NIS2: Paniekzaaierij? Waarom jij misschien niets hoeft te doen

De term NIS2 zingt inmiddels rond als een digitale boeman. Nieuwsartikelen, webinars, consultancybureaus en IT-beveiligingsbedrijven benadrukken de urgentie: “Ben jij al NIS2-compliant?” vaak gevolgd door een checklist, audit, of prijskaartje. Maar is die angst wel terecht? Belangrijker nog: geldt NIS2 überhaupt voor jouw bedrijf?

In dit blog ontrafelen we de hype rondom NIS2, zetten we de feiten op een rij, en leggen we uit waarom sommige organisaties hier (voorlopig) helemaal niets mee hoeven.

Wat is NIS2?
NIS2 is de opvolger van de Europese NIS-richtlijn (Netwerk- en Informatiebeveiliging), bedoeld om de digitale weerbaarheid van Europa te versterken. De richtlijn verplicht sectoren die essentieel zijn voor de samenleving zoals energie, zorg, vervoer, drinkwatervoorziening en digitale infrastructuur om maatregelen te treffen tegen cyberdreigingen.

NIS2 breidt de scope van de oorspronkelijke richtlijn uit, stelt strengere eisen, en scherpt de handhaving aan. Organisaties die onder de richtlijn vallen, moeten aantoonbaar werk maken van risicobeoordelingen, incidentrespons, supply chain-beveiliging en meer.

Maar… Geldt NIS2 Voor Jouw Bedrijf?
De kernvraag is niet wat NIS2 inhoudt, maar voor wie het geldt.

NIS2 is van toepassing op:

  • Essentiële entiteiten, zoals nutsbedrijven, ziekenhuizen, cloudproviders en financiële instellingen.
  • Belangrijke entiteiten, zoals IT-dienstverleners, post- en koeriersdiensten, fabrikanten van kritieke producten en digitale marktplaatsen.
  • Maar let op: er gelden drempelwaarden. In veel gevallen moet een organisatie minimaal 50 werknemers hebben of meer dan 10 miljoen euro omzet/dagelijkse balans.

Daarmee vallen duizenden mkb-bedrijven, freelancers, softwarestudio’s en creatieve bureaus buiten de boot.

Een voorbeeld
Stel: je bent een klein softwarebedrijf dat boekhoudkoppelingen bouwt voor specifieke klanten, draait op < 10 mensen en verwerkt geen kritieke nationale infrastructuur — dan ben je waarschijnlijk helemaal geen doelgroep van NIS2.

Waarom toch die paniek?
Consultancybureaus en securityleveranciers hebben er belang bij dat je nú in actie komt. Ze verdienen immers aan audits, tooling, awareness-trainingen en “compliance readiness”-trajecten. Dit leidt tot:

  • Misleidende headlines, zoals “Alle bedrijven moeten voldoen aan NIS2!”
  • Veralgemenisering: één IT-dienstverlener is de andere niet.
  • Overmatige zorgplicht: uit angst voor boetes nemen bedrijven maatregelen die ze wettelijk niet hoeven te nemen.

Zeker in de IT-sector zijn er grijze gebieden. Een softwareleverancier die diensten aan een ziekenhuis levert, kan indirect onder de verplichtingen vallen, maar dat wil niet zeggen dat álle IT-bedrijven preventief moeten reageren.

Wat jij zou moeten doen
Check of je onder de richtlijn valt
Gebruik officiële overheidsinformatie (bijv. via het Digital Trust Center of NCSC). Kijk naar je sector, omvang en type dienstverlening.

Heb je een klant in een risicosector?
Dan kan het zinvol zijn om interne securityprocessen op orde te hebben, maar dat betekent nog niet dat NIS2 op jou van toepassing is.

Laat je niet bang maken
Voor veel bedrijven geldt: goed beveiligingsbeleid is sowieso verstandig, maar de juridische verplichting om NIS2-compliant te zijn ontbreekt.

Tot slot
NIS2 is belangrijk voor de digitale veiligheid van Europa, en voor bedrijven in kritieke sectoren. Maar voor het overgrote deel van het mkb, en zeker voor kleinere (software)bedrijven is het op dit moment vooral een ver van je bed-show.

Laat je niet opjutten door paniekverhalen en dure audits. Ga uit van je échte verplichtingen, niet van wat de markt je probeert aan te praten.

Kortom: NIS2? Check het even. Maar als je buiten de scope valt, mag je dit hoofdstuk voorlopig met een gerust hart overslaan.

Welkom!

Meld je aan op onze maandelijkse nieuwsbrief en ontvang als 0 anderen, tips nieuws en acties!

We beloven je niet te zullen spammen!

Scroll naar boven