jan-karel.nl

NIS2 Compliance Check: Hoe Werkt Het?

De NIS2 Compliance Check is een interactieve beslisboom die bepaalt of je organisatie onder de Europese NIS2-richtlijn valt, welke classificatie geldt (essentieel of belangrijk), en welke verplichtingen je moet nakomen. Op deze pagina leggen we de methodologie uit, doorlopen we elke stap en laten we zien hoe je de resultaten kunt gebruiken om je organisatie compliant te maken.

Wat is de NIS2 Compliance Check?

De NIS2-richtlijn (Network and Information Security Directive 2) is een Europese wet die cybersecurity-eisen stelt aan organisaties in kritieke en belangrijke sectoren. De richtlijn is de opvolger van de eerste NIS-richtlijn uit 2016 en heeft een aanzienlijk bredere reikwijdte: meer sectoren vallen eronder, de eisen zijn strenger en de boetes zijn hoger.

In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet (Cbw). Organisaties die eronder vallen moeten voldoen aan eisen op het gebied van risicobeheer, incidentmelding, supply chain security en governance — met persoonlijke aansprakelijkheid voor bestuurders bij niet-naleving.

Onze NIS2 Compliance Check helpt je in vier stappen te bepalen:

  • Valt je organisatie onder NIS2? — op basis van sector en omvang.
  • Welke classificatie geldt? — essentieel (strenger toezicht, hogere boetes) of belangrijk (reactief toezicht).
  • Welke verplichtingen moet je nakomen? — concrete eisen per classificatieniveau.
  • Waar sta je nu? — een gap-analyse die laat zien welke maatregelen je al hebt en wat er ontbreekt.

De check draait volledig in je browser. Er worden geen gegevens verstuurd naar onze servers, tenzij je kiest voor het e-mailrapport.

Methodologie

De NIS2 Compliance Check is gebaseerd op de officiele tekst van EU Richtlijn 2022/2555 (NIS2) en de Nederlandse implementatie via de Cyberbeveiligingswet (Cbw). De methodologie volgt een gestructureerde beslisboom die de criteria van de richtlijn vertaalt naar begrijpelijke stappen.

De classificatie werkt op basis van drie dimensies:

  1. Sectortoets — NIS2 definieert 18 aangewezen sectoren, verdeeld in twee bijlagen. Bijlage I bevat sectoren van "hoge kritikaliteit" (energie, transport, bankwezen, financiele marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening B2B, overheidsinstanties en ruimtevaart). Bijlage II bevat "andere kritieke sectoren" (post- en koeriersdiensten, afvalbeheer, chemische industrie, voedselproductie en -distributie, productie van bepaalde goederen, digitale aanbieders en onderzoeksorganisaties).
  2. Omvangstoets — de hoofdregel: organisaties met meer dan 50 medewerkers of meer dan 10 miljoen euro jaaromzet vallen in scope. Er zijn uitzonderingen: sommige organisaties vallen ongeacht hun omvang onder NIS2, zoals aanbieders van DNS-diensten, TLD-naamregisters, aanbieders van vertrouwensdiensten en aanbieders van openbare elektronische communicatienetwerken.
  3. Classificatietoets — organisaties worden ingedeeld als "essentieel" of "belangrijk". Essentiele entiteiten zijn grote organisaties in Bijlage I-sectoren, plus specifieke aangewezen organisaties. Alle overige in-scope organisaties zijn "belangrijk". Het verschil bepaalt het toezichtsregime en de maximale boetes.

Na de classificatie volgt een gap-analyse gebaseerd op de verplichtingen uit Artikel 21 van de richtlijn, die tien categorieen van beveiligingsmaatregelen voorschrijft.

Stap-voor-stap uitleg

1

Sectorclassificatie

In de eerste stap bepaal je of je organisatie actief is in een van de 18 NIS2-sectoren. De tool presenteert de sectoren met voorbeelden en toelichting, zodat je eenvoudig kunt vaststellen of je erbij hoort. De sectoren zijn:

  • Hoge kritikaliteit (Bijlage I): energie, transport, bankwezen, financiele marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening (B2B), overheid, ruimtevaart.
  • Andere kritieke sectoren (Bijlage II): post- en koeriersdiensten, afvalbeheer, chemie, voedsel, productie (medische hulpmiddelen, computers, elektronische en optische producten, elektrische apparatuur, machines, motorvoertuigen, transportmiddelen), digitale diensten (marktplaatsen, zoekmachines, sociale netwerken), onderzoek.

Veel organisaties ontdekken pas bij deze stap dat ze onder NIS2 vallen. Een softwarebedrijf dat B2B-diensten levert kan als ICT-dienstverlener in scope zijn. Een voedselproducent of -distributeur valt onder de Bijlage II-sectoren. Neem deze stap serieus en kijk verder dan de voor de hand liggende sectoren.

2

Omvang bepalen

De tweede stap toetst of je organisatie boven de drempelwaarden uitkomt. De hoofdregel is helder:

  • Middelgroot: 50-249 medewerkers of €10M-€50M jaaromzet of balanstotaal tot €43M.
  • Groot: 250+ medewerkers of meer dan €50M jaaromzet of balanstotaal meer dan €43M.

Let op: de richtlijn hanteert "of"-criteria, niet "en". Een organisatie met 30 medewerkers maar €15 miljoen omzet valt dus potentieel in scope. Daarnaast zijn er uitzonderingen voor specifieke organisatietypen die ongeacht omvang onder NIS2 vallen: aanbieders van DNS-diensten, TLD-registraties, vertrouwensdiensten, openbare elektronische communicatienetwerken en overheidsinstellingen. Kleinere organisaties in kritieke sectoren kunnen ook in scope vallen als ze door een lidstaat als essentieel worden aangewezen.

3

Classificatie: essentieel vs. belangrijk

Op basis van je sector en omvang bepaalt de tool je classificatie:

  • Essentieel: grote organisaties in Bijlage I-sectoren, plus specifiek aangewezen entiteiten (ongeacht omvang). Essentieel betekent proactief toezicht, maximale boetes van €10 miljoen of 2% van de wereldwijde jaaromzet, en de mogelijkheid van bestuurlijke handhavingsmaatregelen waaronder schorsing van bestuurders.
  • Belangrijk: middelgrote organisaties in Bijlage I-sectoren, en alle in-scope organisaties in Bijlage II-sectoren. Belangrijk betekent reactief toezicht (onderzoek na incidenten of signalen) en maximale boetes van €7 miljoen of 1,4% van de jaaromzet.

De classificatie is cruciaal omdat deze bepaalt hoe intensief het toezicht is, hoe hoog de boetes kunnen uitvallen en welke specifieke verplichtingen gelden. Beide classificaties vereisen implementatie van de Artikel 21-maatregelen, maar essentiele entiteiten worden actiever gecontroleerd.

4

Gap-analyse

De laatste stap toetst je huidige situatie tegen de NIS2-verplichtingen uit Artikel 21. De tool vraagt per verplichting of je deze al hebt ingevuld:

  • Risicobeleid — is er een formeel beleid voor risicobeheer op het gebied van netwerk- en informatiebeveiliging?
  • Incidentmelding — heb je procedures voor het detecteren, melden en afhandelen van incidenten? NIS2 vereist een eerste melding binnen 24 uur en een volledige melding binnen 72 uur.
  • Supply chain security — beoordeel je de cybersecurity van je leveranciers en dienstverleners?
  • Governance — is het bestuur actief betrokken bij cybersecurity? NIS2 vereist dat het bestuur toezicht houdt en trainingen volgt.
  • Bedrijfscontinuiteit (BCP) — heb je plannen voor continuiteit van je kritieke diensten bij een cyber-incident, inclusief backup-beheer en crisisbeheer?

Deze stap levert een concreet overzicht op van wat je al hebt en wat er nog ontbreekt. De verplichtingen zijn niet vrijblijvend: bij niet-naleving riskeer je niet alleen boetes, maar ook reputatieschade en persoonlijke aansprakelijkheid van bestuurders.

Resultaten interpreteren

Na het doorlopen van de vier stappen ontvang je een compleet overzicht van je NIS2-status. De resultaten bestaan uit meerdere onderdelen:

  • Classificatie-uitkomst — een duidelijke badge die aangeeft of je organisatie onder NIS2 valt, en zo ja, of je als essentieel of belangrijk wordt geclassificeerd. Valt je organisatie niet onder NIS2, dan krijg je een toelichting waarom niet (en een advies om dit periodiek te hertoetsen, omdat sectorwijzigingen of groei je status kunnen veranderen).
  • Verplichtingen-checklist — een overzicht van alle NIS2-verplichtingen met een groen (aanwezig) of rood (ontbreekt) status per item. Dit geeft je in een oogopslag inzicht in je compliance-niveau.
  • Compliance-percentage — het aandeel van de verplichtingen dat je al hebt ingevuld, als indicatie van je voortgang richting volledige compliance.
  • Tijdlijn en deadlines — een overzicht van relevante data: de officiele inwerkingtreding, registratieplicht, en aanbevolen mijlpalen voor je compliance-traject.
  • Aanbevelingen — per ontbrekende verplichting een korte toelichting wat je moet doen, met prioritering op basis van risico en wettelijke urgentie.

De resultaten zijn bedoeld als startpunt, niet als definitief juridisch oordeel. De NIS2-richtlijn kent nuances en uitzonderingen die afhankelijk zijn van specifieke omstandigheden. Bij twijfel adviseren we altijd om juridisch advies in te winnen. Maar voor de overgrote meerderheid van organisaties geeft onze check een betrouwbaar en bruikbaar beeld.

Gratis rapport per e-mail

Gratis e-mailrapport

Na het afronden van de NIS2 Compliance Check kun je je resultaten als PDF-rapport per e-mail ontvangen. Dit gratis rapport bevat:

  • Je NIS2-classificatie (essentieel, belangrijk of niet in scope) met onderbouwing
  • Volledige verplichtingen-checklist met groen/rood status
  • Compliance-percentage en voortgangsindicatie
  • Basisadvies per ontbrekende verplichting
  • Relevante deadlines en tijdlijn

Het rapport is direct bruikbaar voor intern overleg. Deel het met je IT-manager, compliance officer of directie om gezamenlijk prioriteiten te stellen. Het biedt een helder en feitelijk vertrekpunt voor het gesprek over NIS2-compliance binnen je organisatie.

Premium Assessment

Premium NIS2 Assessment — €79

Het Premium NIS2 Assessment gaat aanzienlijk verder dan de gratis check en levert een volledig compliance-dossier op waarmee je direct aan de slag kunt. Het assessment bevat:

  • Gedetailleerde gap-analyse per NIS2-artikel — niet alleen een groen/rood status, maar per verplichting een beoordeling van je volwassenheidsniveau: onbekend, basis, gevorderd of volledig. Per artikel krijg je een specifieke toelichting wat er wordt verwacht en waar jouw organisatie staat.
  • Compliance-roadmap met tijdlijn — een fasering die aangeeft welke maatregelen je als eerste moet oppakken, welke parallel kunnen lopen en welk tijdpad realistisch is. De roadmap houdt rekening met onderlinge afhankelijkheden tussen maatregelen.
  • Documentatie-eisen per verplichting — NIS2 vereist dat je kunt aantonen dat je aan de eisen voldoet. Het rapport specificeert welke documenten, procedures en registraties je nodig hebt per verplichting: van een formeel risicobeleid tot incidentmeldprocedures en leveranciersbeoordelingen.
  • Supply chain eisen — een specifiek hoofdstuk over de NIS2-eisen rondom supply chain security. Welke eisen moet je stellen aan je leveranciers? Hoe borg je dit contractueel? Welke due diligence is vereist?
  • Governance-structuur advies — NIS2 stelt expliciete eisen aan de betrokkenheid van het bestuur. Het rapport adviseert over de inrichting van verantwoordelijkheden, rapportagelijnen en de vereiste bestuurlijke opleidingen op het gebied van cybersecurity.
  • Rapport voor management en bestuur — professioneel vormgegeven met een managementsamenvatting die direct presenteerbaar is aan directie of toezichthouders. Het rapport is opgebouwd als compliance-dossier dat je kunt gebruiken als bewijs van je inspanningen.

Gratis vs. Premium

Onderdeel Gratis Premium
NIS2-classificatie (essentieel/belangrijk)
Verplichtingen-checklist
Compliance-percentage
Basisadvies per verplichting
Gap-analyse per NIS2-artikel
Volwassenheidsniveau per verplichting
Compliance-roadmap met tijdlijn
Documentatie-eisen per verplichting
Supply chain security eisen
Governance-structuur advies
Management-ready rapport

Veelgestelde vragen

Wat is de NIS2-richtlijn?

NIS2 (Network and Information Security Directive 2) is een Europese richtlijn die cybersecurity-eisen stelt aan organisaties in kritieke en belangrijke sectoren. Het is de opvolger van de eerste NIS-richtlijn uit 2016 en heeft een aanzienlijk bredere scope: meer sectoren, strengere eisen en hogere boetes. De richtlijn verplicht onder andere risicobeheer, incidentmelding binnen 24 uur, supply chain security en actieve bestuurlijke betrokkenheid bij cybersecurity.

Wanneer treedt NIS2 in werking in Nederland?

De EU-deadline voor omzetting naar nationale wetgeving was 17 oktober 2024. In Nederland wordt NIS2 geimplementeerd via de Cyberbeveiligingswet (Cbw). De wetgeving is op dit moment van kracht en organisaties die onder de richtlijn vallen moeten voldoen aan de eisen of aantoonbaar bezig zijn met implementatie. Wacht niet af: toezichthouders kunnen handhaven en de implementatie van alle vereiste maatregelen kost tijd.

Wat zijn de boetes bij niet-naleving van NIS2?

De boetes zijn substantieel. Voor essentiele entiteiten geldt een maximum van €10 miljoen of 2% van de wereldwijde jaaromzet, de hoogste van de twee. Voor belangrijke entiteiten is dit €7 miljoen of 1,4% van de jaaromzet. Daarnaast introduceert NIS2 persoonlijke aansprakelijkheid voor bestuurders: zij kunnen worden geschorst of aansprakelijk worden gesteld als de organisatie niet aan de eisen voldoet door nalatigheid van het bestuur.

Valt mijn organisatie onder NIS2?

Dat hangt af van twee factoren: je sector en je omvang. NIS2 geldt voor organisaties in 18 aangewezen sectoren die meer dan 50 medewerkers hebben of meer dan €10 miljoen omzet genereren. Maar er zijn uitzonderingen: bepaalde organisaties vallen ongeacht hun omvang onder NIS2 (zoals DNS-dienstverleners en aanbieders van vertrouwensdiensten). Gebruik onze gratis NIS2 Compliance Check om dit in enkele minuten te bepalen.

Wat is het verschil tussen essentieel en belangrijk?

Het belangrijkste verschil zit in het toezichtsregime en de hoogte van boetes. Essentiele entiteiten vallen onder proactief toezicht: de toezichthouder controleert actief en kan preventief handhaven. Belangrijke entiteiten vallen onder reactief toezicht: er wordt pas onderzocht na een incident of signaal. Beide categorieen moeten dezelfde Artikel 21-maatregelen implementeren, maar essentiele entiteiten worden strenger gecontroleerd en riskeren hogere boetes.

Wat moet ik als eerste doen voor NIS2-compliance?

Begin met drie stappen: (1) bepaal of je onder NIS2 valt en welke classificatie geldt; (2) voer een gap-analyse uit om te zien waar je staat ten opzichte van de verplichtingen; (3) richt de governance in — wijs verantwoordelijkheden toe, informeer het bestuur en zorg dat cybersecurity op de bestuursagenda komt. Van daaruit kun je een gefaseerd implementatieplan opzetten, te beginnen met risicobeleid en incidentmeldprocedures.

Hoe verhoudt NIS2 zich tot ISO 27001?

ISO 27001 is een sterke basis voor NIS2-compliance en dekt veel van de vereiste maatregelen, met name op het gebied van risicobeheer en organisatorische beheersing. Maar NIS2 stelt aanvullende eisen die niet standaard in ISO 27001 zitten: verplichte incidentmelding binnen 24 uur bij de toezichthouder, specifieke supply chain security eisen, governance-vereisten waaronder bestuurlijke opleidingen, en registratieplicht bij de bevoegde autoriteit. Een ISO 27001-certificering geeft een voorsprong, maar is niet automatisch voldoende.

Is NIS2 verplicht voor mkb-bedrijven?

De hoofdregel is dat NIS2 geldt voor middelgrote en grote organisaties: meer dan 50 medewerkers of meer dan €10 miljoen omzet. Kleinere organisaties vallen in principe niet in scope. Maar er zijn belangrijke uitzonderingen: aanbieders van DNS-diensten, TLD-naamregisters, aanbieders van vertrouwensdiensten en aanbieders van openbare elektronische communicatienetwerken vallen ongeacht hun omvang onder NIS2. Daarnaast kunnen lidstaten kleinere organisaties aanwijzen als essentieel wanneer ze een cruciale rol spelen in een sector. Ons advies: check het altijd, ook als mkb-bedrijf.

Gratis
NIS2 Compliance Check

Bepaal in 4 stappen of je onder NIS2 valt, welke classificatie geldt en welke verplichtingen je moet nakomen.

Start de gratis check
Premium — €79
NIS2 Compliance Assessment

Gap-analyse per artikel, compliance-roadmap, documentatie-eisen en een management-ready rapport voor bestuur en toezichthouders.

Start het premium assessment