Vallen wij onder NIS2? Zo bepaalt u het
NIS2 wordt in Nederland omgezet via de Cyberbeveiligingswet (Cbw), op 15 april 2026 aangenomen door de Tweede Kamer. De wet is nog niet in werking; inwerkingtreding wordt verwacht rond 1 juli 2026, na goedkeuring door de Eerste Kamer. Veel bedrijven twijfelen of ze eronder vallen. Hier is een praktische uitleg.
Wie valt er direct onder?
Doorgaans gelden twee voorwaarden tegelijk: u bent actief in een aangewezen sector en u haalt de groottedrempel.
- Sectoren: energie, transport, bank, financiele infrastructuur, gezondheid, drinkwater, afvalwater, digitale infrastructuur, ICT-servicebeheer (B2B), openbaar bestuur, ruimtevaart, plus post, afval, chemie, levensmiddelen, productie, digitale aanbieders en onderzoek.
- Grootte: als hoofdregel middelgrote en grote ondernemingen, dat wil zeggen ten minste 50 medewerkers of ten minste 10 miljoen EUR omzet.
Essentiele of belangrijke entiteit?
Essentiele entiteiten (grotere bedrijven in de meest kritieke sectoren) staan onder proactief toezicht. Belangrijke entiteiten onder reactief toezicht. Beide moeten dezelfde basisbeveiligingsmaatregelen naleven.
De keten trekt ook kleinere bedrijven mee
Ook als u zelf onder de drempel valt, wordt u indirect geraakt: entiteiten die eronder vallen moeten beveiligingseisen aan hun leveranciers stellen. In de praktijk betekent dat contractclausules, beveiligingsvragenlijsten en bewijs, ongeacht uw eigen omvang.
Wat u nu moet doen
Breng in kaart of u direct onder de wet valt, verhelder de classificatie, en bouw een basisbewijsdossier dat standhoudt bij toezicht en klantcontroles. Een antwoord zonder documentatie is in de praktijk niet aantoonbaar.
Zo helpt PowerQuant
- Doe de gratis scopecheck van 2 minuten en zie of en hoe u eronder valt.
- Quick Scan (vaste prijs): een ondertekend readinessrapport dat u aan klant en auditor kunt tonen.
Veelgestelde vragen
Geldt NIS2 alleen voor IT-bedrijven? Nee. De sectorlijst is breed en omvat onder meer productie, levensmiddelen en afval. Ook bedrijven buiten de lijst worden vaak via de keten geraakt.
Is de Nederlandse wet al in werking? Nog niet. De Cyberbeveiligingswet is op 15 april 2026 door de Tweede Kamer aangenomen; inwerkingtreding wordt verwacht rond 1 juli 2026.
Indicatief overzicht, geen juridisch advies. Geverifieerd aan Richtlijn (EU) 2022/2555 en de stand van de Nederlandse omzetting per 1 juli 2026.