Plan intake
NIS2

Essentiële en belangrijke entiteiten

Laatst bijgewerkt: 12 mei 2026Leestijd: 5 minDoor URL.nl Redactie

TL;DR

NIS2 verdeelt organisaties in essentiële en belangrijke entiteiten. Essentiële entiteiten staan onder proactief toezicht en kennen hogere boetemaxima, belangrijke entiteiten onder reactief toezicht. De indeling volgt uit sector en omvang, met enkele sectoren waar omvang er niet toe doet.

Het verschil in een notendop

Essentiële entiteiten zijn doorgaans grote organisaties (250+ medewerkers of 50 miljoen euro omzet) in de hoogkritieke sectoren. Belangrijke entiteiten zijn middelgrote organisaties (50+ medewerkers of 10 miljoen euro omzet) of grote organisaties in de overige NIS2-sectoren.

Soort toezicht

  • Essentieel: proactief, aangekondigde en onaangekondigde audits, ad-hoc controles, beveiligingsscans op verzoek
  • Belangrijk: reactief, toezicht wordt actief na een melding, klacht of signaal

Boetes

  • Essentieel: tot 10 miljoen euro of 2 procent wereldwijde omzet
  • Belangrijk: tot 7 miljoen euro of 1,4 procent wereldwijde omzet

Uitzonderingen op omvang

Sommige organisaties vallen ongeacht omvang onder NIS2, bijvoorbeeld DNS-aanbieders, top-level domain name registries, aanbieders van vertrouwensdiensten en delen van de overheid.

Hoe je je categorie bepaalt

  1. Identificeer je sector en subsector
  2. Tel medewerkers en bepaal jaaromzet (over de hele juridische entiteit, niet per locatie)
  3. Toets of er sector-specifieke uitzonderingen gelden
  4. Documenteer de uitkomst en de redenering, dit is bewijs richting de toezichthouder

Veelgestelde vragen

Wat als ik op de grens zit?

Tel conservatief, dus alle medewerkers en omzet binnen de juridische entiteit, en kies bij twijfel de zwaardere categorie.

Wijzigt mijn categorie als we groeien?

Ja, je bent verplicht wijzigingen door te geven aan de bevoegde toezichthouder.

Kan ik bezwaar maken tegen aanwijzing als essentieel?

Een formele aanwijzing volgt het bestuursrecht, dus bezwaar en beroep zijn mogelijk, maar de feitelijke kwalificatie volgt uit de wet.

Deze informatie is bedoeld als praktische uitleg en vormt geen juridisch advies. Controleer altijd de actuele wetgeving en raadpleeg waar nodig een juridisch adviseur of toezichthouder.

Verder lezen

Laatst bijgewerkt op 12 mei 2026 door de URL.nl Redactie.

Wil je weten wat jouw organisatie nodig heeft?

Plan een korte cybersecurity intake. We nemen samen je situatie door en geven concrete vervolgstappen.

Plan een cybersecurity intake