Voldoet jouw organisatie aan NIS2?
De kans is groot dat jouw organisatie met NIS2, en dus met de komende Cyberbeveiligingswet (Cbw), te maken krijgt. Zelfs wanneer je niet onder een benoemde sector valt, heb je vrijwel altijd te maken met ketenverantwoordelijkheid. NIS2 gaat verder dan een checklist: het vraagt organisaties om hun cybersecurity structureel, organisatie breed en aantoonbaar te verbeteren. We vertellen je op deze pagina meer over wat deze Cyberbeveiligingswet precies inhoudt, welke richtlijnen voor jou van toepassing zijn en bovenal: wat jij eraan kan doen om zo snel mogelijk aan deze richtlijnen te voldoen.
Wat is NIS2?
NIS2 is de Europese richtlijn die de cyberbeveiliging en digitale weerbaarheid binnen de EU moet verhogen. De richtlijn is sinds 16 januari 2023 van kracht, maar wordt nog niet actief gehandhaafd. EU-lidstaten moeten NIS2 namelijk eerst omzetten in nationale wetgeving.
Momenteel wordt er hard gewerkt aan het implementeren van NIS2 in de Nederlandse Cbw die als vervanging dient voor de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). De implementatie is al een aantal keren uitgesteld en wordt naar verwachting doorgevoerd in het tweede kwartaal van 2026.
Ben je verplicht om aan NIS2/Cbw te voldoen?
Zodra de Cyberbeveiligingswet wet wordt gehandhaafd, krijg je als bedrijf linksom of rechtsom te maken met de NIS2-richtlijn. Dit klinkt misschien nog ver weg, maar het is raadzaam om toch nu al actie te ondernemen. De urgentie is hoog, omdat cyberaanvallen steeds geavanceerder worden en steeds meer schade veroorzaken. Daarnaast heb je als organisatie een zorgplicht wat betekent dat je maatregelen met treffen om je netwerk- en informatiesystemen tegen incidenten te beschermen. Wanneer je niet voldoet aan de eisen van NIS2, loop je het risico op hoge boetes en reputatieschade. Ook kun je verantwoordelijk worden gesteld voor eventuele schade die voortkomt uit een cyberaanval.
Weten tot welke sector jouw organisatie behoort? Doe de gratis check.
Welke cybersecuritymaatregelen zijn nodig?
Om te voldoen aan de Cbw, moet je ervoor zorgen dat de volgende zaken op orde zijn binnen je organisatie:
Beveiligingsbeleid – Een aantoonbaar, actueel beleid dat aansluit op de risico’s voor jouw organisatie.
Risicomanagement – Continue identificatie en beheersing van risico’s, inclusief technische en organisatorische maatregelen.
Incidentmanagement – Incidenten moeten kunnen worden gedetecteerd, geregistreerd, gemeld en afgehandeld volgens strikte tijdlijnen.
Bedrijfscontinuïteit – Continuïteitsplannen, back-ups en procedures moeten ervoor zorgen dat essentiële diensten blijven draaien.
Meldplicht – Incidenten moeten tijdig worden gemeld aan de toezichthoudende instanties volgens Cbw criteria.
Samenwerking met autoriteiten – Organisaties moeten relevante informatie delen en audits toestaan.
Compliance & audits – Je moet kunnen aantonen dat je voldoet, inclusief documentatie, monitoring en periodieke controles.
Cyberbewustzijn & training – Medewerkers én bestuurders moeten voldoende kennis in huis hebben. Het Cbw introduceert zelfs een opleidingsplicht voor bestuurders.
NIS2 als business enabler
Als jouw organisatie voldoet aan de Cbw en NIS2 succesvol heeft geïmplementeerd, biedt dit een sterke commerciële meerwaarde. Je leest hierover meer in onze blog NIS2 als business enabler in plaats van beperkende verplichting.
De tijd om je bedrijf hierop voor te bereiden is nu:
- Zorg voor een actuele risicoanalyse
- Werk aan beleid, incidentmanagement en continuïteit
- Breng ketenrisico’s in kaart
- Train je medewerkers en verhoog het bewustzijn
- Leg maatregelen aantoonbaar vast
Meer weten? We hebben een roadmap voor je samengesteld waarmee je binnen enkele stappen op de juiste weg bent richting NIS2.
Veelgestelde vragen
Wat is NIS2?
NIS2 is de tweede Netwerk- en Informatiebeveiligingsrichtlijn, een Europese wetgeving die is ontworpen om de beveiliging en veerkracht van netwerk- en informatiesystemen in de Europese Unie te verbeteren.
Is mijn MKB-bedrijf onderhevig aan NIS2?
NIS2 is van toepassing op een breed scala aan organisaties, waaronder "essentiële" en "belangrijke" dienstverleners. Ook als jouw bedrijf niet valt onder de genoemde sectoren, is de kans zeer groot dat je alsnog te maken hebt met de zogenaamde ketenverantwoordelijkheid. Het kan namelijk zijn dat je klanten naleving eisen, zelfs als je technisch gezien niet onder NIS2 valt. Het doel van NIS2 is om de cyberweerbaarheid van bedrijven in de hele EU te vergroten. Door te voldoen aan de richtlijn versterk je dus hoe dan ook je beveiliging!
Wat zijn de vereisten van NIS2?
- Zorgplicht – Het is de bedoeling dat organisaties zelf een risicobeoordeling uitvoeren. Op basis van deze risicobeoordeling kan worden besloten welke maatregelen genomen moeten worden om de continuïteit van je diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Vanuit de verschillende sectoren van NIS2 worden nadere regels gesteld aan de zorgplicht. Voor de overheid omvat dit in elk geval de Baseline Informatiebeveiliging Overheid (BIO) 2.0.
- Meldplicht – Wanneer er een incident plaatsvindt, moet je als organisatie binnen 24 uur melding doen bij de toezichthouder. Het gaat hierbij om incidenten die de continuïteit van dienstverlening van de essentiële entiteit aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), die hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen. De drempelwaarden in specifieke sectoren wordt in nadere regelgeving verder uitgewerkt.
- Toezicht – Organisaties die onder de richtlijn vallen, krijgen ook verplicht toezicht. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder kijkt naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Voor de overheid wordt de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als toezichthouder. De RDI maakt voor het toezicht op NIS2 voor de overheid gebruik van bestaande verantwoordingsstructuren. Dit om mogelijke administratieve lasten van het toezicht tot een minimum te beperken.
Wat gebeurt er als ik niet voldoe aan de NIS2-vereisten?
Niet-naleving van de NIS2-vereisten kan leiden tot sancties, waaronder aanzienlijke boetes. De exacte sancties variëren per EU-lidstaat.
Hoe kan ik voldoen aan de NIS2-vereisten?
Om te voldoen aan de NIS2-vereisten, moet je passende beveiligingsmaatregelen implementeren, een incidentresponsplan opstellen, periodieke beveiligingsaudits uitvoeren en incidenten melden. Schakel ons in om je hierbij te helpen.
Wanneer treedt NIS2 in werking?
De implementatie en naleving van NIS2 heeft vertraging opgelopen maar wordt naar verwachting geïmplementeerd in Q2 van 2026. De richtlijn verschaft momenteel al wel rechten voor entiteiten die onderhevig zijn aan NIS2 maar er is nog geen wettelijke plicht om te voldoen.
Hoe verhoudt de zorgplicht vanuit de NIS2-richtlijn zich tot bestaande normen, zoals de NEN7510 en ISO 27001?
Vanuit de sectoren die onder de NIS2-richtlijn vallen wordt met nadere regelgeving aangeduid hoe de zorgplicht specifieker ingevuld kan worden. Voor de sector overheid gebeurt dat via de Baseline Informatiebeveiliging Overheid (BIO). Vanuit andere sectoren kunnen andere normen, zoals de NEN 7510 (geldend in de zorg) worden vastgesteld. Dat bepalen de verantwoordelijke ministeries.
Moeten toeleveranciers ook voldoen aan verplichtingen van NIS2?
Leveranciers die producten of diensten leveren aan entiteiten onder de NIS2-richtlijn, vallen soms zelfstandig, maar zeker niet automatisch onder reikwijdte van de NIS2-richtlijn.
Entiteiten die onder de NIS2 vallen hebben in het kader van de zorgplicht wel een verplichting om de beveiliging van de toeleveringsketen in kaart te brengen. Een leverancier kan dus verwachten dat een NIS2-entiteit informatie opvraagt over de maatregelen die de leverancier neemt ten aanzien van cyberrisico’s en/of hier zelf eisen aan stelt.
Hoe zit het met de aansprakelijkheid voor bestuur of directie bij niet-naleving van verplichtingen vanuit de richtlijn bij overheidsinstanties?
NIS2 brengt voor overheidsbestuurders geen nieuwe aansprakelijkheden met zich mee, buiten dat wat al bestond. Dat betekent dus niet dat er helemaal geen aansprakelijkheid binnen overheidsinstanties is. Momenteel kunnen bestuurders bijvoorbeeld al bij grove nalatigheid aansprakelijk worden gesteld. Bovendien staat de aansprakelijkheid van bestuurders los van de politieke verantwoordelijkheden die bestaan bij overheidsinstanties.
De NIS2-richtlijn bevat een bepaling over de aansprakelijkheid voor bestuurders in het geval van niet-nakomen van verplichtingen van de richtlijn. Deze bepaling is niet direct van toepassing op overheidsinstanties. De NIS2-richtlijn geeft namelijk aan dat geen afbreuk kan worden gedaan aan nationaal recht inzake aansprakelijkheid van ambtenaren en gekozen of benoemde overheidsfunctionarissen.
Advies en ondersteuning nodig?
Om aan NIS2 te voldoen, moet je de nodige cybersecuritymaatregelen implementeren binnen je organisatie. Wij begrijpen dat je niet direct de kennis hebt om aan al deze maatregelen te voldoen en staan voor je klaar om je te helpen en adviseren bij de weg naar compliance. Mocht je meer informatie willen of weten hoe wij je kunnen helpen, neem dan hieronder eenvoudig contact met ons op.
"*" geeft vereiste velden aan
© 2023 Masero 
