NIS2 gids →
MKBTechGids NIS2 Compliance
NIS2 · Compliance · Urgent

NIS2 in Nederland:
wat moet uw bedrijf nu regelen?

De Cyberbeveiligingswet komt eraan in Q2 2026. Slechts 14% van Nederlandse organisaties is goed voorbereid. Dit is wat u nu moet weten — en doen.

Juni 2026 · 7 minuten leestijd
Wat staat er op het spel? Boetes tot EUR 10 miljoen of 2% van jaaromzet. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld.

Wat is NIS2 eigenlijk?

NIS2 staat voor Network and Information Security Directive 2 — de Europese richtlijn die organisaties verplicht hun digitale beveiliging op orde te brengen. De EU-deadline was oktober 2024, maar Nederland loopt achter met de nationale implementatie. De verwachting is dat de Nederlandse wet — de Cyberbeveiligingswet — in het tweede kwartaal van 2026 van kracht wordt.

Dat klinkt misschien geruststellend. Maar wacht niet. De wet komt er zeker, en de voorbereidingstijd die u nu nog heeft is een voordeel dat snel verdwijnt.

Wat staat er op het spel?

Bij niet-naleving riskeert u boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet — het hoogste bedrag geldt. Bovendien kunnen bestuurders persoonlijk aansprakelijk worden gesteld.

Geldt NIS2 voor mijn bedrijf?

NIS2 is veel breder dan NIS1. Waar de eerste richtlijn alleen grote, kritieke sectoren raakte, treft NIS2 een veel grotere groep organisaties. De vuistregel:

Essentiële entiteiten

Meer dan 250 medewerkers
OF
Meer dan EUR 50M omzet

In sectoren als energie, transport, water, financiën, gezondheidszorg, digitale infrastructuur

Belangrijke entiteiten

Meer dan 50 medewerkers
OF
Meer dan EUR 10M omzet

In sectoren als post, afvalbeheer, chemie, voeding, maakindustrie

Valt u buiten deze categorieën? Let dan op de ketenverantwoordelijkheid. Als u toeleverancier bent van een organisatie die wel onder NIS2 valt, kunnen zij u contractueel verplichten aan de eisen te voldoen. NIS2 werkt door in de hele toeleveringsketen.

De Nederlandse situatie: achter, maar niet hopeloos

Recent onderzoek van IDC onder 2.000 Europese organisaties laat een helder beeld zien voor Nederland. Slechts 14% van de Nederlandse organisaties bevindt zich in de hoogste gereedheidsklassen. Tegelijk verwacht 70% compliant te zijn binnen 12 maanden — wat betekent dat er nu veel werk tegelijkertijd gedaan moet worden.

14%
van Nederlandse organisaties is goed voorbereid op NIS2
70%
verwacht compliant te zijn binnen 12 maanden
Q2 2026
verwachte datum van de Nederlandse Cyberbeveiligingswet
Bron: IDC InfoBrief, Preparing for NIS2 and Beyond, januari 2026

Wat moet u concreet regelen? De vijf grootste gaps

Uit het IDC-onderzoek blijkt duidelijk waar de meeste organisaties tekort komen. Dit zijn de vijf gebieden waar u nu aandacht aan moet besteden:

1. Risicobeleid en informatiebeveiligingsbeleid

NIS2 verplicht een formeel risicobeheerkader. Dat betekent: schriftelijk vastgelegd beleid, goedgekeurd door de directie, met jaarlijkse evaluatie.

Actie: Stel een Information Security Management System (ISMS) in op basis van ISO 27001.

2. Beveiliging van netwerk- en informatiesystemen

Hoe beveiligd zijn uw systemen bij aanschaf, ontwikkeling en onderhoud? NIS2 vereist dat u security by design toepast.

Actie: Voer een technische kwetsbaarheidsscan uit en stel patchbeleid op.

3. Beveiliging van de toeleveringsketen

U bent verantwoordelijk voor de cybersecurity van uw leveranciers en partners. Als een leverancier gehackt wordt en daardoor uw systemen worden geraakt, ligt de verantwoordelijkheid bij u.

Actie: Breng uw kritieke leveranciers in kaart en stel minimumvereisten op.

4. Incidentmelding en respons

Bij een significant cyberincident heeft u 24 uur om een eerste melding te doen en 72 uur voor een volledige melding. Heeft u nu een incidentresponsplan?

Actie: Schrijf een incident response plan en oefen het minimaal eenmaal per jaar.

5. Bestuurlijke verantwoordelijkheid

NIS2 maakt cybersecurity een bestuurszaak. Directieleden kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid.

Actie: Zet NIS2 op de directie-agenda en wijs een verantwoordelijke aan.

Praktisch stappenplan voor het MKB

U hoeft dit niet allemaal tegelijk te doen. Hier is een realistisch stappenplan:

1

Bepaal of NIS2 op u van toepassing is

Controleer de criteria op basis van sector, omvang en omzet. Raadpleeg ncsc.nl voor de actuele sectorlijst.

2

Voer een nulmeting uit

Waar staat u nu? Welke van de vijf gaps zijn het grootst? Een eerlijke nulmeting kost 1-2 dagen.

3

Stel een beleidsframework op

Informatiebeveiligingsbeleid, risicobeleid en incidentresponsplan. Dit hoeft niet perfect te zijn.

4

Breng uw technische kwetsbaarheden in kaart

Kwetsbaarheidsscan, patchbeleid, toegangsbeheer en encryptie. Dit is het technische fundament.

5

Train uw medewerkers

Technische maatregelen werken niet als uw medewerkers niet weten wat phishing is. Bewustwording is verplicht.

6

Registreer u bij de bevoegde autoriteit

Zodra de Nederlandse wet van kracht is, moeten essentiële en belangrijke entiteiten zich registreren.

Wat als u niet weet waar u moet beginnen?

Uit het IDC-onderzoek blijkt dat organisaties met een sterke begeleidingspartner drie keer vaker compliant zijn dan organisaties die het alleen proberen. Kennis en begeleiding is de beslissende factor — niet budget.

Voor het MKB betekent dit: u hoeft geen fulltime CISO aan te stellen. U heeft iemand nodig die het overzicht heeft, de juiste prioriteiten stelt en u door het proces begeleidt.

Nuttige bronnen

NCSC.nl — Officiële NIS2 informatie voor Nederland → Europese Commissie — NIS2 richtlijn → Rijksoverheid — Cybersecurity voor bedrijven →

Hulp nodig bij NIS2 implementatie?

TechLead NL begeleidt Nederlandse MKB-bedrijven bij NIS2 compliance en cybersecurity. Fractional CIO services — senior expertise zonder de fulltime kosten.

Neem contact op →

Bron: IDC InfoBrief, gesponsord door Microsoft — "Preparing for NIS2 and Beyond: The Next Phase of Cyber Resilience in EMEA", januari 2026.

Dit artikel is bedoeld als algemene informatiegids. Raadpleeg voor juridisch advies altijd een gekwalificeerde adviseur en de actuele informatie op ncsc.nl.