Cyberaanvallen worden steeds geavanceerder en gerichter. Niet alleen grote organisaties, maar ook middelgrote bedrijven, mkb’ers en hun ketenpartners worden steeds vaker geconfronteerd met digitale dreigingen. Staten en criminele groeperingen richten zich nadrukkelijk op supply chains, kritieke dienstverlening en organisaties van uiteenlopende omvang en sectoren. Dit brengt grote risico’s met zich mee voor data, bedrijfsvoering, continuïteit en reputatie van individuele bedrijven.
Wat is NIS2?
Om deze dreigingen het hoofd te bieden, heeft de Europese Unie de NIS2-richtlijn ingevoerd. Deze wetgeving verplicht lidstaten om digitale weerbaarheid structureel te verhogen en risico’s binnen ketens beter te beheersen. NIS2 is daarmee niet alleen een juridische verplichting, maar vooral een noodzakelijke stap richting een veiliger en veerkrachtiger digitaal ecosysteem
Met NIS2 verplicht de Europese Unie organisaties om bewuster, structureler en aantoonbaar met cybersecurity om te gaan. Het gaat hierbij niet alleen om techniek, maar juist ook om governance, verantwoordelijkheid en voorbereiding. Digitale veiligheid wordt daarmee een organisatiebreed en bestuurlijk onderwerp.
Voor wie geldt NIS2? Drie categorieën
NIS2 geldt direct voor organisaties die vanwege hun omvang, rol of maatschappelijke impact als essentieel of belangrijk worden aangemerkt. Dit zijn organisaties in verschillende sectoren, zoals zorg, energie, voedselketens, financiële en juridische dienstverlening, industrie en digitale infrastructuur.
Maar ook organisaties die niet direct onder de wet vallen, krijgen ermee te maken. Als onderdeel van een keten moeten zij vaak voldoen aan eisen die klanten of partners stellen. Denk aan IT-dienstverleners, softwareleveranciers, logistieke partijen of gespecialiseerde dienstverleners, ongeacht sector of omvang.
Binnen NIS2 wordt gewerkt met drie niveaus van verplichtingen, in de praktijk ook aangeduid met de Quality Marks QM-30, QM-20 en QM-10.
NIS2 entiteit (QM-30)
Organisaties waarop de NIS2 van toepassing is zijn organisaties met een hoge maatschappelijke impact. Deze organisaties vallen direct onder de NIS2-wetgeving en krijgen te maken met de NIS2 verplichtingen.
Het gaat hier om (middel)grote bedrijven in Nederland met >50 medewerkers of een jaaromzet en balanstotaal van >€10m in onder andere de volgende sectoren:
Naast omvang en sector houdt NIS2 ook rekening met de feitelijke rol van een organisatie. Dat betekent dat in uitzonderlijke gevallen ook kleinere organisaties door de overheid kunnen worden aangemerkt als NIS2 plichtig, wanneer zij een kritische functie vervullen binnen de samenleving of een essentiële dienst leveren.
Voor alle QM-30-organisaties geldt dat zij directe wettelijke verplichtingen hebben, onder toezicht staan van de toezichthouder en moeten voldoen aan de NIS2 eisen op het gebied van governance, risicomanagement, technische beveiliging en ketenbeheersing.
NIS2 ketenpartner (QM-20)
NIS2-plichtige (QM-30) organisaties worden verplicht om hun continuïteit en digitale weerbaarheid aantoonbaar te borgen. Daarbij kijkt de wet nadrukkelijk verder dan de eigen organisatie. NIS2 verplicht deze entiteiten om ook cyberrisico’s binnen hun toeleveringsketen te beheersen.
Dat betekent dat NIS2-plichtige organisaties eisen stellen aan hun leveranciers en dienstverleners. Zij moeten kunnen aantonen dat verstoringen bij partners geen risico vormen voor hun eigen dienstverlening. Vanuit deze ketenverantwoordelijkheid ontstaat de tweede categorie binnen NIS2: QM20.
In de praktijk is deze groep aanzienlijk groter dan de organisaties die rechtstreeks onder NIS2 vallen. Naar schatting staat tegenover elke NIS2-plichtige organisatie ongeveer tien ketenpartners die indirect met NIS2-eisen te maken krijgen. Daarmee raakt NIS2 niet alleen een beperkte groep entiteiten, maar een veel bredere laag van organisaties binnen de economie.
QM-20 bestaat uit organisaties die zelf niet altijd rechtstreeks NIS2-plichtig zijn, maar die door hun rol als leverancier of dienstverlener wel onder een beperkte set aan eisen komen te vallen, opgelegd door klanten of contracten.
Niet NIS2 plichtig (QM-10)
De derde categorie binnen NIS2 zijn de organisaties die niet direct onder de NIS2-wetgeving vallen en geen structurele rol vervullen binnen de toeleveringsketen van een NIS2-plichtige organisatie. Deze organisaties worden aangeduid als QM-10.
Voor QM-10 geldt dat zij geen wettelijke NIS2-verplichtingen hebben en niet onder toezicht staan van een toezichthouder. Zij hoeven geen formele rapportages te doen en zijn niet verplicht om te voldoen aan de uitgebreide governance- en beveiligingseisen zoals die gelden voor QM-30- en QM-20-organisaties.
Dat betekent echter niet dat cybersecurity voor deze groep irrelevant is. Ook QM-10-organisaties krijgen steeds vaker te maken met basisbeveiligingseisen vanuit klanten, verzekeraars of contractuele afspraken. Daarnaast kunnen zij in de toekomst alsnog doorschuiven naar QM-20, bijvoorbeeld wanneer zij leverancier worden van een NIS2-plichtige organisatie of een kritische rol gaan vervullen binnen een keten.
QM-10 kan daarom worden gezien als het basisniveau van digitale weerbaarheid:
geen wettelijke verplichting, maar wel een logisch startpunt voor organisaties die hun informatiebeveiliging structureel willen verbeteren en voorbereid willen zijn op toekomstige eisen vanuit wetgeving of de markt.
Wanneer gaat dit spelen?
NIS2 is reeds vastgesteld door de Europese Unie en wordt momenteel omgezet in Nederlandse wetgeving via de Cyberbeveiligingswet. De verwachting is dat de Cyberbeveiligingswet in de Q2 2026 in werking treedt, waarna toezicht en handhaving worden uitgevoerd door de Rijksinspectie Digitale Infrastructuur.
Hoewel de verplichtingen formeel dus pas vanaf Q2 2026 gelden, is wachten tot dat moment niet verstandig. Veel organisaties en ketenpartners zijn daarom nu al gestart met de voorbereiding. Cyberdreigingen zijn geen toekomstscenario’s, maar een actueel risico dat vandaag al gevolgen kan hebben voor de continuïteit van bedrijfsvoering.
Wat nu?
Maak je geen zorgen. Wij helpen je als IT-partner om te voldoen aan de minimale wettelijke vereisten die voor jouw organisatie zullen gelden. Daarnaast gaan we samen met jou in gesprek om te bepalen welke maatregelen passend zijn voor jouw organisatie, risico’s en ambities, of je nu onder QM-30, QM-20 of QM-10 valt.
In de volgende post gaan we dieper in op wat er concreet van organisaties wordt verwacht, welke kernverplichtingen NIS2 kent en hoe wij bij 4Consult onze dienstverlening hierop hebben ingericht om jullie praktisch en aantoonbaar te kunnen ondersteunen.
Smaakt dit naar meer?
Lees onze andere blogs:
Werken in de Cloud: wat is dat nu precies
