Voldoet jouw organisatie aan NIS2?
Je hebt er hoogstwaarschijnlijk al van gehoord, maar twijfelt misschien of NIS2 voor jouw bedrijf relevant is. Hier kunnen we eenvoudig antwoord op geven: ja. Ook als je bedrijf niet direct tot één van de benoemde sectoren behoort, is de kans zeer groot dat je te maken hebt met een zogenaamde ketenverantwoordelijkheid. NIS2 gaat namelijk verder dan een setje richtlijnen of een simpele checklist en beweegt bedrijven ertoe om hun cybersecurity op organisatie-breed niveau kritisch onder de loep te nemen. We vertellen je graag meer over wat NIS2 inhoudt, welke richtlijnen voor jou van toepassing zijn en bovenal: wat jij eraan kan doen om zo snel mogelijk aan deze richtlijnen te voldoen.
Wat is NIS2?
NIS2 is een Europese richtlijn die bepaalt welke cybersecuritymaatregelen organisaties moeten nemen om hun netwerken en informatie te beschermen. Welke maatregelen je moet nemen, is afhankelijk van je branche én of je valt onder de categorieën Essentieel of Belangrijk. Het doel is om de veerkracht van de Europese digitale economie te vergroten en cyberaanvallen te voorkomen.
Ben je verplicht om aan de NIS2 richtlijnen te voldoen?
De wet voor NIS2 gaat zoals gepland van kracht op 1 juli 2025. Zodra deze wet wordt gehandhaafd, moet je bedrijf mogelijk voldoen aan de NIS2-richtlijn. De urgentie is hoog, omdat cyberaanvallen steeds geavanceerder worden en steeds meer schade veroorzaken. Daarnaast heb je als organisatie een zorgplicht wat betekent dat je maatregelen met treffen om je netwerk- en informatiesystemen tegen incidenten te beschermen. Wanneer je niet voldoet aan de eisen van NIS2, loop je het risico op hoge boetes en reputatieschade. Ook kun je verantwoordelijk worden gesteld voor eventuele schade die voortkomt uit een cyberaanval.
Weten tot welke sector jouw organisatie behoort? Doe de gratis check.
Welke cybersecuritymaatregelen zijn nodig?
Als je organisatie valt onder de categorieën Essentieel of Belangrijk, dan moet je voldoen aan verschillende eisen.
- Beveiligingsbeleid – bedrijven moeten over een gedegen beleid beschikken dat de algemene beveiligingsdoelen en -maatregelen bevat.
- Risicobeheer – bedrijven moeten passende maatregelen treffen om de risico’s voor de beveiliging te identificeren, beoordelen en minimaliseren.
- Incidentmanagement – beveiligingsincidenten moeten op een effectieve en efficiënte manier kunnen worden gedetecteerd, gemeld en afgehand.
- Bedrijfscontinuïteit – bedrijven moeten in staat zijn hun essentiële diensten te blijven leveren, zelfs als er een beveiligingsincident of verstoring is.
- Samenwerking met bevoegde nationale instanties – bedrijven moeten beveiligingsincidenten melden aan deze instanties en relevante informatie delen.
- Compliance en audits – bedrijven moeten kunnen aantonen dat ze voldoen aan NIS2 en bereid zijn om audits te ondergaan om naleving te verifiëren.
- Cyberbewustwording – door het trainen van medewerkers worden zij zich bewust van alle mogelijke risico’s en leren ze gevaren herkennen.
- Passende maatregelen – bedrijven moeten de benodigde stappen zetten om de continuïteit van hun diensten te waarborgen.
Veelgestelde vragen
Is mijn MKB-bedrijf onderhevig aan NIS2?
NIS2 is van toepassing op een breed scala aan organisaties, waaronder "essentiële" en "belangrijke" dienstverleners. Ook als jouw bedrijf niet valt onder de genoemde sectoren, is de kans zeer groot dat je alsnog te maken hebt met de zogenaamde ketenverantwoordelijkheid. Het kan namelijk zijn dat je klanten naleving eisen, zelfs als je technisch gezien niet onder NIS2 valt. Het doel van NIS2 is om de cyberweerbaarheid van bedrijven in de hele EU te vergroten. Door te voldoen aan de richtlijn versterk je dus hoe dan ook je beveiliging!
Wat zijn de vereisten van NIS2?
- Zorgplicht – Het is de bedoeling dat organisaties zelf een risicobeoordeling uitvoeren. Op basis van deze risicobeoordeling kan worden besloten welke maatregelen genomen moeten worden om de continuïteit van je diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Vanuit de verschillende sectoren van NIS2 worden nadere regels gesteld aan de zorgplicht. Voor de overheid omvat dit in elk geval de Baseline Informatiebeveiliging Overheid (BIO) 2.0.
- Meldplicht – Wanneer er een incident plaatsvindt, moet je als organisatie binnen 24 uur melding doen bij de toezichthouder. Het gaat hierbij om incidenten die de continuïteit van dienstverlening van de essentiële entiteit aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), die hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen. De drempelwaarden in specifieke sectoren wordt in nadere regelgeving verder uitgewerkt.
- Toezicht – Organisaties die onder de richtlijn vallen, krijgen ook verplicht toezicht. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder kijkt naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Voor de overheid wordt de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als toezichthouder. De RDI maakt voor het toezicht op NIS2 voor de overheid gebruik van bestaande verantwoordingsstructuren. Dit om mogelijke administratieve lasten van het toezicht tot een minimum te beperken.
Wat gebeurt er als ik niet voldoe aan de NIS2-vereisten?
Niet-naleving van de NIS2-vereisten kan leiden tot sancties, waaronder aanzienlijke boetes. De exacte sancties variëren per EU-lidstaat.
Hoe kan ik voldoen aan de NIS2-vereisten?
Om te voldoen aan de NIS2-vereisten, moet je passende beveiligingsmaatregelen implementeren, een incidentresponsplan opstellen, periodieke beveiligingsaudits uitvoeren en incidenten melden. Schakel ons in om je hierbij te helpen.
Wanneer treedt NIS2 in werking?
De exacte datum waarop NIS2 in werking treedt, varieert per EU-lidstaat, aangezien lidstaten hun eigen wetten moeten aannemen om de richtlijn te implementeren. In Nederland is de datum onlangs vastgesteld op 1 juli 2025.
Advies en ondersteuning nodig?
Om aan NIS2 te voldoen, moet je de nodige cybersecuritymaatregelen implementeren binnen je organisatie. Wij begrijpen dat je niet direct de kennis hebt om aan al deze maatregelen te voldoen en staan voor je klaar om je te helpen en adviseren bij de weg naar compliance. Mocht je na het lezen van bovenstaande informatie en FAQ’s meer informatie willen of weten hoe wij je kunnen helpen, aarzel dan niet en neem vandaag nog contact met ons op.