NIS2 voor groeiende Europese bedrijven: wat het in de praktijk betekent

Compliance · 10 min leestijd

Kort antwoord

NIS2 is de EU-richtlijn die cybersecurityverplichtingen voor Europese bedrijven aanzienlijk uitbreidt. De richtlijn is in oktober 2024 in werking getreden en EU-lidstaten zijn momenteel bezig met de omzetting in nationaal recht.

Drie dingen die elk groeiend Europees bedrijf zou moeten weten:

  1. NIS2 dekt veel meer sectoren dan zijn voorganger. Veel middelgrote bedrijven die onder NIS1 buiten scope vielen, vallen er nu wel onder.
  2. Zelfs als NIS2 niet rechtstreeks op u van toepassing is, is de richtlijn doorgaans wel van toepassing op uw klanten — en de verplichtingen schuiven via leveranciersmanagement door de toeleveringsketen.
  3. Het management is persoonlijk verantwoordelijk. De richtlijn legt cybersecurityverantwoordelijkheid bewust op bestuurs- en directieniveau, met persoonlijke aansprakelijkheid bij het schenden van zorgplichten.

Als u een groeiend SaaS-bedrijf, bureau of kennisbedrijf in Europa met 50+ medewerkers runt, zou u tegen het eind van dit kwartaal een onderbouwd antwoord moeten hebben op de vraag "is NIS2 op ons van toepassing?". Zo niet, dan stellen uw klanten die vraag uiteindelijk voor u.

Wat NIS2 eigenlijk is

NIS2 (de Network and Information Security Directive 2) vervangt de oorspronkelijke NIS Directive uit 2016. Het is een van de grootste juridische cybersecuritywijzigingen in Europa in tien jaar.

Wat is nieuw ten opzichte van NIS1:

  • Aanzienlijk bredere sectordekking.
  • Twee categorieën gereguleerde entiteiten: "essentiële" en "belangrijke", met verschillende sanctiestructuren.
  • Striktere termijnen voor incidentmelding.
  • Expliciete verantwoordelijkheid van het management — inclusief persoonlijke aansprakelijkheid voor senior leidinggevenden.
  • Strengere eisen aan de toeleveringsketen.
  • Hogere financiële sancties.

Elke EU-lidstaat is verantwoordelijk voor de omzetting van NIS2 in nationaal recht. Nederland werkt, net als de meeste lidstaten, dit proces door; concrete nationale wetgeving, toezichthouderactiviteit en handhaving zullen naar verwachting in 2026 verder op stoom komen.

Is NIS2 op u van toepassing?

Er zijn drie praktische toetsen.

De sectortoets. NIS2 dekt een veel breder scala aan sectoren dan NIS1. De lijst omvat nu onder meer: digitale infrastructuur, ICT-servicemanagement, aanbieders van openbare elektronische communicatiediensten, energie, transport, bankwezen, infrastructuur voor financiële markten, gezondheidszorg, drinkwater, afvalwater, openbaar bestuur, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemicaliën, productie en distributie van levensmiddelen, fabricage van bepaalde producten, digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerken) en onderzoeksorganisaties.

Als u in een van deze sectoren actief bent of eraan levert, is aan de sectortoets voldaan.

De omvangstoets. NIS2 is in het algemeen van toepassing op middelgrote en grote entiteiten. Een middelgrote entiteit wordt globaal gedefinieerd als een organisatie met 50 of meer medewerkers en een jaaromzet van meer dan €10 miljoen (of een balanstotaal van meer dan €10 miljoen). Grote entiteiten hebben 250+ medewerkers of een omzet van €50M+.

Veel groeiende SaaS-bedrijven passeren deze drempel juist in de periode waarin ze ook enterprise-compliance nastreven — wat betekent dat de verplichtingen op precies het slechtst denkbare moment landen als u zich niet heeft voorbereid.

De uitzonderingstoets. Ook kleine entiteiten kunnen worden aangewezen als in-scope wanneer zij als kritiek worden beschouwd (bijvoorbeeld als enige aanbieder van een dienst in hun lidstaat, of als aanbieder waarvan een onderbreking aanzienlijke impact zou hebben). Dit is een reëel risico op geconcentreerde SaaS-markten.

Als u een van deze drie toetsen passeert, plan dan dienovereenkomstig.

Wat verandert er als u in scope bent

De richtlijn legt een vastgesteld pakket aan risicobeheersmaatregelen vast. In de praktijk vertaalt zich dat naar:

  • Een gedocumenteerde aanpak voor informatiebeveiligingsbeheer — dicht bij wat ISO 27001 al vereist.
  • Capaciteit voor incidentafhandeling en -melding.
  • Bedrijfscontinuïteit en crisisbeheersing.
  • Beveiliging van de toeleveringsketen — expliciete due diligence op kritieke leveranciers.
  • Beveiliging van netwerk- en informatiesystemen.
  • Beleid rond risicoanalyse en beveiliging van informatiesystemen.
  • Gebruik van cryptografie en toegangsbeheersmaatregelen.
  • Personeelsbeveiliging, training en bewustwording.
  • Multi-factor authentication en andere identity-controls.

Als u deze lijst leest en uw reactie is "dat doen we eigenlijk al grotendeels", dan staat u er goed voor. Is de reactie "we weten dat we dit zouden moeten doen", dan ligt er aantoonbaar werk voor u.

Termijnen voor incidentmelding

NIS2 introduceert enkele van de strengste meldplichten in het Europese cybersecurityrecht:

  • Binnen 24 uur nadat u zich bewust bent geworden van een significant incident: een vroege waarschuwing aan de bevoegde nationale autoriteit.
  • Binnen 72 uur: een gedetailleerde incidentmelding.
  • Binnen één maand: een eindrapport.

"Significant incident" wordt gedefinieerd in de richtlijn en in nationale wetgeving; in de praktijk zal elk incident dat diensten merkbaar verstoort of klantgegevens compromitteert doorgaans onder deze definitie vallen.

De operationele implicatie: u kunt niet voldoen aan een meldplicht van 24 uur zonder detectiecapaciteit, een incident response-procedure en een vastgelegd escalatiepad. Dit zijn geen zaken die u tijdens het incident zelf opbouwt.

Het effect op de toeleveringsketen — ook als u niet rechtstreeks in scope bent

Dit is het onderdeel dat de meeste groeiende bedrijven missen.

NIS2 verplicht in-scope organisaties expliciet om cybersecurityrisico's in hun toeleveringsketen te beheersen. Dat betekent: zelfs als NIS2 niet rechtstreeks op uw bedrijf van toepassing is, is de richtlijn doorgaans wel van toepassing op meerdere van uw klanten — en die klanten zijn nu verplicht uw securityhouding te beoordelen en te monitoren als onderdeel van hun eigen NIS2-verplichtingen.

Hoe ziet dat er in de praktijk uit:

  • Meer gedetailleerde leveranciersvragenlijsten over security.
  • Contractuele beveiligingseisen met meetbare verplichtingen.
  • Audit-clausules die ook daadwerkelijk worden ingeroepen.
  • Hogere verwachtingen rond incidentmelding — uw klanten kunnen eisen dat u hen binnen enkele uren informeert over een incident dat hun gegevens raakt.

Als u levert aan gereguleerde Europese sectoren, raakt NIS2 u — of u nu direct in scope bent of niet.

Bestuurdersaansprakelijkheid — wat dit feitelijk betekent

NIS2 plaatst besluitvorming en toezicht op cybersecurity op managementniveau, met expliciete verantwoordingsplicht. In de meeste nationale omzettingen kunnen leden van het bestuursorgaan persoonlijk aansprakelijk worden gesteld voor het schenden van hun verplichtingen onder NIS2.

In de praktijk:

  • Het management moet de risicobeheersmaatregelen goedkeuren.
  • Het management moet toezien op de implementatie ervan.
  • Het management moet zich voldoende laten informeren om dat toezicht te kunnen uitoefenen.
  • Bij nalatigheid kunnen er persoonlijke consequenties volgen.

De richtlijn plaatst cybersecurity bewust op de bestuursagenda. Bedrijven die security van oudsher hebben behandeld als "iets van IT" worden gedwongen die framing te herzien.

De sanctiestructuur

NIS2 legt substantiële administratieve boetes vast:

  • Voor essentiële entiteiten: tot €10 miljoen of 2% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
  • Voor belangrijke entiteiten: tot €7 miljoen of 1,4% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Nationale autoriteiten beschikken daarnaast over handhavingsbevoegdheden, waaronder bindende instructies, verplichte audits en het bevel om incidenten openbaar te maken.

De sanctiestructuur is bewust gemodelleerd naar GDPR — en net als bij GDPR zal de feitelijke handhaving zich naar verwachting de komende jaren ontwikkelen.

Hoe NIS2 zich verhoudt tot ISO 27001

De twee kaders overlappen sterk, maar dienen verschillende doelen.

ISO 27001 is een vrijwillige, certificeerbare standaard voor een Information Security Management System. NIS2 is dwingend recht binnen zijn toepassingsgebied.

Als u ISO 27001 goed implementeert, dekt u een aanzienlijk deel van de risicobeheereisen van NIS2 af. Andersom is dat minder direct — NIS2-compliance levert u geen ISO 27001-certificaat op, maar brengt u wel het grootste deel van de weg.

Voor de meeste groeiende Europese bedrijven is de meest efficiënte volgorde: bouw één keer het ISMS (het werk dat u naar ISO 27001 brengt) en leg daar vervolgens de NIS2-specifieke verplichtingen overheen (workflow voor incidentmelding, due diligence in de toeleveringsketen, bewijs van bestuurlijk toezicht). Zie ons stuk over SOC 2 vs ISO 27001 voor de afweging tussen frameworks.

Wat u dit kwartaal kunt doen

Vijf concrete stappen:

  1. Bepaal uw scope. Sectortoets + omvangstoets + uitzonderingstoets. Documenteer de uitkomst. Bent u onzeker, schakel dan gekwalificeerde juridische input in. Dit is niet het domein om te gokken.
  2. Breng de NIS2-status van uw klanten in kaart. Vallen zij in scope en bedient u hen, dan cascaderen de toeleveringsketenverplichtingen sowieso naar u, ongeacht uw eigen scope.
  3. Voer een eerlijke beoordeling uit tegen de NIS2-risicobeheersmaatregelen. Wat heeft u? Wat ontbreekt? Waar is het bewijs?
  4. Bouw incidentdetectie- en meldcapaciteit. Centrale logging, alerting op de juiste condities, een gedocumenteerd responsproces met vastgelegde termijnen.
  5. Zet cybersecurity formeel op de managementagenda. Kwartaalbriefing, gedocumenteerde besluiten, bewijs van toezicht.

Veelgemaakte fouten

  • Aannemen dat "we te klein zijn voor NIS2". De sector- + omvangstoets vangt veel groeiende bedrijven. De uitzonderingstoets vangt anderen. Het toeleveringsketeneffect vangt vrijwel iedereen die aan Europa levert.
  • Wachten tot de nationale omzetting "definitief" is voordat u begint. De inhoudelijke verplichtingen worden niet milder. Nu beginnen is sneller en goedkoper dan later beginnen.
  • NIS2 behandelen als een papierexercitie. De richtlijn verwacht werkende controls, niet beschreven controls. Auditors en toezichthouders zoeken naar bewijs.
  • Het management buiten de loop houden. De richtlijn vereist juist expliciet het tegenovergestelde.

FAQ

Is NIS2 van toepassing op een B2B SaaS-bedrijf van 60 mensen in Nederland? Heel goed mogelijk — afhankelijk van de sectorclassificatie en het klantenbestand. ICT-servicemanagementaanbieders en digitale aanbieders vallen vaak in scope op die omvang. Doorloop de drie toetsen en documenteer de uitkomst.

Wat als ons klantenbestand grotendeels buiten de EU zit? NIS2 is van toepassing op basis van waar u gevestigd bent en welke diensten u in de EU levert. Voornamelijk verkopen aan niet-EU-klanten ontslaat u niet van NIS2 als u een in de EU gevestigd bedrijf bent dat in-scope diensten levert.

Wordt NIS2 al gehandhaafd? EU-lidstaten bevinden zich in verschillende stadia van omzetting en handhaving. Behandel de inhoudelijke verplichtingen als effectief van vandaag; de handhaving zal volgen.

Hoe verhoudt NIS2 zich tot GDPR? Ze zijn complementair, niet overlappend. GDPR ziet toe op persoonsgegevens; NIS2 op cybersecurityrisico's voor netwerk- en informatiesystemen. Veel controls overlappen (incidentmanagement, toegangsbeheer, training), maar de juridische kaders staan los van elkaar.

Wat als we al SOC 2 of ISO 27001 hebben? Dan heeft u het meeste werk al gedaan. NIS2 voegt daar specifieke meldtermijnen, expliciete bestuurlijke verantwoordingsplicht en verplichtingen rond de toeleveringsketen aan toe, bovenop een bestaand ISMS.

De kern

NIS2 is de grootste cybersecurity-regulering in Europa in tien jaar. Voor groeiende Europese bedrijven is de duurste positie: "we regelen het wel als het op ons van toepassing is". Tegen die tijd stellen uw klanten de vragen al.

Bedrijven die nu in beweging komen — scope bepalen, de basis bouwen, het management informeren — sluiten enterprise-deals eenvoudiger en zijn niet langer de zwakke schakel in de toeleveringsketen van hun klanten. Wie wacht, brengt de komende twee jaar door met inhalen onder druk.

Hoe dan ook is het werk hetzelfde. De enige variabele is de timing.

"Het goedkoopste moment om te handelen is nu. Het duurste moment is wanneer het inkoopteam van uw grootste klant u een door NIS2 gedreven beveiligingsvragenlijst stuurt en u niets terug te sturen heeft."

Volgende stap

Niet zeker waar u staat op NIS2?

Begin met The Clarity Assessment — binnen twee weken brengen we uw scope en houding in kaart.

Bekijk The Clarity Assessment Plan een verkennend gesprek