobiel

>> Zo herken en voorkom je digitale valstrikken