Al 22.800 keer werd de tool Zelfevaluatie anoniem geraadpleegd door de 9 sectoren waarop de Rijksinspectie Digitale Infrastructuur (RDI) toezicht gaat houden. Hieruit bleek dat 58% van deze organisaties onder de NIS2-regels valt. De Europese NIS2-richtlijn (Network and Information Security 2) wordt nu omgezet in nationale wetgeving: de Cyberbeveiligingswet (Cbw).

Wat is de Zelfevaluatietool?

Met de Zelfevaluatietool ontdekt u of uw organisatie onder de NIS2 valt. Als u de tool heeft ingevuld, dan ziet u of de wet voor uw organisatie geldt. U ziet ook of uw organisatie ‘essentieel’ of ‘belangrijk’ is, en of uw organisatie onder Nederlands toezicht valt. Het belangrijkste verschil tussen essentiële en belangrijke organisaties zit in de maatschappelijke impact bij uitval en heeft gevolgen voor de intensiteit van het toezicht op uw organisatie.

De tool is bedoeld voor organisaties die producten of diensten leveren in de EU, vooral in de sectoren die onder de Cbw gaan vallen.

Belangrijk is wel: de uitkomst van de tool geeft u een eerste indruk. Het is geen definitief besluit of uw organisatie aan de Cbw moet (gaan) voldoen. Het is een handige start om te zien of u aan de slag moet met alle voorbereidingen op de Cyberbeveiligingswet.

Welke 9 sectoren vallen onder de RDI?

Op 9 sectoren gaat de RDI toezicht houden voor de Cbw:

Essentiële organisaties

Belangrijke organisaties

  • Energie
  • Digitale infrastructuur
  • Beheer van ICT-diensten
  • Overheid (behalve waterschappen)
  • Ruimtevaart
  • Post- en koeriersdiensten
  • Vervaardiging
  • Digitale aanbieders
  • Onderzoek voor organisaties die vallen onder het ministerie van Economische Zaken en Klimaat (EZK)

Wat zien we bij de sectoren waarop RDI toezicht gaat houden?

Van de 22.800 bruikbare en volledige datasets valt 58% van de organisaties onder de NIS2-regels. Dat bleek uit de resultaten van de periode van 1 januari 2023 t/m 30 september 2025. Voor 37% organisaties geldt de NIS2 niet, en voor circa 5% moet de uitkomst nader worden vastgesteld.

Van de organisaties waarvoor de wet wel geldt:

  • 22% ziet zichzelf als ‘essentieel’;
  • 28% ziet zichzelf als ‘belangrijk’.

Bij 3% van de organisaties gaat andere cybersecuritywetgeving voor op de NIS2, bijvoorbeeld de Digital Operational Resilience Act (DORA) voor de financiële sector.

Tot slot weet 5% organisaties nog niet zeker of deze wet voor hen geldt.

Wat kunt u nu het beste doen?

De Cbw legt essentiële en belangrijke organisaties dezelfde verplichtingen op:

  • Registratieplicht: u moet uw organisatie inschrijven in het nationale entiteitenregister via Mijn.NCSC.nl. U kunt zich nu al vrijwillig registreren. Zodra de Cyberbeveiligingswet inwerking treedt, is deze registratie verplicht.
  • Meldplicht: u moet significante cyberincidenten melden binnen 24 uur aan uw sectorale Computer Security Incident Response Team (CSIRT). Ook moet u uw afnemers informeren. De meldplicht is niet alleen een verplichting, maar ook een manier om toegang te krijgen tot expertise en hulp bij het versterken van de cyberbeveiliging van uw organisatie.
  • Zorgplicht: u moet bijvoorbeeld passende technische, organisatorische en operationele maatregelen nemen voor risicomanagement, incidentdetectie, beveiliging van de toeleveringsketen, toegangsbeheer, crisisplannen en audits.

Het is verstandig om nu al met de zorgplicht aan de slag te gaan, ook al is de wet nog niet in werking. Begin met een eerste risicoanalyse en kijk welke maatregelen u al heeft genomen. Bespreek dit met uw bestuur en maak afspraken over de vervolgstappen. Hoe eerder u begint, hoe weerbaarder uw organisatie wordt tegen dreigingen en hoe beter u straks aan de wet voldoet.