Wat 'evenredig' in art. 21(1) NIS 2 werkelijk betekent
Het meest nuttige woord in NIS 2 is 'evenredig'. Het scheidt een uitvoering die een Mittelstand van 60 personen duurzaam kan dragen van een audit-vertoning die geen directie goedkeurt.
Waarom evenredigheid het dragende woord is
De meeste teams benaderen art. 21 NIS 2 als een checklist van tien cyberveiligheidsmaatregelen. Dat staat niet zo in de richtlijn. De richtlijn vraagt passende en evenredige maatregelen, en art. 21(1) noemt zes factoren die bepalen wat evenredig in uw concrete geval betekent.
Dat is in twee richtingen relevant. Naar boven: een Stadtwerk van 80 personen hoeft niet de GRC-stack van een bank met 5000 medewerkers te draaien. Naar beneden: u moet opschrijven waarom uw niveau toereikend is. Evenredigheid is geen vluchtweg, maar een gedocumenteerde keuze.
Eerste lezers zien dit vaak over het hoofd omdat het woord naar relativering klinkt. Het tegenovergestelde is waar. Evenredigheid is het enige juridische anker om NIS 2 aan een Mittelstand-budget aan te passen, en het enige verdedigbare argument tegenover een auditor die meer wil zien.
Art. 21(1) NIS 2 (operatief)
De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van de netwerk- en informatiesystemen die zij voor hun activiteiten of de verlening van hun diensten gebruiken te beheren en om de gevolgen van incidenten voor de afnemers van hun diensten te voorkomen of tot een minimum te beperken.
In dezelfde alinea worden zes factoren genoemd die de evenredigheid bepalen: mate van risicoblootstelling, grootte van de entiteit, waarschijnlijkheid en ernst van incidenten inclusief maatschappelijke en economische gevolgen, stand van de techniek en uitvoeringskosten. Alle zes zijn invoerwaarden, geen ervan is optioneel.
Overweging 79 NIS 2
De cyberbeveiligingsrisicobeheersmaatregelen moeten evenredig zijn met de mate van blootstelling aan risico's van de betrokken entiteit en de maatschappelijke en economische gevolgen van een incident.
Overweging 79 is het uitlegkader. Ze zegt rechters en auditors dat een kleinere entiteit met geringere grensoverschrijdende voetafdruk niet de norm hoeft te halen van een pan-Europese aanbieder.
CIR 2024/2690, art. 1
Deze verordening legt de technische en methodologische vereisten vast voor de maatregelen bedoeld in artikel 21, lid 2, van Richtlijn (EU) 2022/2555 ten aanzien van de in de bijlage opgesomde entiteiten.
De uitvoeringsverordening kwantificeert alleen voor een smalle groep digitale aanbieders (DNS, TLD, cloud, datacentrum, CDN, MSP, MSSP, marktplaats, zoekmachine, sociaal platform, vertrouwensdiensten). Voor alle anderen geldt evenredigheid zonder die kwantitatieve drempels.
Mate van risicoblootstelling
Hoe groot is het werkelijke aanvalsoppervlak? Een drinkwaterleverancier met alleen een SCADA-segment staat anders dan een ziekenhuis met patiëntgegevens op het open internet.
Grootte van de entiteit
Aantal medewerkers, omzet, marktbereik. De richtlijn verwacht van 60 en 6000 medewerkers verschillende maatregelen. Beide kunnen conform zijn.
Waarschijnlijkheid en ernst van incidenten
Historische incidentratio, interesse van dreigingsactoren in de sector, ernst bij optreden. Een farmaproducent heeft andere kansen dan een logistieke makelaar.
Maatschappelijke en economische gevolgen
Wie wordt geschaad als u uitvalt. Een netbeheerder heeft per uitval een hogere schadelast dan een B2B SaaS-bedrijf. Deze factor trekt ook in kleine entiteiten maatregelen omhoog.
Stand van de techniek
Wat zou een redelijk vergelijkbare partij momenteel inzetten. MFA voor admin-toegang is in 2026 stand van de techniek; SHA-1 voor wachtwoorden is dat niet.
Uitvoeringskosten
Uitdrukkelijk in art. 21(1) genoemd. U mag een maatregel niet weglaten omdat deze duur is, maar u mag de goedkopere route kiezen als deze het beveiligingsdoel bereikt.
Stadtwerk, 80 medewerkers, energiedistributie
Bijlage I sector, valt ongeacht de grootte onder de werkingssfeer wanneer essentiële diensten worden geleverd. Evenredige stack: MFA op admin- en OT-toegang, gesegmenteerd OT-netwerk, schriftelijke leveranciersclausules, jaarlijkse incidentoefening, gedocumenteerd risicoregister. Geen SOC, geen SIEM-als-dienst. Verdedigbaar omdat de blootstelling sectoraal is maar de personele omvang klein.
Ziekenhuis, 200 medewerkers, regionale kliniek
Bijlage I sector gezondheid. Evenredige stack voegt toe: versleuteling van patiëntgegevens at rest, leveranciersaudit voor klinische IT-leveranciers, 24/7 bereikbaarheid voor incidentrespons, formeel classificatiebeleid. Zwaarder dan het Stadtwerk omdat de maatschappelijke schade per uitval hoger is en het aanvalsoppervlak breder.
Schriftelijke evenredigheidsanalyse
Loop de zes factoren langs, neem een standpunt in over elk, motiveer waarom de resulterende maatregeldiepte volstaat. Eén pagina volstaat voor 60 personen.
Kosten-batenoverweging per overgeslagen stap
Als een vergelijkbare entiteit X doet en u niet, documenteer dan waarom. Stand van de techniek plus kosten is een legitieme reden. Stilte niet.
Jaarlijkse herziening
Evenredigheidsbeslissingen verouderen. Dreigingslandschap schuift, uw omvang verandert, de praktijk van vergelijkbare partijen schuift. Minstens jaarlijks herzien.
- Richtlijn (EU) 2022/2555 (NIS 2), art. 21(1) en overweging 79, www.eur-lex.europa.eu
- Uitvoeringsverordening (EU) 2024/2690 (CIR), art. 1, www.eur-lex.europa.eu
- Wet betreffende het Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30 (nationale omzetting van art. 21), www.gesetze-im-internet.de
- ENISA Technical Implementation Guidance v1.0 (juni 2025) over de evenredigheidsbeoordeling
Deze pagina biedt gestructureerde informatie op basis van openbaar toegankelijke bronnen (NIS 2 Richtlijn, CIR 2024/2690, BSIG, ENISA TIG). Het is geen juridisch advies in de zin van §2 RDG. Voor concrete gevallen wendt u zich tot een toegelaten advocaat. Stand: 2026-06-04.