Valt jouw organisatie onder de NIS2-wet?
Vanaf naar verwachting 1 juli 2026 geldt de nieuwe Cyberbeveiligingswet. Doe de gratis check en weet binnen een minuut waar je staat — én wat je moet regelen.
↓ Scroll naar de check of lees eerst wat NIS2 voor je betekent
NIS2 in het kort
De NIS2-richtlijn is de Europese cybersecuritywet die organisaties verplicht hun digitale weerbaarheid structureel te vergroten. Nederland zet die richtlijn om in de Cyberbeveiligingswet. Het doel: bedrijven en instellingen beter beschermen tegen cyberaanvallen — en voorkomen dat één zwakke schakel een hele keten platlegt.
Lang was de invoering onzeker, maar inmiddels is er een concrete planning. De Tweede Kamer stemde op 15 april 2026 in met het wetsvoorstel; de wet ligt nu bij de Eerste Kamer en treedt naar verwachting op 1 juli 2026 in werking. Wachten tot het zover is, is geen goed idee: de cyberrisico's zijn er nu immers ook al.
Deze check geeft een eerste indicatie en is geen juridisch advies. Voor de officiële bepaling kun je de NIS2-zelfevaluatie van de overheid doen.
Voor wie geldt de Cyberbeveiligingswet?
Niet iedereen valt onder de wet. Of NIS2 voor je geldt, hangt af van twee dingen: je sector en je omvang.
1. De sector
De wet maakt onderscheid tussen essentiële en belangrijke sectoren: denk aan energie, transport, zorg, drinkwater, digitale infrastructuur, productie, levensmiddelen, chemie, afvalbeheer en digitale dienstverlening.
2. De omvang
Daarnaast gelden omvangscriteria (de 'size cap'): er wordt gekeken naar onder andere het aantal medewerkers, de jaaromzet en het balanstotaal. Als vuistregel: organisaties vanaf ongeveer 50 medewerkers of meer dan 10 miljoen euro omzet komen in beeld.
Wat moet je doen als je onder NIS2 valt?
Val je onder de wet, dan komt het neer op vier verplichtingen:
Zorgplicht
Je voert een risicoanalyse uit en neemt op basis daarvan passende maatregelen. De wet noemt tien minimale zorgplichtmaatregelen:
- Risicoanalyse en beveiligingsbeleid voor je informatiesystemen
- Incidentbehandeling: detectie, response en herstel
- Bedrijfscontinuïteit: back-upbeheer, herstelplannen en crisisbeheer
- Beveiliging van de toeleveringsketen (je leveranciers)
- Veilig aanschaffen, ontwikkelen en onderhouden van systemen
- Beleid om de effectiviteit van maatregelen te toetsen
- Basishygiëne en securitybewustzijn bij medewerkers (trainingsplicht)
- Beleid rond cryptografie en versleuteling
- Toegangsbeleid en assetmanagement: wie mag bij wat?
- Multifactorauthenticatie en beveiligde communicatie
Meldplicht
Significante incidenten meld je zo snel mogelijk, en in elk geval binnen 24 uur, bij het CSIRT en de toezichthouder.
Registratieplicht
Organisaties die onder de wet vallen, registreren zich in het entiteitenregister via mijn.ncsc.nl.
Verantwoordelijkheid van het bestuur
Het bestuur moet de maatregelen goedkeuren en toezicht houden op de uitvoering. NIS2 is dus nadrukkelijk ook een directieonderwerp.
Voldoe jij al aan NIS2? Doe de zelftest
Je weet nu welke maatregelen NIS2 vraagt. Vink hieronder af wat je al geregeld hebt je ziet meteen hoever je bent en waar nog winst zit.
De zorgplicht 10 minimale maatregelen
De wettelijke verplichtingen
Deze checklist is een hulpmiddel en geen juridisch advies. De exacte invulling kan per sector verschillen. Officiële hulpmiddelen vind je bij het NCSC.
NIS2 en de toeleveringsketen
Val je zelf niet rechtstreeks onder de wet? Dan kun je er alsnog mee te maken krijgen. NIS2 verplicht grote en essentiële bedrijven om hun leveranciers te controleren op digitale veiligheid, om incidenten in de keten te voorkomen.
In de praktijk betekent dit dat je klanten kunnen eisen dat je aantoonbaar veilig werkt met risicobeheer, toegangsbeveiliging en incidentrespons. Kun je dat niet aantonen, dan loop je het risico een opdracht of contract te verliezen.
Zo helpt it's Sunday je op weg
Het goede nieuws: veel NIS2-eisen zijn technisch al ingericht in een professioneel beheerde IT-omgeving of we regelen ze eenvoudig voor je. Wij zorgen onder andere voor:
- Up-to-date beveiliging, monitoring en back-ups
- Toegangsbeheer en multifactorauthenticatie
- Incidentdetectie en een helder herstelplan
- Inzicht in waar je staat ten opzichte van de NIS2-eisen
- Praktische ondersteuning richting registratie en meldplicht
Zo weet je precies waar je staat, vóór dat de wet ingaat.
Veelgestelde vragen over NIS2
Wanneer gaat de Cyberbeveiligingswet (NIS2) in?
De Tweede Kamer stemde op 15 april 2026 in met de Cyberbeveiligingswet. De wet ligt nu bij de Eerste Kamer en treedt naar verwachting op 1 juli 2026 in werking.
Voor welke organisaties geldt NIS2?
NIS2 geldt voor organisaties in aangewezen essentiële en belangrijke sectoren die voldoen aan de omvangscriteria, doorgaans vanaf 50 medewerkers of meer dan 10 miljoen euro omzet. Sommige typen, zoals telecom-, DNS- en domeinnaamaanbieders en overheidsorganisaties, vallen er altijd onder.
Wat moet ik doen als mijn organisatie onder NIS2 valt?
Je krijgt te maken met een zorgplicht (passende beveiligingsmaatregelen), een meldplicht (significante incidenten binnen 24 uur melden) en een registratieplicht bij het NCSC. Daarnaast is het bestuur medeverantwoordelijk.
Geldt NIS2 ook als ik leverancier ben van een groot bedrijf?
Mogelijk wel, indirect. NIS2 verplicht grote en essentiële bedrijven om hun leveranciers te controleren op digitale veiligheid. Als leverancier kun je dus alsnog moeten aantonen dat je veilig werkt.
Wat gebeurt er als ik niet aan NIS2 voldoe?
Toezichthouders kunnen handhaven met onder meer boetes, en in uiterste gevallen kunnen maatregelen ook individuele bestuurders raken. Daarnaast loop je het risico klanten te verliezen die veilige leveranciers eisen.
Weten waar jij staat?
Plan een vrijblijvende NIS2-check met ons? We kijken samen of de wet voor je geldt en wat er nog nodig, in gewone taal, onder een bakje koffie.
Plan je gratis NIS2-check →