Contact
Vanoers.nlDigital Solutions, IT-Audit en AssuranceValt uw organisatie onder NIS2? Nieuwe handreiking geeft duidelijkheid

Valt uw organisatie onder NIS2? Nieuwe handreiking geeft duidelijkheid 

Publicatie: 15-01-2026 • Door: Wesley Riool , Marjon van de Lindeloof

In het tweede kwartaal van 2026 treedt naar verwachting de Cyberbeveiligingswet (de Nederlandse implementatie van NIS2) in werking. Voor veel organisaties is nog onduidelijkheid of zij onder deze wetgeving vallen, zeker wanneer sprake is van complexe bedrijfsstructuren. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft daarom de Handreiking complexe bedrijfsmodellen – toepassingsgebied Cyberbeveiligingswet gepubliceerd.  In dit artikel leest u wat deze handreiking inhoudt, waarom dit relevant is en welke stappen organisaties nu kunnen zetten.

Duidelijkheid bij complexe structuren

De aankomende Cyberbeveiligingswet (Cbw) stelt strengere eisen aan de digitale weerbaarheid van organisaties in vitale en kritieke sectoren. In de praktijk blijkt dat veel organisaties moeite hebben om te bepalen of zij vallen onder het toepassingsgebied van de wetgeving. Deze onduidelijkheid speelt vooral bij organisaties met meerdere entiteiten, complexe structuren of uitbestede IT-omgevingen.

De handreiking van de NCTV speelt in op deze onzekerheid. Het document biedt praktische uitleg en voorbeelden voor situaties waarin het niet direct duidelijk is of een organisatie kwalificeert als essentiële of belangrijke entiteit onder de Cyberbeveiligingswet. Denk hierbij aan:

  • Organisatie met meerdere entiteiten, gevestigd in Nederland;
  • Organisatie met meerdere entiteiten in verschillende EU-lidstaten, met hoofdvestiging in Nederland;
  • Organisatie met meerdere entiteiten in verschillende EU-lidstaten, met hoofdvestiging in een andere EU-lidstaat;
  • Organisatie met meerdere entiteiten in zowel EU-lidstaten als landen buiten de EU, met hoofdvestiging in Nederland;
  • Organisatie met meerdere entiteiten in zowel EU-lidstaten als landen buiten de EU, met hoofdvestiging in een andere EU-lidstaat.
  • Eén of meerdere IT-omgevingen binnen een organisatie.

Aan de hand van concrete scenario’s en beslislogica laat de handreiking zien hoe organisaties kunnen vaststellen of zij binnen het toepassingsgebied vallen.

Belang voor bestuur en compliance

Met de komst van de Cyberbeveiligingswet krijgen bestuurders en directies meer verantwoordelijkheden op het gebied van cybersecurity, risicomanagement en toezicht. Onzekerheid over de vraag of de wet van toepassing is, kan leiden tot uitstel of onderschatting van noodzakelijke maatregelen. Hierdoor ontstaat het risico op boetes en reputatieschade.

De NCTV benadrukt met deze handreiking dat organisaties nu al kunnen starten met het beoordelen van hun positie. Vroegtijdige duidelijkheid helpt bij het plannen van investeringen, het inrichten van governance, het beleggen van verantwoordelijkheden en het voorkomen van compliance-risico’s.

Voorbereiding op de Cyberbeveiligingswet

Organisaties die vermoeden dat zij mogelijk onder NIS2 vallen, doen er goed aan de handreiking te gebruiken als eerste stap in hun analyse. Hoewel het document geen juridisch bindend oordeel vervangt, biedt het wel richting en houvast in een complex speelveld.

Relevantie voor het mkb

Hoewel de Cyberbeveiligingswet vaak wordt geassocieerd met grote organisaties, kan ook het mkb onder de wet vallen. Dit geldt bijvoorbeeld voor:

  • mkb-bedrijven die actief zijn in vitale of digitale sectoren;
  • organisaties die cruciale diensten leveren aan Cbw-plichtige partijen;
  • bedrijven die onderdeel zijn van een groter concern of keten.

De handreiking laat met praktische voorbeelden zien hoe deze situaties moeten worden beoordeeld. De nieuwe handreiking van de NCTV helpt om de eerste, cruciale stap te zetten: vaststellen of uw organisatie binnen het toepassingsgebied van de wet valt.

Welke stappen kunt u nu al zetten?

Wilt u voorbereid zijn op de Cyberbeveiligingswet? Overweeg dan de volgende stappen:

  • Bepaal of de Cyberbeveiligingswet op uw organisatie van toepassing is. Gebruik de voorbeelden en beslisbomen om te bepalen of uw organisatie binnen het toepassingsgebied van de Cyberbeveiligingswet valt.
  • Breng uw bedrijfsstructuur en keten in kaart
  • Inventariseer alle entiteiten, leveranciers, uitbestedingspartners en IT‑omgevingen. De Cbw kijkt niet alleen naar uw eigen organisatie, maar ook naar uw ketenpositie. Agendeer Cyberbeveiligingswet op bestuursniveau. Zorg dat informatiebeveiliging en bedrijfscontinuïteit structureel worden besproken in het bestuur of het management.
  • Voer een fit-gap analyse uit. Inzicht in de verschillen tussen de huidige situatie en de wettelijke verplichtingen helpt om prioriteiten te bepalen en maatregelen tijdig te plannen.
  • Schakel waar nodig expertise in. Expertise kan helpen om risico’s te identificeren, te bepalen welke maatregelen moeten worden geïmplementeerd, keuzes goed te onderbouwen en de juiste processen en maatregelen in te richten.

Meer informatie

Wilt u weten wat Van Oers kan betekenen voor u op het gebied van de Cyberbeveiligingswet? Of twijfelt u in welke mate de wetgeving op uw organisatie van toepassing is? Neem dan contact op met één van onze specialisten via onderstaande button of per mail: it-assurance@vanoers.nl.

Nu delen:
Wesley Riool
Wesley Riool | Manager IT Audit
Wilt u meer informatie over dit onderwerp?
Neem contact op met onze specialisten via onderstaand telefoonnummer of e-mailadres. Zij helpen u graag verder.
+31(0)6 261 373 21 W.Riool@vanoers-audit.nl

Van Oers

Neem contact op
Klachtenregeling
Klokkenluidersregeling
Kennisbank
Klantverhalen
Onze vestigingen
Werken bij Van Oers
Schrijf u in voor de nieuwsbrief!

Diensten

Accountancy
Audit
Belastingadvies
Business Solutions
Consultancy
Corporate Finance
Digital Solutions
Due diligence
Internationaal zakendoen
IT Audit & Assurance
Juridisch advies
HR Solutions

Branches

Agro
Bouw en vastgoed
Dga en familiebedrijven
Food en retail
Franchise
Onderwijs
Transport en logistiek
Zorg