Disclaimer: Dit artikel is praktische guidance en geen juridisch advies. NIS2 is een richtlijn die via nationale wetgeving wordt geïmplementeerd, waardoor details per land kunnen verschillen.
Voor veel organisaties beginnen NIS2–beslissingen met aannames:
“Wij zijn te klein.”
“Wij zijn geen kritieke infrastructuur.”
“Geen enkele autoriteit heeft contact met ons opgenomen.”
Die aannames worden snel op de proef gesteld — zodra een klant om NIS2-alignment vraagt, inkoop om bewijs verzoekt, of het management risico’s moet goedkeuren zonder een helder overzicht.
Dit artikel biedt een begrijpelijke scopecheck in gewone mensentaal om tot een richtinggevend antwoord te komen en de stap te zetten van onzekerheid naar een evidence-ready plan — zonder onnodige overengineering.
“NIS2 is meestal van toepassing als je actief bent in een sector die onder Annex I of II valt, voldoet aan de gebruikelijke ‘middelgrote’ drempels of onderdeel bent van een grotere groep, én onder de jurisdictie van een lidstaat valt op basis van vestiging of de wijze waarop diensten worden geleverd. Zelfs als je juridisch buiten scope valt, ervaren veel mkb-organisaties alsnog NIS2-druk via ketenverantwoordelijkheid — klanten vragen om NIS2-achtig bewijs vóórdat contracten worden getekend.”
TL;DR
- NIS2 is een EU-richtlijn die via nationale wetgeving wordt geïmplementeerd; lidstaten moesten deze uiterlijk 17 oktober 2024 omzetten (met praktische verschillen per land).
- De scope wordt meestal bepaald door: sector → omvang/structuur → jurisdictie.
- “Buiten scope” betekent niet “geen impact” — leveranciersbeoordelingen vragen vaak om NIS2-achtig bewijs.
- Is je scope onduidelijk? Streef naar een verdedigbare positie: documenteer je redenering en bereid proportioneel bewijs voor.
- Met een 30-dagenplan ga je van “Is dit op ons van toepassing?” naar “Wij kunnen aantoonbaar laten zien dat we in control zijn.”
Wat is de NIS2-richtlijn?
NIS2 (Richtlijn (EU) 2022/2555) actualiseert het Europese cybersecurity-basisniveau voor organisaties die diensten leveren die cruciaal zijn voor economie en samenleving. De richtlijn vergroot de scope, verduidelijkt verantwoordelijkheden en verhoogt de verwachtingen rond risicomanagement, incidentgereedheid en governance.
Belangrijk: omdat NIS2 een richtlijn is, wordt deze per lidstaat via nationale wetgeving geïmplementeerd — waardoor registratieprocessen, toezichthouders en handhaving per land kunnen verschillen.
Op wie is NIS2 van toepassing? De 3-stappen-scope-logica
Sectorcheck: Annex I versus Annex II
NIS2 start met een sectorindeling zoals vastgelegd in Annex I (sectoren met hoge kritikaliteit) en Annex II (andere kritieke sectoren).
- Annex I (vaak “Essentiële Entiteiten”) omvat onder andere sectoren zoals energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheid en ruimtevaart (exacte definities zijn bepalend).
- Annex II (vaak “Belangrijke Entiteiten”) omvat onder andere post- en koeriersdiensten, afvalbeheer, chemie, voedsel, productie van kritieke producten en bepaalde digitale- en dienstencategorieën.
Omvang- en structuurcheck: entiteit vs. groep vs. dochtermaatschappij
Als vuistregel richt NIS2 zich vooral op middelgrote en grote organisaties — maar ‘omvang’ wordt niet altijd geïsoleerd beoordeeld. Afhankelijk van hoe diensten worden geleverd, spelen in scopediscussies vaak mee:
- de individuele juridische entiteit,
- de concernstructuur, en/of
- een dochtermaatschappij die daadwerkelijk de onder de richtlijn vallende dienst levert.
Jurisdictiecheck: waar en hoe je opereert
De NIS2-jurisdictie hangt af van vestiging en nationale implementatie. Daarnaast kunnen bepaalde in-scope entiteiten die niet in de EU zijn gevestigd verplicht zijn een EU-vertegenwoordiger aan te wijzen (Artikel 26), wat eveneens de jurisdictie bepaalt.
Praktische takeaway: vermijd simplistische redeneringen zoals “we hebben EU-klanten, dus NIS2 is van toepassing”. Bevestig in plaats daarvan:
- welk entiteitstype je bent (volgens de Annex-definities),
- waar je bent gevestigd / hoe diensten worden geleverd, en
- welke nationale wetgeving van welke lidstaat op jouw situatie van toepassing is.
Een scopecheck van 2 minuten (richtinggevend, geen juridisch advies)
Gebruik deze snelle check om tot één van vier uitkomsten te komen: waarschijnlijk in scope, onduidelijk, waarschijnlijk buiten scope maar met druk, of waarschijnlijk buiten scope (monitoren).
| Snelle vraag | Ja | Nee | Niet zeker | What This Usually Means | Volgende stap |
|---|---|---|---|---|---|
| Opereren wij in een sector die voorkomt in Annex I of II van NIS2 (of opereren onze klanten daarin)? | ⬜ | ⬜ | ⬜ | Sector is een sterk scopesignaal | Breng je diensten in kaart t.o.v. Annex-definities + nationale wetgeving |
| Zijn wij doorgaans ‘middelgroot’ of groter (of onderdeel van een groep die dat is)? | ⬜ | ⬜ | ⬜ | Omvang of groepsstructuur kan NIS2 activeren | Check groepsstructuur + welke entiteit de dienst daadwerkelijk levert |
| Zijn wij gevestigd in een EU-lidstaat (of anderszins onder EU-jurisdictie voor in-scope diensten)? | ⬜ | ⬜ | ⬜ | Jurisdictie bepaalt toezicht en registratie | Identificeer relevante lidstaat/lidstaten en bevestig lokale autoriteit/proces |
| Zou een cyberincident bij ons klanten of kritieke diensten significant verstoren? | ⬜ | ⬜ | ⬜ | Kritikaliteit verhoogt verwachtingen en toezicht | Analyseer business impact en afhankelijkheden; documenteer de onderbouwing |
| Vragen klanten al naar NIS2, security questionnaires, incidentrapportage of bewijs? | ⬜ | ⬜ | ⬜ | Ook commercieel impactvol, zelfs buiten scope | Bereid een proportioneel evidence-pakket voor om dealfrictie te verminderen |
*Meestal “Ja” → Waarschijnlijk in scope (Essentieel of Belangrijk)
Mix van “Ja” en “Niet zeker” → Scope onduidelijk
Meestal “Nee”, maar klantdruk = Ja → Juridisch buiten scope, maar alignment verwacht
Alles “Nee” → Voorlopig buiten scope, wel monitoren
Wat gebeurt er als je in scope bent?
Als je organisatie onder NIS2 valt, draait het niet om perfectie, maar om beheersing, verantwoordelijkheid en bewijs. Toezichthouders kijken naar hoe beslissingen worden genomen, belegd en aantoonbaar gemaakt.
In de praktijk wordt verwacht dat je kunt aantonen dat je:
- Je meest kritieke systemen en diensten kent: je kunt helder uitleggen wat eerst beschermd moet worden — en waarom.
- Cyberrisico’s actief beheert: risico’s worden gestructureerd beoordeeld, geprioriteerd en aangepakt, niet ad-hoc.
- Incidenten kunt detecteren en afhandelen: processen zijn vastgelegd om ernstige incidenten te herkennen, in te dammen en te escaleren.
- Incidenten binnen de vereiste termijnen rapporteert: rollen, verantwoordelijkheden en besluitlijnen zijn vooraf bepaald.
- Leveranciers- en derde-partijrisico beheerst: je weet welke leveranciers kritisch zijn, wat je van hen verwacht en hoe je dat controleert.
- Bestuurlijke betrokkenheid en accountability hebt: cybersecuritybeslissingen zijn zichtbaar op managementniveau, met vastgelegde eigenaarschap en goedkeuring.
Net zo belangrijk als de maatregelen zelf is bewijs. Autoriteiten en klanten verwachten dat je kunt laten zien hóe je hieraan voldoet — via beleid, besluitvorming, documentatie en duidelijke verantwoordelijkheden.
Het niet voldoen kan leiden tot handhaving en boetes (tot €10 miljoen / 2% van de wereldwijde omzet voor Essentiële Entiteiten en €7 miljoen / 1,4% voor Belangrijke Entiteiten). In de praktijk is het grootste risico echter dat je niet kunt aantonen dat je in control bent wanneer daarom wordt gevraagd — door toezichthouders, klanten of je eigen bestuur.
Wil je een praktisch overzicht van hoe NIS2-readiness er in de praktijk uitziet? Onze gids NIS2 Compliance Readiness voor EU-mkb: Praktische gids + checklist licht de vervolgstappen uitgebreid toe.
Buiten scope — waarom klanten toch NIS2-achtig bewijs vragen
Buiten scope zijn betekent niet dat NIS2 geen impact heeft. In-scope organisaties moeten hun ketenrisico’s beheersen en vragen daarom steeds vaker leveranciers en dienstverleners om security-bewijs.
Daarom zien organisaties buiten scope vaak:
- Security questionnaires van leveranciers met verwijzingen naar NIS2
- Verzoeken om bewijs van incidentrespons en risicomanagement
- Contractclausules met “NIS2-niveau” beveiligingseisen
- Strengere inkoop- en onboardingchecks
Voor directieteams gaat het hierbij niet om compliance, maar om commerciële geloofwaardigheid. Zonder helder en proportioneel bewijs vertraagt sales, lopen verlengingen vast en moeten interne teams improviseren.
Van scope naar readiness: een praktisch 30-dagenplan
Zodra de scope duidelijker is, verschuift de vraag snel van “Is dit op ons van toepassing?” naar “Wat moeten we concreet doen — en hoe snel?”. Het doel van de eerste 30 dagen is richting en controle, niet volledige compliance.
Week 1: Scope bevestigen en vastleggen
- Valideer sector, omvang, structuur en EU-aanwezigheid
- Identificeer welke entiteiten en diensten in scope zijn
- Documenteer de onderbouwing van je scopebesluit
Week 2: Security-baseline vaststellen
- Identificeer kritieke systemen en afhankelijkheden
- Beoordeel bestaand beleid, controls en incidentprocessen
- Benoem gaps t.o.v. NIS2-verwachtingen — zonder overdetail
Week 3–4: Voorbereiden op bewijs en governance
- Beleg duidelijke verantwoordelijkheid op managementniveau
- Werk kerndocumentatie uit of verfijn deze (risico, incidenten, leveranciers)
- Bepaal welke gaps intern worden opgepakt en waar ondersteuning nodig is
Na 30 dagen moeten organisaties hun NIS2-positie zelfverzekerd kunnen toelichten, vragen van klanten of toezichthouders met bewijs kunnen beantwoorden en vervolgstappen risicogedreven kunnen prioriteren.
NIS2-scope: waar organisaties vaak de fout in gaan
“Wij zijn te klein.”
Omvang speelt mee, maar is niet de enige factor. Groepsstructuur, kritieke diensten en leveranciersrollen kunnen kleinere organisaties alsnog in scope brengen — of onder verhoogde klantdruk plaatsen.
“Wij zijn alleen leverancier, dus NIS2 geldt niet.”
Ook zonder directe verplichting moeten in-scope organisaties hun ketenrisico beheren. Leveranciers worden daarom vaak geacht aan NIS2-achtige eisen te voldoen.
“Geen autoriteit heeft contact opgenomen, dus het zit goed.”
NIS2 is gebaseerd op zelfbeoordeling. Organisaties moeten hun positie proactief bepalen en registreren — niet afwachten.
“ISO 27001 of AVG is al geregeld.”
Bestaande frameworks helpen, maar voldoen niet automatisch aan NIS2. Scope, meldtermijnen, governance en accountability moeten expliciet worden beoordeeld.
Elke van deze aannames kan actie vertragen of schijnzekerheid creëren. Een gestructureerde scopecheck vervangt meningen door verdedigbare onderbouwing — precies wat toezichthouders, klanten en bestuur verwachten.
Wil je een helder en verdedigbaar antwoord (zonder overengineering)?
Sunbytes Cyber Compliance Readiness helpt je van onzekerheid naar duidelijkheid — en van duidelijkheid naar bewijs.
Scopebevestiging + Mini Gap Scan omvat:
- Annex-mapping workshop (sector- en diensttype-signalen)
- Checklist voor omvang en groepsstructuur
- Conclusie: “waarschijnlijk in scope / onduidelijk / buiten scope maar onder druk” + onderbouwing
- Startopzet voor evidence (wat je als volgende moet voorbereiden)
Praktische vervolgstap: vraag een scopebevestiging en mini gap scan aan.
FAQs
Soms. “SaaS” op zichzelf is geen betrouwbaar scopelabel. De scope hangt af van de Annex-definities, je omvang/groepsstructuur en nationale implementatie.
Voor bepaalde in-scope entiteiten die diensten in de EU aanbieden, kan NIS2 vereisen dat een EU-vertegenwoordiger wordt aangewezen en kan zo jurisdictie ontstaan (Artikel 26).
Dit komt steeds vaker voor. In-scope organisaties moeten ketenrisico beheren, waardoor leveranciers NIS2-aligned cybersecurity moeten aantonen. Juridisch geen verplichting, maar commercieel vaak onvermijdelijk — vooral bij aanbestedingen, verlengingen en audits.
Laten we beginnen met Sunbytes
Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.
