NIS2 compliance voor essentiƫle en belangrijke entiteiten

NIS2 is geen keuze. De vraag is: ben je voorbereid?

De Cyberbeveiligingswet (CBW) is op 15 april 2026 aangenomen door de Tweede Kamer en ligt nu bij de Eerste Kamer. Inwerkingtreding wordt verwacht in Q2 2026. Organisaties in vitale sectoren moeten cybersecurity aantoonbaar op orde hebben. Bestuurders zijn persoonlijk aansprakelijk. Wij helpen je compliant te worden voordat de wet van kracht is.

Gratis orienterend gesprek (30 min)
€10MMax. boete essentieel
2%Wereldwijde omzet boete
18Sectoren onder NIS2
2 dagenQuickscan doorlooptijd

Op 15 april 2026 heeft de Tweede Kamer de Cyberbeveiligingswet aangenomen, samen met de Wet weerbaarheid kritieke entiteiten. De wetten liggen nu bij de Eerste Kamer. Inwerkingtreding wordt verwacht in Q2 2026. Organisaties die nu niet voorbereid zijn, moeten straks onder tijdsdruk implementeren terwijl de boetes al gelden.

Wat is NIS2?

De Europese cybersecuritywet die je niet kunt negeren

De NIS2-richtlijn (EU 2022/2555) verplicht organisaties in essentiele en belangrijke sectoren om cybersecurity structureel te organiseren. In Nederland wordt dit omgezet in de Cyberbeveiligingswet (CBW), die op 15 april 2026 is aangenomen door de Tweede Kamer en nu bij de Eerste Kamer ligt. Niet-naleving leidt tot boetes, bestuurdersaansprakelijkheid en reputatieschade.

Bestuurdersaansprakelijkheid

Bestuurders zijn persoonlijk verantwoordelijk voor cybersecurity. Bij nalatigheid kunnen ze persoonlijk aansprakelijk worden gesteld. Cybersecurity is geen IT-probleem meer, maar een bestuurstaak.

Meldplicht incidenten

Significante incidenten moeten binnen 24 uur gemeld worden bij het CSIRT, gevolgd door een volledige melding binnen 72 uur. Zonder procedures op orde mis je die deadlines.

Ketenverantwoordelijkheid

NIS2 verplicht je om de cybersecurity van je toeleveranciers te beoordelen. Je bent niet alleen verantwoordelijk voor je eigen beveiliging, maar ook voor je keten.

Boetes tot 10 miljoen euro

Essentiele entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde omzet. Belangrijke entiteiten tot 7 miljoen of 1,4%. De toezichthouder kan ook maatregelen opleggen.

Van EU-richtlijn naar Nederlandse wet

De Cyberbeveiligingswet (CBW)

De NIS2-richtlijn (EU 2022/2555) wordt in Nederland omgezet in de Cyberbeveiligingswet. Op 15 april 2026 is wetsvoorstel 36764 aangenomen door de Tweede Kamer. Behandeling in de Eerste Kamer loopt.

Okt 2024
EU-deadline verstreken
De NIS2-richtlijn moest uiterlijk 17 oktober 2024 in nationaal recht zijn omgezet. Nederland heeft deze deadline niet gehaald.
Apr 2025
Hoger onderwijs toegevoegd aan CBW
Minister Bruins (OCW) besluit op 29 april per kamerbrief dat bekostigde hbo- en wo-instellingen onder de Cyberbeveiligingswet vallen. Aanleiding: toename van cyberaanvallen op universiteiten. MBO-instellingen vallen er niet onder.
Jun 2025
Wetsvoorstel ingediend (36764)
De Cyberbeveiligingswet is op 2 juni 2025 ingediend bij de Tweede Kamer. De internetconsultatie leverde 112 reacties op.
Mrt 2026
Commissiebehandeling en amendementen
Op 23 maart debatteerde de Kamercommissie. Op 31 maart zijn amendementen en moties ingediend door o.a. Kathmann (PvdA-GL) over zorgplicht, meldplicht en toezichtbevoegdheden.
Apr 2026
Tweede Kamer neemt CBW en Wwke aan
Op 15 april 2026 stemt de Tweede Kamer in met beide wetsvoorstellen: de Cyberbeveiligingswet (36764) en de Wet weerbaarheid kritieke entiteiten. De wetten liggen nu bij de Eerste Kamer voor behandeling.
Q2 2026
Verwachte inwerkingtreding
Inwerkingtreding wordt verwacht in het tweede kwartaal van 2026, afhankelijk van behandeling in de Eerste Kamer. Onderliggende amvb's en ministeriele regelingen worden parallel voorbereid.

Samen aangenomen: Wet weerbaarheid kritieke entiteiten (Wwke)

De CER-richtlijn (fysieke weerbaarheid) is gelijktijdig met de CBW op 15 april 2026 door de Tweede Kamer aangenomen. Voor organisaties die onder beide wetten vallen, moet zowel digitale als fysieke weerbaarheid aantoonbaar op orde zijn.

Lees meer over de Cyberbeveiligingswet of Doe de NIS2 Checklist (15 min)

Valt jouw organisatie eronder?

18 sectoren, twee categorieen

NIS2 geldt voor organisaties in de volgende sectoren. Twijfel je? Onze quickscan geeft uitsluitsel.

Essentieel (hoge eisen)

Energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur, ICT-dienstverlening (B2B), overheidsdiensten, ruimtevaart, afvalwater, bankwezen, financiele marktinfrastructuur.

Belangrijk (basis eisen)

Post- en koeriersdiensten, afvalbeheer, chemie, voeding, maakindustrie, digitale aanbieders (marktplaatsen, zoekmachines, sociale platforms), onderzoeksorganisaties, bekostigde universiteiten en hogescholen (sinds 29 april 2025 toegevoegd).

Drempelwaarden

Middelgrote organisaties: 50+ medewerkers of 10M+ omzet. Grote organisaties: 250+ medewerkers of 50M+ omzet. Sommige sectoren gelden ongeacht omvang (bijv. DNS, TLD-registrars).

Niet zeker?

De afbakening is complex. Dochterondernemingen, toeleveranciers en ketenpartners kunnen ook onder de scope vallen. Onze quickscan geeft in 2 dagen uitsluitsel.

Onze diensten

Van quickscan tot volledige NIS2 compliance

Weet in 2 dagen of je onder NIS2 valt en waar je staat. Of ga direct voor een volledig compliance traject.

NIS2 Quickscan

€1.000 per dag, max 2 dagen

In 1-2 dagen een rapport van 10-15 pagina's: je risicoprofiel, gap-analyse tegen het CyFun-framework (CCB), en een geprioriteerd actieplan met concrete vervolgstappen.

  • Inventarisatie huidige maatregelen
  • Gap-analyse tegen CyFun-framework (CCB)
  • Prioriteitenlijst met concrete acties
  • Management-rapportage
  • Niet tevreden? Dan betaal je niets.
Quickscan aanvragen

NIS2 Implementatie

Op projectbasis

Volledige NIS2 compliance: risicoanalyse, incidentresponsplan, ketenbeoordelingen, meldprocedures en governance. Alles wat de Cyberbeveiligingswet vereist.

  • Risicoanalyse conform NIS2 Art. 21
  • Incidentrespons- en meldprocedures
  • Ketenrisicobeoordeling leveranciers
  • Business continuity en crisisbeheersing
  • Governance en bestuursverantwoordelijkheid
Offerte aanvragen

NIS2 Compliance Traject

Op projectbasis

Combineer NIS2 compliance met ISO 27001 certificering. De overlap is groot, waardoor je met een traject aan beide vereisten voldoet.

  • NIS2 + ISO 27001 alignment
  • Gecombineerde gap-analyse
  • Implementatie overlappende maatregelen
  • Voorbereiding op certificeringsaudit
  • Doorlopende compliance monitoring
Meer informatie

Waarom NIS2 Consultancy?

Vier redenen om met ons te werken

Pragmatisch

Geen overkill. Maatregelen die passen bij jouw organisatiegrootte en risicoprofiel.

Schaalbaar

Begin klein, groei mee. Van eerste quickscan tot volledige certificering in jouw tempo.

Geen dikke pakken papier

Documentatie die je team begrijpt en daadwerkelijk gebruikt. Kort, helder, werkbaar.

Ervaren

Gespecialiseerd in ISO 27001, NIS2, SOC2 en DORA. Van kleine scale-ups tot grote organisaties in vitale sectoren.

Veelgestelde vragen

Valt mijn organisatie onder NIS2?
Dat hangt af van je sector en omvang. NIS2 geldt voor 18 sectoren, van energie en transport tot ICT-dienstverlening en maakindustrie. De drempel is 50+ medewerkers of 10M+ omzet, maar sommige sectoren gelden ongeacht omvang. Onze quickscan geeft in 2 dagen uitsluitsel.
Vallen universiteiten en hogescholen onder NIS2?
Ja. Op 29 april 2025 heeft minister Bruins (OCW) per kamerbrief besloten dat bekostigde hbo- en wo-instellingen onder de Cyberbeveiligingswet vallen. De EU-richtlijn biedt lidstaten de keuze om onderwijs wel of niet op te nemen; Nederland heeft hiervoor gekozen vanwege het toenemende aantal cyberaanvallen op universiteiten (ransomware, bedrijfsspionage en statelijke actoren gericht op onderzoek). MBO-instellingen vallen er (nog) niet onder. Universiteiten van Nederland (UNL) en de Vereniging Hogescholen hebben bezwaar aangetekend vanwege het ontbreken van compensatie en de korte voorbereidingstijd.
Wat zijn de boetes bij niet-naleving?
Essentiele entiteiten: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Belangrijke entiteiten: tot 7 miljoen of 1,4%. Daarnaast kan de toezichthouder maatregelen opleggen en zijn bestuurders persoonlijk aansprakelijk bij nalatigheid.
Wat is het verschil tussen NIS2 en ISO 27001?
NIS2 is wetgeving, ISO 27001 is een certificeringsnorm. De overlap is circa 70%. Het verschil zit in NIS2-specifieke eisen zoals incidentmelding binnen 24 uur, ketenverantwoordelijkheid en bestuurdersaansprakelijkheid. Wij combineren beide in een traject.
Wanneer moet ik compliant zijn?
De EU-deadline was 17 oktober 2024 - die is al verstreken. Op 15 april 2026 heeft de Tweede Kamer de Cyberbeveiligingswet (wetsvoorstel 36764) aangenomen, samen met de Wet weerbaarheid kritieke entiteiten. De wetten liggen nu bij de Eerste Kamer. Inwerkingtreding wordt verwacht in het tweede kwartaal van 2026. Organisaties die nu starten, hoeven straks niet onder tijdsdruk te implementeren.
Kunnen we NIS2 en ISO 27001 combineren?
Ja, en dat raden we aan. De overlap is groot. Met een gecombineerd traject voldoe je aan NIS2 en heb je tegelijk een certificeerbaar ISMS. Bespaart tijd, geld en dubbel werk.
Wat kost een NIS2 compliance traject?
Een quickscan (1-2 dagen, max 2.000 euro) geeft een helder beeld. Op basis daarvan maken we een projectvoorstel met vaste prijs. Heb je al een ISO 27001 ISMS? Dan is het traject aanzienlijk korter.
Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet (CBW) is de Nederlandse omzetting van de Europese NIS2-richtlijn. Het wetsvoorstel (36764) is op 2 juni 2025 ingediend bij de Tweede Kamer, in maart 2026 zijn amendementen en moties behandeld, en op 15 april 2026 is het wetsvoorstel aangenomen. De wet ligt nu bij de Eerste Kamer. Inwerkingtreding wordt verwacht in Q2 2026. De CBW vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni).
Kunnen jullie NIS2-compliance toetsen met een audit?
Ja. Onze quickscan is een formele audit tegen de NIS2-vereisten op basis van het CyFun-framework. We toetsen de technische, organisatorische en governance-maatregelen tegen de eisen van de Cyberbeveiligingswet. Het resultaat is een auditrapport met gap-analyse, risicoclassificatie en concrete aanbevelingen. Dit is geen certificeringsaudit (dat vereist een geaccrediteerde instelling), maar een professionele compliance-toets die bruikbaar is als voorbereiding op externe audits en interne besluitvorming.
Wie zit er achter NIS2 Consultancy?
NIS2 Consultancy is een handelsnaam van Hollanders Diensten en Consultancy. Wij zijn gespecialiseerd in informatiebeveiliging en governance, met expertise in ISO 27001, NIS2, SOC2 en DORA. Pragmatisch en gericht op werkbare oplossingen die standhouden bij toezicht.

Valt jouw organisatie onder NIS2?

Plan een gratis orienterend gesprek van 30 minuten. We bespreken je situatie en geven direct een eerste indruk van waar de prioriteiten liggen. Geen verplichtingen.

Gratis gesprek plannen

Wij nemen maximaal 4 quickscans per maand aan, zodat elk traject de aandacht krijgt die het verdient.

Neem contact op

Binnen 24 uur reactie. Altijd persoonlijk.

Plan direct

Kies zelf een moment. 30 min, online.

Afspraak inplannen

Mail ons

We reageren dezelfde werkdag.

info@nis2-consultancy.nl

Bel direct

Ma-vr, 08:00-17:00

+31 43 20 41 572