Skip to main content
Val ik onder NIS2 en hoe kies ik de juiste normenkaders?

Valt mijn organisatie onder NIS2? Zo ontdek je het en kies je de juiste normenkaders 


De grootste fout die organisaties maken bij NIS2 is aannemen dat het “nog wel meevalt” of dat de wet alleen voor grote spelers geldt. Dat was bij NIS1 deels zo, maar NIS2 trekt de cirkel veel wijder. Veel meer sectoren en bedrijven vallen eronder.

Als je nu niet onderzoekt of jouw organisatie onder de richtlijn valt, loop je straks achter de feiten aan. 
Een goede inventarisatie is dus het begin. Je moet weten of je binnen de reikwijdte van NIS2 valt én welke normen jouw sector hanteert. Pas dan kun je bepalen wat er moet gebeuren. 

Wie valt er onder NIS2? 

NIS2 verdeelt organisaties grofweg in twee categorieën: 

Essentiële entiteiten
Organisaties met een vitale rol in de samenleving, zoals energie, transport, digitale infrastructuur, zorg en overheid. 

Belangrijke entiteiten
Middelgrote en grote organisaties in sectoren als voedselproductie, chemie, post- en koeriersdiensten, datacenters of managed service providers. 

De criteria zijn duidelijker dan bij NIS1. Het gaat niet alleen om wat je doet, maar ook om je omvang. Bedrijven met meer dan 50 medewerkers of een jaaromzet boven €10 miljoen vallen sneller in de scope. Er zijn uitzonderingen, maar de kans dat je onder NIS2 valt is groter dan veel organisaties denken. Bij het geven van onze NIS2 boardroomtraining hebben we al meermalen ondervonden dat organisaties dachten dat ze alleen een ketenverantwoordelijkheid hebben, maar we er tijdens de training achter kwamen dat ze ook zelf onder de NIS2 vallen.

Wat als je klein bent? 

Ook kleinere bedrijven kunnen indirect geraakt worden. Stel dat je een leverancier bent van een ziekenhuis of cloudprovider. Dan kan jouw klant eisen stellen omdat zij zelf NIS2-plichtig zijn. In feite schuift de zorgplicht door de keten. Zelfs als je formeel buiten scope valt, ontkom je dus niet aan hogere eisen. 

Normenkaders per sector 

Als duidelijk is dat je onder NIS2 valt, moet je weten welk normenkader je houvast biedt. De wet en de Amvb’s noemen verplichtingen, maar zijn vaak abstract. Normen vertalen die naar de praktijk. 

Voorbeelden: 

BIO (Baseline Informatiebeveiliging Overheid)
Verplicht voor overheden en uitvoeringsorganisaties. 

NEN7510
Norm voor informatiebeveiliging in de zorg. 

ISO27001
Internationale standaard, vaak de basis waarop sectorale normen zijn gebouwd. 

Het kiezen van het juiste kader helpt enorm. Het voorkomt eindeloze discussie over wat “adequate maatregelen” zijn. Je weet precies welke processen, documenten en controles je nodig hebt.

Hoe pak je de inventarisatie aan? 

  1. Check de sectorlijsten van NIS2 
    Begin bij de officiële sectorindeling. Kijk of jouw branche expliciet genoemd is als essentieel of belangrijk.

  2. Analyseer je omvang en rol
    Valt je bedrijf boven de drempels qua personeel of omzet? En ben je een kritieke leverancier voor anderen? Dan kom je waarschijnlijk in scope.
  3. Bepaal het toepasselijke normenkader 
    Zoek uit of er sectorspecifieke normen verplicht zijn. Als die ontbreken, gebruik ISO27001 als basis.

  4. Leg het vast 
    Documenteer je analyse. Toezichthouders zullen straks willen zien hoe je hebt bepaald of je onder NIS2 valt.

Welke veelgemaakte fouten blijven we terugzien?

Ze zullen de revue vast vaker gepasseerd zijn, maar daardoor niet minder belangrijk om te benoemen.  

Afwachten 
Bedrijven denken vaak: “de wet is er nog niet, dus we doen niks.” Maar de voorbereiding kost tijd, en toezichthouders zijn straks weinig coulant. 

Alleen naar omvang kijken 
Je omvang zegt niet alles. Een klein bedrijf kan door zijn rol in de keten alsnog in scope vallen. 

Normenkaders overslaan 
Wie alleen naar de wettekst kijkt, blijft hangen in vaagheden. Een normenkader maakt het concreet. 
  
Kritische noot 
De overheid communiceert nog weinig concreet richting het mkb. Daardoor weten veel bedrijven niet of ze onder NIS2 vallen. Er dreigt een informatiekloof: grote organisaties hebben adviseurs en juristen, kleinere partijen tasten in het duister. Hier ligt een verantwoordelijkheid voor brancheverenigingen en toezichthouders om duidelijkheid te scheppen. 
Tegelijkertijd ontslaat onduidelijkheid je niet van verantwoordelijkheid. NIS2 is er, de verplichtingen komen eraan, en ketenpartijen zullen je sowieso gaan aanspreken.

Praktische tips 

Gebruik een beslisboom of flowchart
gebruik de NIS2 Zelfevaluatietool van de overheid om een inschatting te doen of jouw organisatie onder de NIS2 valt. Deze vind je op https://regelhulpenvoorbedrijven.nl/NIS-2-NL/ 

Vraag door bij je sectororganisatie
Zij weten vaak welke norm(en) gangbaar of verplicht zijn. 

Begin klein, maar begin
Ook een eerste inventarisatie hoeft niet perfect. Het belangrijkste is dat je start en documenteert hoe je tot je conclusie komt.

Waarom is dit zo belangrijk?
Zonder inventarisatie blijf je in het ongewisse. Je weet niet of je moet voldoen, welke regels gelden en welke investeringen nodig zijn. Daarmee stel je je organisatie bloot aan risico’s: boetes, reputatieschade en vooral een gebrek aan weerbaarheid. 
Met een simpele, maar goed onderbouwde analyse zet je de eerste stap richting compliance. Daarna wordt de route een stuk duidelijker: je weet welke normen gelden, waar de gaten zitten en hoe je ze kunt dichten.

Dus: de vraag die je jezelf vandaag moet stellen is: weet ik zeker of mijn organisatie onder NIS2 valt? Zo niet, dan is nú het moment om die inventarisatie op te starten.