Val ik onder NIS2? Zo bepaalt u of uw organisatie een essentiële of belangrijke entiteit is
Gepubliceerd op 11 juli 2026
Op 15 augustus 2026 treedt de Cyberbeveiligingswet in werking, de Nederlandse uitwerking van NIS2. Meer dan 8.000 organisaties vallen eronder, en een flink deel daarvan weet dat nog niet. Tegelijk lopen er organisaties rond die zich onnodig zorgen maken, of die zich door een verkoper hebben laten vertellen dat ze "NIS2-plichtig" zijn terwijl dat helemaal niet vaststaat.
De vraag "val ik eronder?" is voor de meeste organisaties in tien minuten te beantwoorden. Dit artikel loopt de criteria langs, in de volgorde waarin u ze zelf kunt afvinken.
Stap 1: zit uw hoofdactiviteit in een van de 18 sectoren?
De wet werkt met twee sectorlijsten, overgenomen uit de Europese NIS2-richtlijn.
Zeer kritieke sectoren (bijlage I): energie, transport, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur (waaronder datacenters, cloud, DNS), beheer van ICT-diensten (B2B, zoals managed service providers), overheid en ruimtevaart.
Overige kritieke sectoren (bijlage II): post- en koeriersdiensten, afvalstoffenbeheer, chemie, levensmiddelen, vervaardiging van onder meer medische hulpmiddelen, elektronica, machines en voertuigen, digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerken) en onderzoek.
Let op de formulering "hoofdactiviteit". Een softwarebedrijf dat toevallig een ziekenhuis als klant heeft, zit daarmee niet in de sector gezondheidszorg. Maar een managed service provider valt als beheerder van ICT-diensten wél rechtstreeks onder bijlage I, iets wat veel IT-dienstverleners in het MKB nog niet scherp hebben.
Stap 2: haalt u de omvangsdrempel?
Binnen die sectoren geldt de wet in beginsel voor middelgrote en grote organisaties:
| Omvang | Criteria | Positie |
|---|---|---|
| Groot | 250 of meer medewerkers, of meer dan 50 miljoen euro omzet | Essentiële entiteit (in bijlage I-sectoren) |
| Middelgroot | 50 tot 250 medewerkers, of 10 tot 50 miljoen euro omzet | Belangrijke entiteit |
| Klein en micro | Minder dan 50 medewerkers én minder dan 10 miljoen euro omzet | Buiten de wet, behoudens uitzonderingen |
Vuistregel: grote organisaties in de zeer kritieke sectoren zijn essentieel, de rest van de organisaties binnen de scope is belangrijk. De verplichtingen zijn identiek; het verschil zit in het toezicht. Essentiële entiteiten krijgen proactief toezicht en hogere maximumboetes, belangrijke entiteiten worden achteraf gecontroleerd, bijvoorbeeld na een incident of signaal.
Stap 3: check de uitzonderingen
Voor een aantal categorieën geldt de wet ongeacht omvang. De belangrijkste: DNS-dienstverleners, registers voor topleveldomeinen, aanbieders van (gekwalificeerde) vertrouwensdiensten en delen van de overheid, waaronder de rijksoverheid, provincies, gemeenten en waterschappen. Ook een kleine organisatie die als enige aanbieder van een kritieke dienst in Nederland optreedt, kan worden aangewezen.
Voor publieke bestuurders is er nog een reden om scherp te kijken: de wet regelt bestuurlijke verantwoordelijkheid expliciet. Wat dat wel en niet betekent, leest u in NIS2 en hoofdelijke aansprakelijkheid voor publieke bestuurders, en het praktische vervolg in het NIS2-stappenplan voor overheidsbesturen.
Twijfelt u na deze drie stappen nog? De rijksoverheid biedt een officiële zelfevaluatie (te vinden via regelhulpenvoorbedrijven.nl) die per situatie uitsluitsel geeft. Dat resultaat is bovendien een nuttig document voor uw dossier: ook "wij vallen er niet onder, en zo hebben we dat vastgesteld" is iets dat u wilt kunnen laten zien.
Buiten de scope is niet buiten schot
De meest onderschatte uitkomst van de zelfcheck is deze: u valt formeel buiten de wet, maar uw grootste klanten vallen er wél onder. Die 8.000 organisaties zijn verplicht de risico's in hun toeleveringsketen te beheersen, en dat merkt u als leverancier in de vorm van vragenlijsten, contracteisen en audits. Wat die ketenzorgplicht voor u als leverancier betekent en hoe u zo'n leveranciersvragenlijst goed beantwoordt, beschreven we eerder.
In de praktijk is de druk uit de keten voor het MKB vaak eerder voelbaar dan de wet zelf: de toezichthouder klopt misschien nooit aan, uw grootste klant wel.
U valt eronder. Wat nu?
Vier zaken, in deze volgorde:
- Registreer uw organisatie in het entiteitenregister via mijn.ncsc.nl. Dit is de laagdrempeligste verplichting en de eerste die zichtbaar is voor de toezichthouder.
- Breng uw risico's in kaart. De zorgplicht begint bij weten wat u heeft en waar u kwetsbaar bent, inclusief wat er van buitenaf zichtbaar is. Begin bij wat een aanvaller van uw domein ziet.
- Richt uw meldproces in. Significante incidenten moeten binnen 24 uur vroegtijdig gemeld worden. Dat haalt u alleen met een geoefend proces en afspraken met uw leveranciers.
- Maak het aantoonbaar en bestuurlijk. Het bestuur keurt de maatregelen goed en ziet erop toe. Zorg dat er gedateerd bewijs ligt van wat u doet, want een maatregel die u niet kunt aantonen telt niet.
Conclusie
Of u onder NIS2 valt is geen kwestie van gevoel of van wat een leverancier beweert, maar van twee toetsbare criteria: sector en omvang, plus een korte lijst uitzonderingen. Doe de check, leg de uitkomst vast, en onthoud dat ook een "nee" u niet ontslaat van de praktijk: de keten stelt dezelfde vragen als de wet.
Exposentry helpt bij de stappen die daarna komen: doorlopend zicht op uw externe aanvalsoppervlak en forensisch onderbouwde rapportages waarmee u uw zorgplicht richting toezichthouder én klanten aantoont. Geen compliance-garantie, wel een aantoonbare bouwsteen. Start met een nulmeting of bekijk de pakketten.
Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert EU-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.