Cyberbeveiligingswet (NIS2-richtlijn)

Welke bedrijven vallen direct onder NIS2?

NIS2 geldt voor organisaties in essentiële en belangrijke sectoren. In Nederland vallen naar schatting meer dan 8.000 bedrijven en organisaties direct onder de wet.

Daarnaast zijn er honderdduizenden kleine en middelgrote bedrijven die indirect te maken krijgen met NIS2 als toeleverancier van grotere organisaties.

Valt u niet direct onder de wet? Dan krijgt u mogelijk alsnog indirect te maken met contractuele eisen en audits vanuit NIS2-plichtige klanten en partners.

Voldoet uw organisatie aan een of meer van de onderstaande criteria? Dan valt u mogelijk direct onder de Cyberbeveiligingswet.

≥ 50 medewerkers

≥ € 10 miljoen jaaromzet

≥ € 10 miljoen balanstotaal

Let op: organisaties in vitale sectoren zoals overheid, telecom, energie, water, banken of domeinregistratie vallen altijd onder de Cyberbeveiligingswet.

Doe de NIS2-check

Wat zijn de implicaties?

Organisaties die onder NIS2 vallen moeten hun beveiliging volledig op orde hebben en kunnen aantonen dat ze risico’s beheersen.

Zorgplicht & risicobeheer

Inrichten en onderhouden van passende technische & organisatorische maatregelen, incl. supply-chain-risico’s.

Hoofdelijke aansprakelijkheid

Directie keurt maatregelen goed, houdt toezicht en volgt verplichte training; bij nalatigheid kan hoofdelijke aansprakelijkheid gelden.

Meld- & registratieplicht

Snelle melding van ernstige incidenten en registratie als entiteit in het nationale register.

Keten & contracten

Verplicht beheersen van leveranciersrisico’s; eisen worden vastgelegd in contracten en periodiek getoetst.

Laat uw situatie toetsen

Hoe krijgt uw organisatie hiermee te maken?

De overgang van NIS1 naar NIS2 raakt een veel bredere groep organisaties. NIS2-plichtige entiteiten moeten hun leveranciers gaan controleren en leggen dus verplichtingen op aan hun keten (aantoonbare beveiliging, contracteisen, audits), waardoor vrijwel iedere organisatie te maken krijgt met NIS2-eisen.

Van kleine top naar brede basis: steeds meer organisaties worden geraakt.

NIS1

Kleine groep essentiële organisaties

Aantal bedrijven: ± 200
Impact: middel - beperkte scope & beperkt toezicht

NIS2

Organisaties met wettelijke verplichtingen en toezicht

Aantal bedrijven: 8.000 – 10.000
Beveiligings maatregelen: 10 categorieën / 100+ maatregelen
Impact: zeer hoog - verplichte maatregelen, audits en sancties

NIS2-QM30

Vitale of bedrijfskritische rol in de keten

Aantal bedrijven: honderdduizenden
Beveiligings maatregelen: 6 categorieën / 67 maatregelen
Impact: hoog - governance & monitoring verplicht

NIS2-QM20

Verwerken gevoelige gegevens of onderdeel van kritische ketens

Aantal bedrijven: honderdduizenden MKB-leveranciers
Beveiligings maatregelen: 6 categorieën / 36 maatregelen
Impact: middel - expliciete security eisen vanuit klanten en partners

NIS2-QM10

Organisaties met lager risicoprofiel of beperkte digitale afhankelijkheid

Aantal bedrijven: grootste deel van het MKB
Beveiligings maatregelen: 4 categorieën / 17 maatregelen
Impact: middel/laag - aantoonbare beveiliging wordt “license to operate”

Wat betekent dit in de praktijk?

Valt uw organisatie niet rechtstreeks onder NIS2? Grote klanten en publieke organisaties gaan strengere eisen stellen aan hun leveranciers.

Eisen & vragenlijsten

Uitgebreide security-vragenlijsten, NDA’s en eisen voor processen, patching, MFA, back-ups, monitoring, etc.

Contractuele verplichtingen

Beveiligingsclausules, audit-rechten, meldtermijnen en boetebepalingen komen vaker in contracten.

Audits & bewijs

Klanten vragen om aantoonbaar bewijs: policies, logboeken, testresultaten of keurmerken (zoals NIS2 Quality Mark).

“Tijdens een klantaudit moesten we aantonen dat we NIS2-compliant waren. Dankzij SpySecure hadden we alles binnen een week op orde.”

– IT-manager, logistiek bedrijf

“Als zorginstelling moesten we aantonen dat patiëntgegevens goed beveiligd zijn én voldoen aan NIS2. Dankzij SpySecure hadden we snel de juiste beveiligingsmaatregelen en duidelijke rapportage richting onze auditor.”

– Directeur, zorginstelling

“Voor een groot nieuwbouwproject eist onze klant aantoonbare beveiliging en NIS2-compliance. Dit is nu zelfs contractueel vastgelegd. Met SpySecure hadden we snel inzicht én een oplossing waarmee we direct konden starten.”

– Projectmanager, bouwbedrijf

Onze Managed Cybersecurity oplossing

Wat is het NIS2 Quality Mark?

Het NIS2 Quality Mark is een Europees keurmerk dat organisaties helpt aantonen dat zij voldoen aan de belangrijkste eisen van de NIS2-richtlijn. Het is ontwikkeld door DigiTrust en de Stichting Kwaliteitsinnovatie om bedrijven te ondersteunen bij het verbeteren van hun digitale weerbaarheid en het versterken van vertrouwen binnen de keten.

Het keurmerk bestaat uit drie niveaus van volwassenheid:

QM10 – Basic: voor organisaties met een laag risicoprofiel of beperkte digitale afhankelijkheid.
QM20 – Substantial: voor bedrijven die gevoelige gegevens verwerken of onderdeel zijn van kritische ketens.
QM30 – High: voor organisaties met een vitale of bedrijfskritische rol in de keten.

Met het NIS2 Quality Mark toont u aan dat uw organisatie cybersecurity serieus neemt en voldoet aan Europese richtlijnen — een belangrijk signaal richting klanten, partners en toezichthouders.

Behaal het NIS2 keurmerk

NIS2-compliance zonder gedoe

Vergelijk zelf: de traditionele aanpak versus onze alles-in-één oplossing.

Zonder SpySecure

❌ Onduidelijkheid over verplichtingen en prioriteiten
❌ Losse tools en diensten die niet op elkaar aansluiten
❌ Geen duidelijk inzicht of aantoonbare rapportage
❌ Stress en tijdsdruk bij audits en klantverzoeken
❌ Hoge kosten door versnipperde oplossingen

Met SpySecure

✅ Duidelijke uitleg van verplichtingen en stappen
✅ Alles-in-één beveiligings- en compliancepakket
✅ Realtime inzicht en heldere rapportages
✅ Ondersteuning voor audits en aantoonbaarheid
✅ Flexibel en betaalbaar, afgestemd op uw organisatie

Network and Information Security Directive (NIS2-richtlijn)

Wat is NIS2?