Stap 1: werk je in een sector waar NIS2 voor geldt?
NIS2 geldt niet voor ieder bedrijf. De wet is bedoeld voor organisaties die belangrijk zijn voor de maatschappij en economie. Denk bijvoorbeeld aan sectoren zoals energie, vervoer, zorg, digitale infrastructuur, digitale dienstverleners, afvalbeheer, levensmiddelen, chemie, productie en onderzoek. Maar, let op: ook bedrijven die leveren aan deze sectoren kunnen met de wet te maken krijgen.
De cyberbeveiligingswet maakt daarbij onderscheid tussen twee groepen:
- Essentiële sectoren: dit gaat om organisaties die een kritieke rol hebben in de maatschappij. Zij vallen onder proactief toezicht. Dat betekent dat de overheid actief kan controleren of de verplichtingen worden nageleefd.
- Belangrijke sectoren: dit gaat om organisaties die ook belangrijk zijn voor de maatschappij en economie, maar waarbij de impact van uitval meestal minder direct ontwrichtend is. Deze organisaties vallen onder reactief toezicht. Controles vinden vooral plaats na incidenten of op basis van signalen en steekproeven.

Valt jouw organisatie binnen één van deze sectoren? Ga dan door naar stap 2. Daar wordt gekeken of je op basis van je omvang onder de wet valt.
Valt jouw organisatie niet binnen één van deze sectoren? Ga dan ook door naar stap 2. In sommige situaties kunnen organisaties alsnog onder de wet vallen vanwege hun specifieke rol, dienstverlening of aanwijzing. Ga daarna ook door naar stap 3, want je kunt indirect met NIS2 te maken krijgen via klanten of leveranciers.
Stap 2: hoe groot is je organisatie?
Werk je in een sector die onder NIS2 valt, dan kijkt de wet vaak ook naar de omvang van je organisatie. Voor veel mkb-bedrijven is dit een belangrijke grens.
Als vuistregel geldt dat je direct NIS2-plichtig kunt zijn wanneer je organisatie:
- Meer dan 50 medewerkers hebt
- Of meer dan €10 miljoen omzet draait per jaar.
De overheid geeft aan dat de grootte van een organisatie één van de factoren is bij de beoordeling of een organisatie onder de Cyberbeveiligingswet valt. Daarbij wordt gekeken naar categorieën zoals middelgrote en grote organisaties.
Voldoe je aan deze grens én werk je in een sector die onder NIS2 valt? Dan is de kans groot dat je organisatie NIS2-plichtig is.
Voldoe je niet aan deze grens? Dan ben je meestal niet direct NIS2-plichtig. Maar let op: er zijn uitzonderingen. Ook kleinere organisaties kunnen in bepaalde gevallen toch onder de wet vallen, bijvoorbeeld door hun rol binnen een kritieke keten, omdat ze leveren aan NIS2-plichtige bedrijven of omdat ze specifiek worden aangewezen.
Ga daarom altijd door naar stap 3.
Stap 3: speel je een belangrijke rol binnen de sector?
Ook als je niet direct NIS2-plichtig bent, kun je er alsnog mee te maken krijgen. Dat gebeurt vooral wanneer je levert aan een organisatie die wél onder NIS2 valt.
Dat kan bijvoorbeeld zo zijn als:
- Jouw dienstverlening belangrijk is voor de continuïteit van een klant
- Je toegang hebt tot gevoelige data of systemen
- Je onderdeel bent van een digitale infrastructuur
- Je levert aan een NIS2-plichtige organisatie
In dat geval ben je niet altijd zelf NIS2-plichtig, maar kun je wel vragen of eisen krijgen vanuit klanten, leverancierscontracten of audits. Denk aan eisen rondom back-ups, toegangsbeveiliging, incidentmeldingen, awareness, leveranciersbeheer en continuïteit.
Voor veel mkb-bedrijven zit daar de grootste impact. Niet omdat ze zelf rechtstreeks onder de wet vallen, maar omdat klanten gaan vragen hoe goed hun beveiliging geregeld is.
Ben je NIS2-plichtig of niet?
Op basis van deze drie stappen kom je uit in één van deze situaties:
- Je bent waarschijnlijk NIS2-plichtig: je werkt in een NIS2-sector en voldoet aan de omvangseisen, of je hebt een belangrijke rol binnen een kritieke keten.
- Je bent niet direct NIS2-plichtig, maar krijgt er wel mee te maken: je levert bijvoorbeeld aan een organisatie die onder NIS2 valt. Dan kunnen klanten eisen stellen aan jouw IT-beveiliging en processen.
- Je valt waarschijnlijk buiten NIS2: je werkt niet in een NIS2-sector, voldoet niet aan de omvangseisen en levert ook niet aan organisaties die onder NIS2 vallen.
Twijfel je nog of je NIS2-plichtig bent?
Dat is logisch. Veel bedrijven vallen net tussen categorieën in of krijgen indirect met de wet te maken via klanten en leveranciers. Daarom hebben we een eenvoudige beslisboom gemaakt. Daarmee zie je snel welke situatie op jouw bedrijf van toepassing is.
Wil je zeker weten waar je staat? Plan dan een afspraak in. We kijken met je mee en maken concreet wat NIS2 voor jouw organisatie betekent.