NIS2 begrijpen

De Europese cybersecurityrichtlijn wordt Nederlandse wet. Dit moet u weten en doen.

NIS2 is de bijgewerkte Europese richtlijn voor de beveiliging van netwerk- en informatiesystemen. Het vervangt de oorspronkelijke NIS-richtlijn uit 2016 en legt de lat aanzienlijk hoger voor hoe organisaties zich moeten beschermen tegen cyberdreigingen. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet.

Het doel is helder: organisaties waar de maatschappij van afhankelijk is, van ziekenhuizen tot energiebedrijven tot IT-dienstverleners, moeten cybersecurity serieus nemen. Niet als bijzaak, maar als kernonderdeel van hun bedrijfsvoering.

Valt uw organisatie onder NIS2?

NIS2 trekt een veel breder net dan zijn voorganger. De richtlijn is van toepassing op organisaties in twee categorieën.

Essentiële entiteiten

Sectoren waar verstoring grote maatschappelijke gevolgen heeft:

  • Energie (elektriciteit, olie, gas, waterstof)
  • Transport (lucht, spoor, weg, water)
  • Gezondheidszorg
  • Drinkwater en afvalwater
  • Digitale infrastructuur (DNS, datacentra, cloud)
  • Bankwezen en financiële markten
  • Overheidsdiensten
  • Ruimtevaart

Belangrijke entiteiten

Sectoren met aanzienlijke maar minder kritieke impact:

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Voedselproductie en -distributie
  • Maakindustrie (medische apparaten, elektronica, machines)
  • Chemische productie
  • Digitale dienstverleners (marktplaatsen, zoekmachines)
  • Onderzoeksorganisaties

De algemene drempel: organisaties met meer dan 50 medewerkers of een jaaromzet van meer dan EUR 10 miljoen. Maar ook kleinere organisaties kunnen eronder vallen, vooral als ze deel uitmaken van de toeleveringsketen van een essentiële of belangrijke entiteit.

Doe onze NIS2 scope checker voor een snelle indicatie →

Wat vereist NIS2?

De richtlijn komt neer op vier verplichtingen.

Zorgplicht

U moet passende technische en organisatorische maatregelen nemen om beveiligingsrisico's te beheersen. Dat betekent risicobeoordelingen, toegangscontroles, encryptie waar nodig, back-upprocedures, incidentbeheer en beveiliging van de toeleveringsketen.

"Passend" betekent in verhouding tot uw risico's. Niet voor iedereen hetzelfde, maar ook niet vrijblijvend.

Meldplicht

Significante beveiligingsincidenten moeten worden gemeld bij de autoriteiten, en de klok tikt snel:

  • Binnen 24 uur: eerste melding bij het NCSC
  • Binnen 72 uur: vervolgmelding met meer details
  • Binnen 1 maand: volledig rapport inclusief oorzaak en herstelmaatregelen

Registratieplicht

Organisaties die onder NIS2 vallen moeten zich registreren bij het Nationaal Cyber Security Centrum (NCSC). In ruil ontvangt u relevante dreigingsinformatie en vroegtijdige waarschuwingen over kwetsbaarheden en dreigingen die relevant zijn voor uw sector.

Bestuurlijke verantwoordelijkheid

Dit is het punt dat aandacht krijgt in de bestuurskamer. Onder NIS2 is het bestuur verantwoordelijk voor cybersecurity. Bestuurders moeten een training volgen over cyberrisico's en zij kunnen persoonlijk aansprakelijk worden gesteld als de organisatie niet aan haar verplichtingen voldoet.

Sancties

Bij niet-naleving kunnen de volgende sancties worden opgelegd:

  • Boetes tot EUR 10 miljoen of 2% van de wereldwijde jaaromzet (het hoogste bedrag geldt)
  • Persoonlijke aansprakelijkheid voor bestuurders
  • Toezichtmaatregelen en mogelijke operationele beperkingen

Wat moet u nu doen?

Ook al is de Nederlandse Cyberbeveiligingswet nog niet definitief, de richting is duidelijk. Organisaties die nu beginnen lopen voor en voorkomen een last-minute haastklus.

  • Bepaal uw scope - Beoordeel uw sector, omvang en rol in toeleveringsketens om vast te stellen of NIS2 op u van toepassing is.
  • Ken uw positie - Waar staat u nu ten opzichte van de NIS2-vereisten? Wat is er al geregeld en waar zitten de hiaten?
  • Identificeer de hiaten - Kijk naar risicobeheer, incidentrespons, governance en toeleveringsketenbeheer.
  • Bouw een roadmap - Prioriteer op basis van risico en werk systematisch naar compliance, niet alles tegelijk.
  • Bereid uw bestuur voor - Zorg dat het management zijn verantwoordelijkheden begrijpt en actief betrokken is.
  • Wacht niet af - De regelgeving komt eraan. Vroeg beginnen geeft u de tijd om het goed te doen in plaats van snel.

Hoe EnableNext kan helpen

Wij begeleiden organisaties bij NIS2 van beoordeling tot implementatie. Praktisch, proportioneel en zonder onnodige complexiteit.

  • NIS2 scope assessment - Bepaal of en hoe de richtlijn op uw organisatie van toepassing is.
  • Gap-analyse - Meet uw huidige positie af tegen de NIS2-vereisten en identificeer wat aandacht nodig heeft.
  • Implementatieondersteuning - Risicoframeworks, incidentprocedures, governance en toeleveringsketenbeheer.
  • Bestuurlijke briefings - Help het management te begrijpen wat er van hen wordt verwacht onder NIS2, in duidelijke taal.

Niet zeker waar te beginnen?

Neem contact op om uw situatie te bespreken, of controleer of NIS2 op uw organisatie van toepassing is.

Neem contact op NIS2 Scope Checker