Ja, NIS2 kan ook gelden voor buitenlandse bedrijven die actief zijn in Nederland, zelfs als ze geen fysieke vestiging in Nederland hebben. De richtlijn kijkt niet alleen naar waar een bedrijf geregistreerd staat, maar ook naar waar het diensten levert en in welke sector het opereert. In dit artikel beantwoorden we de belangrijkste vragen over NIS2 en internationale bedrijven.
Voor welke organisaties geldt NIS2 in Nederland?
NIS2 geldt in Nederland voor organisaties die actief zijn in sectoren die als kritiek of belangrijk worden aangemerkt, zoals ICT-dienstverlening, energie, transport, gezondheidszorg en financiële dienstverlening. De omvang van de organisatie speelt ook een rol: in de meeste gevallen gaat het om middelgrote en grote bedrijven, maar in sommige sectoren vallen ook kleinere organisaties onder de wet.
In Nederland wordt de NIS2-richtlijn omgezet in de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. De wet maakt onderscheid tussen twee categorieën:
- Essentiële entiteiten: grote organisaties in hoogrisicosectoren zoals energie, transport en drinkwater
- Belangrijke entiteiten: middelgrote organisaties in sectoren zoals ICT, voedselproductie en chemie
Voor MKB-bedrijven die actief zijn in kritieke sectoren is het dus zeker de moeite waard om te controleren of ze onder de cybersecurity wetgeving vallen. De drempelwaarden liggen bij minimaal 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro, maar uitzonderingen zijn mogelijk.
Geldt NIS2 ook voor buitenlandse bedrijven zonder Nederlandse vestiging?
Ja, NIS2 kan ook van toepassing zijn op buitenlandse bedrijven zonder vestiging in Nederland, mits ze diensten leveren aan Nederlandse organisaties in kritieke sectoren of onderdeel zijn van de toeleveringsketen van een entiteit die onder de wet valt. De richtlijn heeft een breed toepassingsbereik dat de grenzen van lidstaten overstijgt.
Een buitenlands bedrijf dat bijvoorbeeld clouddiensten, softwareoplossingen of managed IT-services levert aan Nederlandse ziekenhuizen, energiebedrijven of overheidsinstellingen, kan verplicht zijn te voldoen aan de NIS2-eisen. Dit geldt ook voor bedrijven uit landen buiten de Europese Unie die actief zijn op de Europese markt.
Wanneer een buitenlands bedrijf geen vestiging heeft in een EU-lidstaat maar wel diensten levert binnen de EU, kan het verplicht worden gesteld een vertegenwoordiger aan te wijzen in een van de lidstaten waar het actief is. Die vertegenwoordiger fungeert dan als aanspreekpunt voor de toezichthouder.
Wat zijn de NIS2-verplichtingen voor internationaal opererende bedrijven?
Internationaal opererende bedrijven die onder NIS2 vallen, hebben dezelfde kernverplichtingen als binnenlandse organisaties. Ze moeten risicobeheer inrichten, passende technische en organisatorische beveiligingsmaatregelen treffen, en significante cybersecurity-incidenten binnen 24 uur melden bij de bevoegde toezichthouder.
De voornaamste verplichtingen zijn:
- Risicoanalyse: een actuele beoordeling van de digitale risico’s voor de eigen organisatie en de keten
- Beveiligingsmaatregelen: denk aan multifactorauthenticatie (MFA), encryptie, toegangsbeleid en patchbeheer
- Incidentmelding: significante incidenten moeten binnen 24 uur gemeld worden, met een uitgebreider rapport binnen 72 uur
- Ketenverantwoordelijkheid: bedrijven zijn ook verantwoordelijk voor de beveiliging van hun leveranciers en partners
- Bestuurlijke betrokkenheid: het management moet aantoonbaar betrokken zijn bij het cybersecuritybeleid
Vooral de ketenverantwoordelijkheid is voor internationaal opererende bedrijven een belangrijk aandachtspunt. Zelfs als je zelf niet direct onder de wet valt, kunnen je klanten die dat wel doen eisen stellen aan jouw ICT-beveiliging.
Welke toezichthouder handhaaft NIS2 voor buitenlandse bedrijven in Nederland?
In Nederland zijn meerdere sectorale toezichthouders verantwoordelijk voor de handhaving van NIS2, afhankelijk van de sector waarin een bedrijf actief is. Voor ICT-dienstverleners is dat het Agentschap Telecom, voor de financiële sector is het De Nederlandsche Bank, en voor de zorgsector is het de Inspectie Gezondheidszorg en Jeugd.
Voor buitenlandse bedrijven zonder Nederlandse vestiging geldt dat de toezichthouder van het land waar de aangewezen vertegenwoordiger gevestigd is, de handhaving op zich neemt. Binnen de EU werken nationale toezichthouders samen via het ENISA-netwerk om grensoverschrijdende situaties te coördineren.
Dit betekent dat een buitenlands bedrijf dat diensten levert in meerdere EU-lidstaten te maken kan krijgen met meerdere toezichthouders tegelijk. Het is daarom verstandig om vroegtijdig duidelijkheid te krijgen over welke autoriteit voor jouw organisatie het primaire aanspreekpunt is.
Wat zijn de gevolgen als een buitenlands bedrijf NIS2 negeert?
Als een buitenlands bedrijf de NIS2-verplichtingen negeert, riskeert het aanzienlijke financiële sancties. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten gelden boetes tot 7 miljoen euro of 1,4% van de jaaromzet.
Naast financiële boetes zijn er ook andere gevolgen:
- Persoonlijke aansprakelijkheid: bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor tekortkomingen in het cybersecuritybeleid
- Reputatieschade: bij een incident kan publieke bekendmaking van de overtreding verplicht worden
- Verlies van contracten: klanten in kritieke sectoren mogen leveranciers uitsluiten die niet voldoen aan NIS2-eisen
- Operationele beperkingen: toezichthouders kunnen tijdelijke beperkingen opleggen aan de dienstverlening
Voor bedrijven die actief zijn in meerdere EU-landen kunnen boetes vanuit verschillende lidstaten tegelijk worden opgelegd, wat de financiële impact aanzienlijk vergroot.
Hoe kan een bedrijf bepalen of het onder NIS2 valt?
Een bedrijf kan bepalen of het onder NIS2 valt door drie vragen te beantwoorden: opereert het in een van de aangewezen sectoren, voldoet het aan de drempelwaarden voor omvang, en levert het diensten aan organisaties binnen de EU? Als het antwoord op alle drie ja is, is de kans groot dat NIS2 van toepassing is.
Praktisch gezien doorloop je de volgende stappen:
- Sectorcheck: controleer of jouw branche voorkomt op de lijst van essentiële of belangrijke sectoren onder NIS2
- Omvangscheck: ga na of je organisatie meer dan 50 medewerkers heeft of meer dan 10 miljoen euro omzet genereert
- Marktcheck: bepaal of je diensten levert aan entiteiten binnen de EU, ook als je buiten de EU gevestigd bent
- Ketencheck: analyseer of jouw klanten onder NIS2 vallen en daardoor eisen aan jou stellen
Twijfel je na deze stappen nog steeds? Dan is het verstandig juridisch of technisch advies in te winnen. De ISO 27001 begeleiding en NIS2-ondersteuning van een gespecialiseerde IT-partner kunnen helpen om snel duidelijkheid te krijgen.
Hoe IT Aanspreekpunt helpt met NIS2-compliance
NIS2-compliance kan complex en tijdrovend zijn, zeker als je ook nog internationaal opereert. Wij ontzorgen je van begin tot eind in het NIS2-traject, zodat jij je kunt focussen op je bedrijf.
Wat we voor je doen:
- NIS2-scan: we brengen in kaart of jouw organisatie onder de richtlijn valt en welke verplichtingen voor je gelden
- Technische maatregelen: van Microsoft 365 beveiliging en MFA tot encryptie, toegangsbeleid en patchbeheer
- Monitoring en updates: we houden je systemen continu in de gaten en zorgen dat alles up-to-date blijft
- Compliance-rapportage: we helpen je aantonen dat je voldoet aan de wettelijke eisen, ook richting klanten en toezichthouders
- Ketenverantwoordelijkheid: we helpen je de beveiliging van je leveranciers en partners in kaart te brengen
Wil je weten of jouw organisatie onder NIS2 valt en wat je moet doen? Neem contact met ons op voor een vrijblijvend gesprek. We denken graag met je mee.