Skip to content
  • Home
  • Blogs
  • Security
  • Niet zeker of NIS2 op jou van toepassing is? Begin toch maar vast

tl;dr:
Niemand is volledig klaar voor NIS2 – en dat is oké. Maar afwachten is geen optie. Begin nu met een zelfevaluatie, onderzoek of je onder de richtlijn valt en start met het verzamelen van essentiële informatie. Ook als je (nog) niet plichtig bent, is het slim om je leveranciersketen in kaart te brengen. Werk stapsgewijs toe naar kwaliteitslabels als QM10, QM20 of QM30, betrek je leveranciers en blijf continu verbeteren. Security is nooit af – maar elke stap vooruit telt.

Als je je afvraagt of jouw organisatie klaar is voor NIS2, dan ben je niet de enige. Niemand is op dit moment volledig voorbereid. En dat is begrijpelijk. De impact van de NIS2-richtlijn is groot, de stappen zijn niet altijd even duidelijk en het kost tijd om grip te krijgen op je hele leveranciersketen.

Toch is er één duidelijke boodschap die boven alles uitsteekt: begin nu. Of je nu wel of niet zeker weet of de wet op jou van toepassing is.

Geschreven door: Jacco Wildeman

Stap 1: Breng in kaart waar je staat

Begin met een zelfevaluatie. Op de officiële website van de NCSC kun je checken of jouw organisatie onder de NIS2-richtlijn valt. En zo ja: val je dan onder de ‘essentiële’ of ‘belangrijke’ categorie? Met een aantal gerichte stappen kun je vrij snel bepalen of je NIS2-plichtig bent. Is dat niet het geval, dan kun je de verdere verplichtingen voorlopig loslaten – tenzij je leverancier dat van je gaat vragen. Is dat wél het geval, dan is het tijd om te starten.

NIS2 in één overzicht: wat je moet weten

Stap 2: Registreer, meld en bereid je voor

Ben je NIS2-plichtig? Dan zijn er drie acties die hoe dan ook op je bord komen:

    • Registratieplicht – het NCSC heeft een formulier en uitleg klaarstaan. Loop deze nu alvast door.
    • Meldplicht bij incidenten – ook deze loopt via het NCSC. De vragenlijst is uitgebreid, dus begin nu met het verzamelen van informatie.
    • Inzicht in je leveranciersketen – gebruik het Samen Digitaal Veilig-platform om te inventariseren wie jouw toeleveranciers zijn en welke risico’s daarbij horen.

En, belangrijk: wijs nu al iemand aan die verantwoordelijk wordt voor deze meldingen. Want als er een incident is, wil je snel kunnen schakelen – niet op dat moment nog informatie moeten verzamelen.

Stap 3: Betrek je leveranciers – ook als je zelf (nog) niet plichtig bent

Veel bedrijven zien zichzelf als toeleverancier. Dat betekent dat ook als je niet rechtstreeks onder NIS2 valt, je alsnog in actie moet komen. Begin daarom ook als ‘niet-plichtige’ met het inventariseren van je eigen IT- en inkoopketen. Want ook jouw klanten kunnen eisen gaan stellen.

Voor veel leveranciers gaat dit over maatregelen die tijd kosten. Denk aan het behalen van een kwaliteitslabel zoals het Quality Mark, of het opzetten van betere beveiligingsmaatregelen. Help ze op tijd op weg – hoe verder voorin de keten je begint, hoe beter.

Stap 4: Begin pragmatisch – en schakel hulp in waar nodig

Of je nu met QM10 begint of al ISO 27001 op zak hebt: het Quality Mark geeft houvast. Begin waar het kan, pak op wat je zelf kunt en schakel hulp in bij wat je liever uitbesteedt. Of dat nou consultancy is, hulp bij een incident response plan, of ondersteuning via managed security-diensten – je hoeft het niet alleen te doen.

Het belangrijkste is: stel niet uit. Zelfs het opstarten van een kwaliteitslabel als QM10 of QM20 kost tijd. Heb je al ISO 27001? Dan kun je vaak al sneller door naar QM30 – maar let op: ook daar moet je extra stappen zetten, zeker als er sprake is van OT in jouw organisatie.

Stap 5: Blijf verbeteren – security is nooit af

Zodra je de eerste stappen hebt gezet, begint het echte werk pas. Want informatiebeveiliging is geen project dat je een keer afrondt. Het is een continu proces van evalueren en verbeteren. Begin met QM10, groei door naar QM20 en uiteindelijk naar QM30. En ook als straks in Q3 de wet definitief wordt, betekent dat niet dat er geen aanpassingen meer komen. Flexibiliteit blijft nodig.

Zoals gezegd: stilstand is achteruitgang. Security is een werkwoord. Dus of je nu net begint of al behoorlijk op weg bent – zorg dat je in beweging blijft.

Bekijk ons webinar over NIS2

Feiten en Cijfers

  • Implementatie NIS2-richtlijn in 27 EU-lidstaten
  • 18 sectoren die direct onder NIS2 vallen
  • 10.000 tot 12.000 essentiële en/of belangrijke organisaties in NL
  • 50.000 – 70.000 organisaties in NL die toeleverancier zijn
  • 2 op 3 bedrijven krijgt met een cyberincident te maken
  • 7 betrokken toezichthouders in Nederland
  • 140 branches die direct én indirect met NIS2 te maken krijgen
  • 108.000 bedrijven in Nederland met meer dan 10 medewerkers
  • Gemiddelde schade na een cyberaanval: € 200.000,-
  • 22% verhoging van ICT budget nodig voor NIS2 organisaties
  • 15% verhoging van ICT budget voor mkb-toeleveranciers

Mogelijk ook interessant voor jou…

Niet zeker of NIS2 op jou van toepassing is? Begin toch maar vast

  • Artikel
  • Security
  • mei 29, 2025

Veel organisaties vragen zich af of ze onder NIS2 vallen. Toch is er één ding zeker: wachten is geen optie.

Lees meer

Ben je met ISO of NEN al klaar voor NIS2? Niet helemaal

  • Artikel
  • Security
  • mei 26, 2025

ISO en NEN zijn een stevige basis, maar geen eindstation. NIS2 vraagt om extra stappen.

Lees meer

NIS2 komt eraan – ben jij al begonnen?

  • Artikel
  • Security
  • mei 22, 2025

NIS2 komt eraan en vraagt meer dan alleen papierwerk. In deze blog lees je waarom je nú moet beginnen, hoeveel…

Lees meer

pic

Heb je een vraag?
Onze specialisten staan voor je klaar

Neem contact op