NIS2 registratieplicht, wie zich moet registreren en hoe

Wat is de registratieplicht

De registratieplicht onder NIS2 verplicht aangewezen organisaties om zich actief aan te melden bij de bevoegde toezichthouder. Dat is meer dan een formaliteit, het is de basis waarop het toezicht is georganiseerd: het bepaalt welke meldroutes voor jou gelden, wie jouw aanspreekpunt is en welke sectorale eisen meewegen.

Wie moet zich registreren

De registratieplicht geldt voor zowel essentiële als belangrijke entiteiten in de achttien NIS2-sectoren. Voor enkele subcategorieën, zoals DNS-aanbieders, top-level domain name registries, cloudproviders en aanbieders van datacentrumdiensten, geldt een aanvullende registratieplicht bij ENISA op Europees niveau.

Niet zeker of je onder NIS2 valt? Lees de scope-uitleg op de NIS2-pagina.

Wanneer moet je registreren

De feitelijke registratiedatum hangt af van de inwerkingtreding van de Cyberbeveiligingswet en de openstelling van de portalen. Voor de subcategorieën die rechtstreeks onder NIS2 vallen (digitale aanbieders zoals genoemd) gold de Europese registratieverplichting al sinds 17 januari 2025.

Welke gegevens worden vastgelegd

Verwacht in elk geval de volgende gegevens.

• Naam, KvK-nummer en juridische vorm van de entiteit
• Sector en subsector waarin je actief bent
• Adres van de hoofdvestiging en eventuele vestigingen in andere EU-lidstaten
• Actueel contact voor incidentmeldingen, met 24/7 bereikbaarheid
• Lijst van lidstaten waar je diensten levert
• IP-ranges en domeinnamen voor de diensten die onder NIS2 vallen (vooral voor digitale aanbieders)

Wijzigingen in deze gegevens moeten binnen een korte termijn (meestal twee weken) worden doorgegeven.

Bij welke toezichthouder registreer je

Dat hangt af van je sector. In Nederland wordt het sectoraal toezicht ingevuld door bestaande toezichthouders, met de Rijksinspectie Digitale Infrastructuur (RDI) als centrale partij voor digitale infrastructuur en ICT-dienstenbeheer. Voor zorg geldt bijvoorbeeld de Inspectie Gezondheidszorg en Jeugd, voor energie de ACM en voor vervoer de Inspectie Leefomgeving en Transport.

Wat als je niet registreert

Het niet of niet tijdig registreren is een zelfstandige overtreding waarvoor een dwangsom of boete kan worden opgelegd. Bovendien is een ontbrekende registratie vaak een eerste signaal voor toezichthouders dat de bredere NIS2-implementatie nog niet op orde is, waarna een uitgebreider onderzoek volgt.

Stappenplan

1. Bepaal of je onder NIS2 valt en in welke categorie
2. Identificeer de bevoegde sectorale toezichthouder voor jouw organisatie
3. Verzamel de vereiste gegevens in één document, inclusief 24/7 contactpunt
4. Registreer zodra het portaal openstaat en bewaar het bewijs van registratie
5. Borg dat wijzigingen binnen de termijn worden doorgegeven, leg dit vast in je governance

Veelgestelde vragen

Moeten wij ons ook registreren als we geen formele aanwijzing hebben gehad?

Ja, het is een zelfregistratie. Een formele aanwijzing is geen voorwaarde voor de plicht.

Geldt dit ook voor onze buitenlandse vestigingen?

Voor vestigingen in andere EU-lidstaten gelden de lokale implementaties van NIS2. Registreer per lidstaat waar je diensten levert.

Wie kunnen we als 24/7 contactpunt opgeven?

Vaak een SOC-team of een security duty officer, met een functionele e-mail en telefoonnummer dat in een avond of weekend ook werkt.

Officiële bronnen

• NCSC
• RDI
• Rijksoverheid

Verder lezen: NIS2 meldplicht, NIS2 zorgplicht, Cyberbeveiligingswet.