Iris Serpenti · Transformatiepartner
Valt jouw bedrijf onder
NIS2?
De Cyberbeveiligingswet komt eraan. Check in 5 minuten wat dit voor jouw organisatie betekent — en wat je nú al kunt doen.
Wet: NIS2 / Cyberbeveiligingswet
Ingangsdatum NL: Q2 2026
Max. boete: 10M euro of 2% omzet
Wet
NIS2 · Cyberbeveiligingswet
Ingangsdatum NL
Q2 2026 (verwacht)
Drempel
50+ fte of 10M+ omzet
Max. boete
€10M of 2% omzet
Geldt NIS2 voor jouw bedrijf?
1
Zit je in een van de 18 kritieke sectoren?
Check dit eerst
▶
Essentieel (strenge norm)
Energie, transport, bankwezen, drinkwater, afvalwater, gezondheidszorg, digitale infrastructuur, ICT-diensten B2B, ruimtevaart, overheid
Belangrijk (lichtere norm)
Post en koerier, afvalbeheer, chemie, voedingsproductie, medische hulpmiddelen, elektronica, machinebouw, auto-industrie, digitale aanbieders
Twijfel je?
Gebruik de gratis NIS2 Quickscan op digitaleoverheid.nl
— 40 ja/nee-vragen en je weet het in 10 minuten. Kom je er niet uit? Neem contact op met Iris Serpenti
— we denken graag met je mee.
2
Heb je 50+ medewerkers of 10M+ omzet?
Drempelwaarde
▶
Onder de drempel
Minder dan 50 fte én minder dan 10M omzet? In principe vrijgesteld — tenzij je een sleutelrol speelt in kritieke infrastructuur en door de overheid wordt aangewezen.
Boven de drempel
50+ fte of 10M+ omzet in een kritieke sector: jij bent een "belangrijke entiteit". Boven 250 fte of 50M omzet ben je "essentiële entiteit" — met strengere eisen en actief toezicht.
Klein maar levert aan groot
Val je onder de drempel maar lever je aan een NIS2-plichtig bedrijf? Dan kom je de wet via de keten alsnog tegen. Jouw opdrachtgever is verplicht jóuw cybersecurity te beoordelen.
3
Ik lever aan grote bedrijven — raak ik ze via de keten?
Indirect risico
▶
Wat de wet zegt
Grote NIS2-plichtige bedrijven zijn wettelijk verplicht de cybersecurity van hun leveranciers te beoordelen en hier contractueel eisen aan te stellen. Voldoe je niet? Dan val je af als leverancier.
Praktisch effect voor jou
Verwacht vragenlijsten, audits en contracteisen van grote opdrachtgevers — ook als jij zelf niet NIS2-plichtig bent. Wie zijn digitale basis op orde heeft, wordt een aantrekkelijkere partner.
Dit is ook een kans.
Bedrijven die nú hun cybersecurity aantoonbaar op orde brengen, onderscheiden zich in aanbestedingen en tenders. Wil je weten hoe je dit strategisch aanpakt? Mail Iris Serpenti.
Wat verplicht NIS2 jou concreet te doen?
1
Zorgplicht — jouw beveiliging op orde
Verplicht
▶
Wat staat er in de wet
Passende technische én organisatorische maatregelen: risicoanalyse, wachtwoordbeleid, updates, toegangsbeheer, back-ups, encryptie, personeelsbewustzijn en leveranciersbeveiliging.
In gewoon Nederlands
Weet welke digitale risico's je loopt, houd systemen up-to-date, train medewerkers op phishing, en weet wat er moet gebeuren als het toch misgaat.
Jij als bestuurder bent aansprakelijk
De directie moet risicomaatregelen goedkeuren en bewaken. Persoonlijke aansprakelijkheid van bestuurders bij niet-naleving is expliciet opgenomen in de wet.
Let op:
dit zijn geen IT-vraagstukken — dit zijn organisatievraagstukken. Wie is verantwoordelijk? Hoe zijn processen ingericht? Welke cultuur heb jij als werkgever? Iris Serpenti helpt je dit structureel aan te pakken. Neem contact op.
2
Meldplicht — incident? Je hebt 24 uur
Verplicht
▶
Binnen 24 uur
Vroegtijdige waarschuwing bij het NCSC. Globale melding: wat is er, lijkt het kwaadwillend, heeft het grensoverschrijdende impact?
Binnen 72 uur
Volledigere incidentmelding: ernst, hoeveel klanten geraakt, welke systemen? Vergelijkbaar met de AVG-meldplicht maar breder.
Binnen 1 maand
Eindrapportage: oorzaak, gevolg, maatregelen genomen. Loopt het incident nog? Dan eerst een voortgangsrapport, daarna eindrapport.
Dit vereist een intern crisisprotocol.
Wie belt wie? Wie meldt? Wie communiceert naar klanten? Dit moet je vóór een incident hebben geregeld — niet erna. Iris Serpenti helpt je dit protocol op te stellen. Vraag een kennismaking aan.
3
Leveranciersbeveiliging — jouw keten beoordelen
Verplicht
▶
Wat de wet zegt
Je bent verplicht de cybersecuritypraktijken van jouw leveranciers en dienstverleners te beoordelen en contractueel eisen te stellen aan directe toeleveranciers.
Concreet
Cloud-diensten, software-leveranciers, IT-beheerders, HR-software, schoonmaak (fysieke toegang) — allemaal doorlichten en vastleggen in contracten.
4
Registratie bij de overheid
Administratief
▶
Wat je aanlevert
Naam, adres, contactgegevens, IP-bereiken, sector en subsector, en in welke EU-landen je diensten levert. De overheid houdt een register bij van NIS2-plichtige entiteiten.
Wanneer
Zo snel mogelijk na inwerkingtreding van de Cyberbeveiligingswet (verwacht Q2 2026). Houd het NCSC in de gaten voor de exacte procedure.
Actiechecklist — wat doe je nú al?
Voortgang
0 van 12 acties
Stap 1.
NIS2 Quickscan invullen op digitaleoverheid.nl — weet je binnen 10 minuten of je eronder valt
Stap 2.
Directie informeren: NIS2 is een bestuursverantwoordelijkheid, geen IT-taakje
Stap 3.
Risicoanalyse uitvoeren — welke systemen zijn kritiek voor jouw dienstverlening?
Stap 4.
Softwareupdates en patches: zijn alle systemen up-to-date? Plan een structurele aanpak
Stap 5.
MFA (meervoudige verificatie) activeren op alle kritieke toegangen
Stap 6.
Back-up procedure testen — wanneer heb je voor het laatst een herstel getest?
Stap 7.
Medewerkers trainen op phishing en social engineering — bewustwording is de eerste verdedigingslinie
Stap 8.
Crisisprotocol opstellen: wie belt wie bij een cyberincident? Binnen 24 uur moet er gemeld zijn
Stap 9.
Leverancierslijst opstellen: wie heeft er toegang tot jouw systemen of data?
Stap 10.
Contracten leveranciers screenen: staan er cybersecurityeisen in? Zo niet — aanpassen
Stap 11.
NCSC volgen voor registratieprocedure (verwacht Q2 2026)
Stap 12.
GAP-analyse laten uitvoeren of een interne review opzetten met een specialist
Kom je er niet uit?
De meeste stappen op deze lijst zijn geen IT-vraagstukken maar organisatievraagstukken. Iris Serpenti helpt je dit gestructureerd aan te pakken — van bewustwording bij de directie tot concrete processen op de werkvloer. Stuur een mail naar info@irisserpenti.nl.
Wat als je niets doet?
1
Financieel risico — de boetes
Hoog risico
▶
Essentiële entiteiten
Maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet — het hoogste bedrag geldt.
Belangrijke entiteiten
Maximaal 7 miljoen euro of 1,4% van de wereldwijde jaaromzet — het hoogste bedrag geldt.
Persoonlijk als bestuurder
Bestuurders kunnen persoonlijk aansprakelijk worden gesteld. Een tijdelijk verbod op de uitoefening van bestuursfuncties is mogelijk als ultiem middel.
2
Operationeel risico — je dienstverlening stopt
Hoog risico
▶
1 op 5 MKB-bedrijven
wordt slachtoffer van cybercriminaliteit. Bij ransomware liggen systemen stil, klantdata is gegijzeld en de schade loopt al snel in de tienduizenden euro's — los van eventuele boetes.
Hoe ziet toezicht eruit?
Essentiële entiteiten worden actief gecontroleerd. Belangrijke entiteiten pas na een signaal of incident — maar dan volgt een diepgaand onderzoek.
3
Commercieel risico — je verliest opdrachten
Middel risico
▶
NIS2-plichtige opdrachtgevers
Zijn wettelijk verplicht hun leveranciers te beoordelen. Wie niet voldoet aan hun minimale cybersecurityeisen, valt af bij aanbesteding of contractverlenging.
Reputatieschade bij een incident
Een cyberincident waarbij klantdata lekt raakt direct het vertrouwen in jouw organisatie. Zeker als achteraf blijkt dat basismaatregelen niet op orde waren.
Omgekeerd geldt ook:
wie nú actie neemt, bouwt aan een robuustere én betrouwbaardere organisatie. Dat is een aantoonbaar voordeel in de markt. Vraag Iris Serpenti hoe.
Wat kan Iris Serpenti
voor jou betekenen?
NIS2 is geen IT-project — het is een organisatievraagstuk. De wet verplicht je om verantwoordelijkheid, processen en cultuur rond cybersecurity te verankeren in je bedrijf. Als Transformatiepartner voor Future Fit Organisaties help ik je dit niet alleen compliant te maken, maar ook duurzaam en werkbaar.
Bewustwording & directie
NIS2 begint bij de top. Ik help directie en management begrijpen wat er speelt en welke besluiten zij moeten nemen — zonder technisch jargon.
Processen & verantwoordelijkheden
Wie is verantwoordelijk voor wat? Hoe ziet je crisisprotocol eruit? Ik help je de organisatiestructuur NIS2-proof te maken.
Cultuur & gedrag
Cybersecurity staat of valt bij het gedrag van mensen. Ik help je een cultuur van bewustzijn en verantwoordelijkheid te bouwen — van bestuur tot werkvloer.
Strategie & toekomstbestendigheid
NIS2 is een van de vele ontwikkelingen die op je afkomen. Ik help je een organisatie bouwen die klaar is voor de toekomst — Future Fit.
Deze tool is ontwikkeld door Iris Serpenti
· Transformatiepartner voor Future Fit Organisaties
Inhoud is informatief van aard. Raadpleeg altijd een juridisch adviseur voor specifiek advies.
© 2025 Iris Serpenti · info@irisserpenti.nl
Inhoud is informatief van aard. Raadpleeg altijd een juridisch adviseur voor specifiek advies.
© 2025 Iris Serpenti · info@irisserpenti.nl