Onder NIS2 valt uw organisatie in één van twee categorieën: essentiële entiteit of belangrijke entiteit. Het verschil bepaalt hoe zwaar het toezicht is, hoe hoog de boetes kunnen oplopen en hoe proactief de toezichthouder controleert. Essentiële entiteiten staan onder het strengste, deels proactieve toezicht met boetes tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet; belangrijke entiteiten kennen reactief toezicht en boetes tot 7 miljoen euro of 1,4 procent. De indeling volgt uit de sector (bijlage I of II van de NIS2-richtlijn) en de omvang van uw organisatie. Dit artikel legt uit welke categorie voor u geldt en wat dat concreet betekent.
Key Takeaways
- NIS2 kent twee categorieën: essentiële en belangrijke entiteiten, met verschillende toezicht- en boeteregimes.
- De indeling volgt uit de sector (bijlage I vs II) en de omvang (de size-cap regel: doorgaans vanaf 50 werknemers of €10M omzet).
- Essentiële entiteiten: proactief toezicht, boetes tot €10M of 2%. Belangrijke entiteiten: reactief toezicht, tot €7M of 1,4%.
- In Nederland komt er een registratieplicht, naar verwachting via de Rijksinspectie Digitale Infrastructuur (RDI).
- De classificatievraag komt vóór elke technische of contractuele maatregel.
Waarom de classificatie het startpunt is
Voordat u ook maar één beveiligingsmaatregel treft of software aanschaft, moet u weten of u onder NIS2 valt en zo ja, in welke categorie. De classificatie stuurt alles daarna: de intensiteit van het toezicht, de boetemaxima, en de mate waarin de toezichthouder ongevraagd langskomt. In Nederland wordt NIS2 omgezet via de Cyberbeveiligingswet, die de oude Wbni vervangt. Het bredere juridische kader beschrijven we in onze gids over de omzetting van de NIS2-richtlijn in Nederland.
De sectoren: bijlage I versus bijlage II
NIS2 verdeelt de gedekte sectoren over twee bijlagen.
Bijlage I — sectoren van hoge kriticiteit (leiden doorgaans tot de kwalificatie essentieel):
- Energie, drinkwater en afvalwater
- Vervoer (lucht, spoor, water, weg)
- Bankwezen en financiëlemarktinfrastructuur
- Gezondheidszorg
- Digitale infrastructuur, ICT-servicebeheer
- Overheid en ruimtevaart
Bijlage II — andere kritieke sectoren (leiden doorgaans tot belangrijk):
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Chemie
- Levensmiddelen
- Verwerkende/maakindustrie
- Digitale aanbieders (onlinemarktplaatsen, zoekmachines, sociale netwerken)
- Onderzoek
De size-cap regel
Sector alleen is niet genoeg — de omvang telt mee. NIS2 hanteert een size-cap: in beginsel vallen middelgrote en grote organisaties eronder, dat wil zeggen vanaf 50 werknemers of meer dan 10 miljoen euro jaaromzet/balanstotaal. Kleine en micro-ondernemingen vallen er in principe buiten.
Op deze hoofdregel bestaan uitzonderingen: bepaalde entiteiten vallen er ongeacht hun omvang onder, bijvoorbeeld aanbieders van openbare elektronische communicatienetwerken, vertrouwensdiensten, DNS-diensten en sommige overheidsinstanties. Ook toeleveranciers kunnen indirect worden geraakt via de ketenbeveiligingseisen van hun afnemers.
Essentieel of belangrijk: het onderscheid
| Kenmerk | Essentiële entiteit | Belangrijke entiteit |
|---|---|---|
| Herkomst | Vooral bijlage I | Vooral bijlage II |
| Toezicht | Proactief (ook ongevraagd) | Reactief (na signaal/incident) |
| Boetemaximum | €10M of 2% wereldwijde omzet | €7M of 1,4% wereldwijde omzet |
| Controles | Audits, inspecties, scans | Vooral na aanleiding |
| Zorgplicht | Gelijk (art. 21) | Gelijk (art. 21) |
| Meldplicht | Gelijk (art. 23) | Gelijk (art. 23) |
Let op: de zorgplicht en de meldplicht zijn voor beide categorieën inhoudelijk gelijk. Het verschil zit in de toezichtsintensiteit en de sancties, niet in de maatregelen die u moet nemen. De tien verplichte maatregelen bespreken we in onze gids over de NIS2-zorgplicht; de meldketen in NIS2-meldplicht: incidenten melden.
Registratie en toezicht in Nederland
De Cyberbeveiligingswet introduceert een registratieplicht: organisaties die eronder vallen moeten zich melden bij de bevoegde autoriteit, naar verwachting via de Rijksinspectie Digitale Infrastructuur (RDI). Het NCSC fungeert als CSIRT en centraal meldpunt. Per sector kunnen aanvullende toezichthouders gelden (zoals DNB voor delen van de financiële sector). Omdat de Nederlandse wetgeving op het moment van schrijven nog niet volledig in werking is, is zelfregistratie het startpunt zodra de wet dat vereist.
Beslisboom: valt u eronder
- Zit mijn organisatie in een sector uit bijlage I of II? Zo nee, dan valt u in beginsel niet onder NIS2.
- Haal ik de size-cap (≥50 werknemers of >€10M)? Zo ja, ga verder. Zo nee, check de uitzonderingen.
- Val ik onder een ongeacht-omvang-uitzondering? Bepaalde diensten vallen er altijd onder.
- Val ik onder DORA? Voor de financiële sector gaat DORA als lex specialis voor NIS2 — bepaal dit expliciet.
- Essentieel of belangrijk? Bepaal aan de hand van de sector en de aanwijzing.
Wat de classificatie betekent voor uw compliance
De classificatie bepaalt het budget en de urgentie, maar de kernmaatregelen zijn voor beide categorieën gelijk. Begin daarom altijd bij een risicoanalyse en de verankering van verantwoordelijkheid bij het bestuur — de bestuurdersaansprakelijkheid onder NIS2 geldt ongeacht uw categorie. Omdat de beveiligingseisen sterk overlappen met artikel 32 AVG, loont het om beide regimes in één governance-aanpak te beheren. Een platform zoals Legiscope kan die gedeelde documentatie- en governancelaag afdekken. Voor de MKB-vraag “geldt dit ook voor mij?” biedt onze gids over de AVG voor het mkb aanvullende context over de size-cap-logica.
Waarom de classificatie meer is dan een etiket
Het onderscheid tussen essentieel en belangrijk is geen administratieve formaliteit — het bepaalt hoe de toezichthouder u benadert. Bij een essentiële entiteit mag de toezichthouder proactief handelen: aangekondigde en onaangekondigde inspecties, beveiligingsscans, audits en het opvragen van bewijs, óók zonder concrete aanleiding. Bij een belangrijke entiteit treedt de toezichthouder in beginsel pas op na een signaal — een incident, een klacht of een melding. Dat verschil in toezichtsfilosofie vertaalt zich rechtstreeks naar de mate waarin u uw maatregelen vooraf aantoonbaar op orde moet hebben.
De sectorindeling van de Europese Commissie en de nationale aanwijzing bepalen samen uw categorie. In een enkel geval kan een toezichthouder een organisatie aanwijzen als essentieel ook al zou de size-cap anders uitpakken, bijvoorbeeld omdat de dienst kritiek is voor een sector of regio. Ga er dus niet automatisch van uit dat u onder het lichtste regime valt; laat de classificatie expliciet vaststellen en documenteer de onderbouwing. Die vastlegging is bovendien het eerste wat een toezichthouder bij een controle wil zien.
FAQ
Wat is het verschil tussen een essentiële en een belangrijke entiteit?
Beide moeten dezelfde zorgplicht (art. 21) en meldplicht (art. 23) naleven. Het verschil zit in het toezicht en de sancties: essentiële entiteiten staan onder proactief toezicht met boetes tot €10M of 2% van de wereldwijde omzet; belangrijke entiteiten kennen reactief toezicht met boetes tot €7M of 1,4%.
Vanaf hoeveel werknemers val ik onder NIS2?
De size-cap ligt in beginsel bij 50 werknemers of meer dan 10 miljoen euro jaaromzet/balanstotaal, mits u in een gedekte sector actief bent. Bepaalde diensten — zoals aanbieders van openbare communicatienetwerken en vertrouwensdiensten — vallen er echter ongeacht hun omvang onder.
Val ik onder zowel NIS2 als DORA?
Voor financiële entiteiten gaat DORA als lex specialis voor NIS2. Groepen met gemengde activiteiten kunnen in de praktijk met beide regimes te maken krijgen. Bepaal daarom expliciet welk kader op welk organisatieonderdeel van toepassing is.
Wie houdt in Nederland toezicht op NIS2?
Naar verwachting de Rijksinspectie Digitale Infrastructuur (RDI) en sectorale toezichthouders, met het NCSC als CSIRT en meldpunt. De Cyberbeveiligingswet legt de precieze verdeling vast zodra die in werking treedt.
Moet ik mij ergens registreren?
Ja, de Cyberbeveiligingswet introduceert een registratieplicht. Organisaties die onder NIS2 vallen moeten zich melden bij de bevoegde autoriteit zodra de wet dat vereist. Registratie is de formele bevestiging dat u binnen scope valt.
Conclusie
De vraag “essentieel of belangrijk” is de eerste die u onder NIS2 moet beantwoorden, want die bepaalt het toezicht en de boetemaxima — €10M/2% voor essentiële, €7M/1,4% voor belangrijke entiteiten. De onderliggende zorg- en meldplicht is voor beide gelijk. Bepaal aan de hand van sector (bijlage I/II) en de size-cap of u eronder valt, check de DORA-uitzondering, en verankert de verantwoordelijkheid bij het bestuur. Pas daarna komen de maatregelen en de tooling in beeld.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial