NIS2 is geen abstracte richtlijn meer die ergens in Brussel op papier staat. Met de Nederlandse implementatiewet, de Cyberbeveiligingswet, komt deze tot leven. Tijdens ons webinar “NIS2 komt tot leven: van richtlijn naar realiteit” op 15 januari 2026 doken we samen met veel deelnemers in de praktische kant van deze nieuwe wetgeving. Wat betekent NIS2 nu écht voor organisaties? Waar begin je? En hoe voorkom je dat je straks voor verrassingen komt te staan?
De grote betrokkenheid tijdens het webinar bleek uit de vele vragen, die we niet allemaal uitgebreid konden behandelen. In dit blog pakken we ze daarom één voor één op en geven we alsnog antwoord. Zo maken we de stap van theorie naar praktijk concreter en helpen we je op weg met NIS2 in de dagelijkse realiteit.
Hoe zit het met de toepasselijkheid van de wet op een kleine onderneming in Nederland die dochteronderneming is van een in het buitenland gevestigd concern?
Wanneer er sprake is van een dochteronderneming van een in het buitenland gevestigd concern, moet eerst naar het concern als geheel worden gekeken. Vervolgens wordt per entiteit en per vestiging beoordeeld of en in hoeverre NIS2 van toepassing is.
De overheid heeft hiervoor een handreiking opgesteld voor complexe bedrijfsmodellen. Meer informatie is hier te vinden.
Hoe zit het met zorginstellingen die thans gecertificeerd zijn voor NEN 7510:2017 en alle controls van toepassing hebben verklaard? Voldoen deze ook aan de zorgplicht of moeten zij nog aanvullende maatregelen treffen?
Zorginstellingen die momenteel gecertificeerd zijn volgens NEN 7510:2017 zullen moeten overstappen naar NEN 7510:2024 om gecertificeerd te kunnen blijven. Deze transitie moet uiterlijk begin 2027 zijn afgerond en staat los van de NIS2-verplichtingen.
De ministeriële regeling van VWS bepaalt dat organisaties die voldoen aan NEN 7510:2024 (of een gelijkwaardige norm) voldoen aan de zorgplicht uit de Cyberbeveiligingswet. In dat geval zijn geen aanvullende maatregelen vereist. Houd wel rekening met de registratieplicht, meldplicht en governanceverplichtingen uit de Cyberbeveiligingswet.
Certificering is niet verplicht, maar helpt wel aanzienlijk bij het aantoonbaar voldoen aan de wettelijke eisen.
NEN 7510 is toch niet voor alle zorginstellingen verplicht?
Dat klopt. Het is niet verplicht om gecertificeerd te zijn voor NEN 7510, maar veel zorginstellingen moeten wél aantoonbaar voldoen aan de norm. Dit geldt onder andere voor zorginstellingen waarop de Wkkgz van toepassing is en op grond van de Regeling gebruik BSN in de zorg.
Wij vallen ook onder DORA. Welke aanvullende maatregelen moeten we dan nog nemen om ook aan NIS2 te voldoen?
DORA is een lex specialis ten opzichte van NIS2. Dit betekent dat DORA voorgaat wanneer er sprake is van overlap of wanneer bepalingen met elkaar conflicteren.
Het kan echter voorkomen dat bepaalde onderdelen buiten de scope van DORA vallen. Voor die onderdelen kunnen alsnog aanvullende verplichtingen op grond van NIS2 gelden. Welke maatregelen dat zijn, hangt sterk af van wat er al is geïmplementeerd en hoe dit is ingericht.
Kan je op grond van NIS2 een overeenkomst met een leverancier beëindigen als de leverancier niet kan voldoen aan de eisen?
Als een leverancier niet kan voldoen aan eisen of verplichtingen die voortvloeien uit de overeenkomst of uit de wet, zoals de Cyberbeveiligingswet die NIS2 in Nederland implementeert, biedt dat vaak mogelijkheden voor beëindiging of ontbinding van de overeenkomst.
In veel contracten zijn (standaard)bepalingen opgenomen die beëindiging of ontbinding mogelijk maken wanneer een partij tekortschiet in de nakoming van haar verplichtingen, bijvoorbeeld nadat zij in gebreke is gesteld en een redelijke termijn heeft gekregen om alsnog aan de verplichtingen te voldoen.
Daarnaast onderstreept NIS2 het belang van het contractueel vastleggen van duidelijke informatiebeveiligings- en cybersecurity-eisen met leveranciers.
Is een ISAE 3402-verklaring van een leverancier voldoende om aan NIS2 te voldoen?
Dat hangt volledig af van de scope van de ISAE 3402-verklaring. Deze verklaringen zijn vaak primair financieel van aard en niet specifiek gericht op informatiebeveiliging of cybersecurity.
Alternatieven zoals ISAE 3000- of SOC 2-rapportages kunnen relevanter zijn voor NIS2, maar ook hier geldt dat de scope doorslaggevend is. Een verklaring is alleen bruikbaar als deze daadwerkelijk de relevante beveiligingsmaatregelen afdekt.
De vertaalslag van NIS2 naar concrete maatregelen
NIS2 vraagt om meer dan alleen juridische kennis: het vereist inzicht in processen, techniek, governance én contractuele verhoudingen. Met het webinar gaven wij inzicht in hoe organisaties de vertaalslag kunnen maken van wetgeving naar praktische maatregelen in de dagelijkse praktijk.
Door tijdig inzicht te krijgen in je verplichtingen, de juiste normen toe te passen en afspraken met leveranciers goed vast te leggen, voorkom je verrassingen achteraf. Of je nu aan het begin staat of al stappen hebt gezet: een gerichte analyse helpt om NIS2 beheersbaar te maken.
Meer weten?
Wil je weten wat NIS2 concreet betekent voor jouw organisatie? Of heb je hulp nodig bij de implementatie, contracten of toezicht? Wij denken graag met je mee.
Contact opnemen
