IT-oplossingen op maat
Veilig, snel & altijd online
Directe support van experts
Persoonlijke aanpak
Bereid je organisatie voor op NIS2

NIS2 begeleiding zonder onnodige complexiteit

De NIS2-richtlijn vraagt organisaties om digitale risico’s serieus te nemen en aan te tonen dat ze passende maatregelen hebben getroffen. TendenZ IT staat klaar om je daarbij te ondersteunen.

Start met een NIS2 check Download de NIS2 brochure

Wat zijn de NIS2 regels vanaf 1 juli 2026?

NIS2 is een Europese richtlijn die organisaties verplicht om hun digitale weerbaarheid op orde te brengen. In Nederland wordt deze richtlijn ingevoerd via de Cyberbeveiligingswet, die 1 juli 2026 in werking treedt.

De wet draait om drie verplichtingen: een zorgplicht (passende maatregelen nemen), een meldplicht (incidenten tijdig melden) en een registratieplicht (je organisatie registreren als dat van toepassing is). Het doel is helder: organisaties moeten aantoonbaar werken aan digitale veiligheid.

Boete voor essentiële bedrijven

Tot €10 miljoen

Of 2% van de wereldwijde jaaromzet

Workspace 365

Boete voor belangrijke identiteiten

Tot €7 miljoen

Of 1,4% van de wereldwijde jaaromzet

Het niet naleven van NIS2 kan aanzienlijke risico's met zich meebrengen.

Zodra de Cyberbeveiligingswet ingaat, kunnen toezichthouders stevige sancties opleggen. Denk aan boetes, verplichte audits, bindende instructies of het tijdelijk schorsen van een bestuurder.

Bestuurders worden medeverantwoordelijk en kunnen bij nalatigheid persoonlijk aansprakelijk worden gesteld. Ook kan het gevolgen hebben voor de aansprakelijkheidsverzekering. Zonder aantoonbare naleving krijg je mogelijk geen dekking of keert de verzekering niet uit.

Start met de NIS2 check

Wat moet je doen volgens NIS2?

Dit zijn de belangrijkste aandachtspunten waar je als organisatie mee te maken krijgt.

TendenZ medewerkers klant uitleggen
  1. Weten of je direct of indirect onder NIS2 valt
  2. Passende maatregelen nemen
  3. Leveranciers en ketenpartners beoordelen
  4. Beleid en documentatie aantoonbaar vastleggen
  5. Cyberrisico’s in kaart brengen
  6. Incidenten kunnen herkennen en melden
  7. Medewerkers en bestuurders bewust maken Lees meer
  8. Structureel blijven verbeteren

Valt jouw organisatie onder de NIS2 wetgeving?

NIS2 geldt voor organisaties die worden aangemerkt als essentiële of belangrijke entiteit. Maar ook als je niet rechtstreeks onder de wet valt, kun je ermee te maken krijgen. Bijvoorbeeld omdat een klant of ketenpartner eisen stelt aan jouw beveiliging.

Of NIS2 voor jouw organisatie geldt, hangt af van je sector, omvang, rol in de keten en specifieke uitzonderingen. Daarom starten we altijd met een praktische NIS2-check.

Start met de NIS2 check

Essentiële entiteit

Proactief toezicht

Organisaties in hoog-kritieke sectoren met minimaal 250 medewerkers of meer dan 50 miljoen euro omzet. Denk aan energie, transport, bankwezen, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheidsdiensten en ruimtevaart. Zij vallen onder proactief toezicht, ook zonder directe aanleiding.

Belangrijke entiteit

Incidenteel toezicht

Organisaties in overige NIS2-sectoren met minimaal 50 medewerkers of meer dan 10 miljoen euro omzet. Denk aan post- en koeriersdiensten, afvalbeheer, chemie, levensmiddelen, productie, digitale aanbieders en onderzoeksinstellingen. Toezicht volgt meestal pas na een melding of incident.

Indirect via de keten

Contractuele eisen

Leveranciers van NIS2-organisaties kunnen indirect met de wet te maken krijgen, ongeacht hun eigen sector of omvang. Denk aan IT-dienstverleners, softwareleveranciers, facilitaire bedrijven, consultants en andere toeleveranciers. Zij vallen niet direct onder wettelijk toezicht, maar krijgen vaak wel contractuele eisen vanuit klanten.

Dit valt allemaal onder NIS2

NIS2 klinkt abstract, maar het komt neer op een reeks praktische maatregelen. Klik op een onderwerp voor meer toelichting.

NIS2 verplicht organisaties om structureel risico’s in kaart te brengen. Dat betekent: weten waar je kwetsbaar bent, vastleggen welke dreigingen relevant zijn voor jouw sector en daar een aantoonbaar beleid op schrijven. Zo’n risicoanalyse is geen eenmalige exercitie. Je werkt met een cyclisch proces waarbij je beleid aansluit op de actuele dreigingen en regelmatig wordt bijgesteld. Tendenz IT helpt je dit praktisch in te richten, van de eerste inventarisatie tot een volledig gedocumenteerd beveiligingsbeleid dat voldoet aan de NIS2-eisen.

Uitval mag je niet overvallen. NIS2 vereist dat organisaties aantoonbaar in staat zijn om snel te herstellen na een incident, of dat nu een ransomwareaanval is, hardware die uitvalt of menselijke fouten. Dat begint bij een betrouwbare back-upstrategie met getest herstelproces. We zorgen dat jouw back-ups offsite en versleuteld zijn, dat hersteltijden zijn gedefinieerd en dat je bij een calamiteit weet welke stappen je moet zetten. Geen handboek dat in een la blijft liggen, maar een werkend plan.

Wat je niet ziet, kun je niet stoppen. NIS2 vraagt om continue monitoring van je netwerk en systemen, aangevuld met logging waarmee je achteraf kunt reconstrueren wat er is gebeurd. Wij zetten voor je in wat er nodig is: van SIEM-oplossingen tot geautomatiseerde alerts bij afwijkend gedrag. Zo detecteer je dreigingen vroeg, kun je snel ingrijpen en lever je bij een audit of incident de vereiste rapportage.

De meeste incidenten beginnen bij mensen, niet bij techniek. Phishing, social engineering en verkeerde klikken zijn verantwoordelijk voor het merendeel van de datalekken. NIS2 erkent dit en stelt eisen aan de bewustwording van medewerkers. Wij verzorgen trainingen die verder gaan dan een jaarlijkse e-learning: praktisch, herkenbaar voor jouw sector en gericht op blijvende gedragsverandering. Medewerkers die weten waar ze op moeten letten, zijn je eerste verdedigingslinie.

Voldoen aan NIS2 is één ding. Kunnen aantonen dat je eraan voldoet, is iets anders. Toezichthouders en klanten willen bewijs: beleidsdocumenten, risicoregisters, incidentlogs en audittrails. Wij helpen je een documentatiestructuur op te zetten die aansluit op de NIS2-vereisten en die ook bij een externe audit standhoud. Geen papierwerk omwille van het papierwerk, maar gestructureerde vastlegging die je organisatie sterker maakt.

Wie mag waartoe toegang hebben? NIS2 verplicht organisaties om toegang tot systemen en data nauwkeurig te beheren. Dat begint bij het principe van least privilege: medewerkers krijgen alleen toegang tot wat ze écht nodig hebben. Daarbovenop is multifactorauthenticatie (MFA) geen optie meer, maar een vereiste. Wij inventariseren je huidige toegangsstructuur, signaleren kwetsbaarheden en implementeren de juiste maatregelen. Inclusief beheer van beheeraccounts, die zijn bij aanvallers favoriet.

NIS2 stelt harde termijnen aan het melden van incidenten: bij een significante verstoring heb je 24 uur voor een eerste melding en 72 uur voor een volledige rapportage. Dat lukt alleen als je van tevoren hebt nagedacht over wie wat doet. Wij helpen je een incidentresponsplan opstellen met duidelijke rollen, escalatiepaden en communicatielijnen. En als het misgaat, staan we naast je om het meldproces correct te doorlopen.

Jouw beveiliging is zo sterk als de zwakste schakel in je keten. NIS2 maakt organisaties verantwoordelijk voor de digitale weerbaarheid van hun toeleveranciers. Dat betekent dat je moet weten welke leveranciers toegang hebben tot je systemen, welke risico’s zij meebrengen en hoe je hen contractueel en operationeel aan de vereiste normen houdt. Wij helpen je een leveranciersbeleid opstellen en de juiste vragen te stellen aan je partners, ook als zij zelf nog niet NIS2-plichtig zijn.

NIS2 legt verantwoordelijkheid expliciet bij het bestuur neer. Directeuren en bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij aantoonbare nalatigheid. Dat maakt cybersecurity geen IT-feestje meer, maar een boardroomonderwerp. Wij ondersteunen bestuurders bij het begrijpen van hun verplichtingen, het stellen van de juiste vragen aan hun IT-team en het aantoonbaar betrokken zijn bij het beveiligingsbeleid. Zodat je niet alleen compliant bent, maar het ook kunt bewijzen.

NIS2 is geen project met een einddatum. Dreigingen veranderen, systemen veranderen en de wet vraagt om een aanpak die meeontwikkelt. Dat vraagt om een PDCA-cyclus (Plan, Do, Check, Act) waarbij je beveiligingsmaatregelen periodiek worden geëvalueerd en bijgesteld. Tendenz IT neemt dit structureel met je op in een beheercyclus, zodat je niet één keer compliant bent, maar het blijft.

Zo helpen wij je voldoen aan de NIS2 wetgeving

We werken niet vanuit standaardpakketten, maar vanuit de praktijk van jouw organisatie. Persoonlijk, op locatie en met korte lijnen.

  • We brengen je huidige situatie in kaart
  • We kijken naar hoe mensen en processen echt werken
  • We vertalen risico’s naar praktische maatregelen
  • We helpen met techniek, beleid en documentatie
  • We nemen medewerkers mee in veilig digitaal werken
  • We blijven betrokken na de eerste inrichting
  • We komen op locatie en werken met korte lijnen
Nis2 - TendenZ IT als adviespartner

NIS2 begeleiding in 6 stappen

01

Kennismakingsgesprek

We luisteren, stellen vragen en kijken of NIS2 direct of indirect relevant is voor jouw organisatie.

02

NIS2-check en nulmeting

We brengen risico's, processen, systemen en bestaande maatregelen in kaart.

03

Advies en prioriteiten

Je krijgt een helder overzicht van wat goed staat, wat ontbreekt en wat eerst moet gebeuren.

04

Inrichting en documentatie

We helpen met technische maatregelen, beleid, processen en aantoonbare vastlegging.

05

Training en bewustwording

Medewerkers en bestuurders leren hoe ze digitale risico's herkennen, vermijden en melden.

06

Structurele borging

NIS2 is geen eenmalig vinkje. We blijven meekijken, verbeteren en bijsturen waar nodig.

Bereid je organisatie voor en download de NIS2 brochure

Wil je rustig nalezen wat NIS2 betekent, welke verplichtingen erbij horen en hoe TendenZ IT je kan helpen? Download de brochure en krijg overzicht in de belangrijkste aandachtspunten.

Download de brochure
Nis2 brochure TendenZ IT

Benieuwd of de NIS2 wetgeving ook voor jouw organisatie van kracht is?

Ontdek waar jouw organisatie nu staat en welke stappen nodig zijn om aantoonbaar voorbereid te zijn. Heb je liever direct contact? Neem dan gerust contact met ons op.

TendenZ medewerkers klant uitleggen

Contactgegevens van Jan

Bel 088 002 9000

Of mail info@tendenz.nl

Een NIS2-check aanvragen

Na je aanvraag nemen wij telefonisch contact met je op en bespreken we samen je situatie.

    Snel antwoord op jouw vragen

    De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. Deze wet legt vast welke organisaties verplicht zijn om maatregelen te nemen, incidenten te melden en zich te registreren. De wet treedt op 1 juli 2026 in werking.
    Er bestaat geen officieel NIS2-certificaat dat aantoont dat je volledig compliant bent. Wat wel bestaat, zijn ISO 27001-certificering en vergelijkbare normen die aanzienlijk overlappen met de NIS2-vereisten. Toezichthouders beoordelen compliance op basis van documentatie, aantoonbaar beleid en implementatie van maatregelen, niet via een pasje of keurmerk. Laat je dus niet misleiden door aanbieders die een "NIS2-certificaat" beloven.
    NIS2 geldt voor organisaties in sectoren die als essentieel of belangrijk worden aangemerkt, zoals energie, transport, financiën, gezondheidszorg, digitale infrastructuur en overheidsdiensten. Maar ook middelgrote en grote organisaties buiten die sectoren kunnen onder de wet vallen als zij een kritieke rol spelen in de toeleveringsketen. Twijfel je of jouw organisatie NIS2-plichtig is? Wij helpen je dit snel in kaart brengen.
    Dan ben je weliswaar niet direct NIS2-plichtig, maar indirect heb je wel degelijk verplichtingen. NIS2-plichtige organisaties moeten hun leveranciers doorlichten en contractueel verankeren dat ook zij voldoende beveiligd zijn. In de praktijk betekent dit dat grote klanten jou steeds vaker om bewijs van beveiligingsmaatregelen zullen vragen. Wie daar nu op voorbereid is, heeft een commercieel voordeel en voorkomt problemen later.
    NIS2 vraagt van organisaties minimaal: een gedocumenteerde risicoanalyse, technische beveiligingsmaatregelen zoals MFA en encryptie, een incidentresponsplan met meldprocedures, beveiligingsbeleid voor leveranciers, security awareness training voor medewerkers en aantoonbare betrokkenheid van het bestuur. Geen van deze eisen is nieuw voor goed beveiligde organisaties. Het verschil is dat je ze nu ook aantoonbaar moet hebben ingericht.
    Toezichthouders kunnen boetes opleggen die voor essentiële organisaties oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet en voor belangrijke organisaties tot 7 miljoen euro of 1,4% van de omzet. Maar het financiële risico is niet eens het grootste gevaar. Een incident zonder adequaat beleid betekent ook reputatieschade, aansprakelijkheid van bestuurders en mogelijk verlies van klanten die NIS2-compliance eisen van hun leveranciers.
    Dat hangt af van waar je nu staat. Organisaties die al serieus met informatiebeveiliging bezig zijn, komen met een paar maanden werk een heel eind. Voor organisaties die vrijwel van nul beginnen, reken je op zes tot twaalf maanden voor een volledig ingericht en aantoonbaar compliant beleid. Wij starten altijd met een nulmeting zodat je precies weet wat er al goed gaat en wat er nog moet gebeuren. Zo verlies je geen tijd aan zaken die al op orde zijn.
    Ja. NIS2 stelt expliciet dat organisaties hun medewerkers moeten trainen in cybersecurity en dat bestuurders voldoende kennis moeten hebben om risico's te kunnen beoordelen. Een jaarlijkse e-learning is daarvoor onvoldoende. Toezichthouders kijken naar structurele bewustwordingsprogramma's die aantoonbaar effect hebben. Tendenz IT biedt trainingen die voldoen aan deze eisen en die medewerkers ook echt iets bijbrengen.