Voldoet jouw organisatie aan NIS2?

Je hebt er hoogstwaarschijnlijk al van gehoord, maar twijfelt misschien of NIS2 voor jouw bedrijf relevant is. Hier kunnen we eenvoudig antwoord op geven: ja. Ook als je bedrijf niet direct tot één van de benoemde sectoren behoort, is de kans zeer groot dat je te maken hebt met een zogenaamde ketenverantwoordelijkheid. NIS2 gaat namelijk verder dan een setje richtlijnen of een simpele checklist en beweegt bedrijven ertoe om hun cybersecurity op organisatie-breed niveau kritisch onder de loep te nemen. We vertellen je graag meer over wat NIS2 inhoudt, welke richtlijnen voor jou van toepassing zijn en bovenal: wat jij eraan kan doen om zo snel mogelijk aan deze richtlijnen te voldoen.

NIS2 handleiding

Wat is NIS2?

NIS2 is een Europese richtlijn die bepaalt welke cybersecuritymaatregelen organisaties moeten nemen om hun netwerken en informatie te beschermen. Welke maatregelen je moet nemen, is afhankelijk van je branche én of je valt onder de categorieën Essentieel of Belangrijk. Het doel is om de veerkracht van de Europese digitale economie te vergroten en cyberaanvallen te voorkomen.

Ben je verplicht om aan de NIS2 richtlijnen te voldoen?

De wet voor NIS2 gaat zoals gepland van in oktober 2025. Zodra deze wet wordt gehandhaafd, moet je bedrijf mogelijk voldoen aan de NIS2-richtlijn. De urgentie is hoog, omdat cyberaanvallen steeds geavanceerder worden en steeds meer schade veroorzaken. Daarnaast heb je als organisatie een zorgplicht wat betekent dat je maatregelen met treffen om je netwerk- en informatiesystemen tegen incidenten te beschermen. Wanneer je niet voldoet aan de eisen van NIS2, loop je het risico op hoge boetes en reputatieschade. Ook kun je verantwoordelijk worden gesteld voor eventuele schade die voortkomt uit een cyberaanval.

Weten tot welke sector jouw organisatie behoort? Doe de gratis check.

Welke cybersecuritymaatregelen zijn nodig?

Als je organisatie valt onder de categorieën Essentieel of Belangrijk, dan moet je voldoen aan verschillende eisen.

Beveiligingsbeleid: bedrijven moeten over een gedegen beleid beschikken dat de algemene beveiligingsdoelen en -maatregelen bevat.
Risicobeheer: bedrijven moeten passende maatregelen treffen om de risico’s voor de beveiliging te identificeren, beoordelen en minimaliseren.
Incidentmanagement: beveiligingsincidenten moeten op een effectieve en efficiënte manier kunnen worden gedetecteerd, gemeld en afgehand.
Bedrijfscontinuïteit: bedrijven moeten in staat zijn hun essentiële diensten te blijven leveren, zelfs als er een beveiligingsincident of verstoring is.
Samenwerking met bevoegde nationale instanties: bedrijven moeten beveiligingsincidenten melden aan deze instanties en relevante informatie delen.
Compliance en audits: bedrijven moeten kunnen aantonen dat ze voldoen aan NIS2 en bereid zijn om audits te ondergaan om naleving te verifiëren.
Cyberbewustwording: door het trainen van medewerkers worden zij zich bewust van alle mogelijke risico’s en leren ze gevaren herkennen.
Passende maatregelen: bedrijven moeten de benodigde stappen zetten om de continuïteit van hun diensten te waarborgen.

Valt jouw organisatie niet onder de categorie Essentieel of Belangrijk? Dan zul je nog steeds maatregelen moeten treffen gezien de ketenverantwoordelijkheid. We willen daarbij graag benadrukken dat NIS2 niet als belemmering gezien moet worden maar juist ook als commerciële meerwaarde kan dienen. Je leest hierover meer in onze blog NIS2 als business enabler in plaats van beperkende verplichting. Ook hebben we een inzichtelijke roadmap voor je samengesteld waarmee je binnen enkele stappen op de juiste weg bent richting NIS2.

Veelgestelde vragen

Wat is NIS2?

NIS2 is de tweede Netwerk- en Informatiebeveiligingsrichtlijn, een Europese wetgeving die is ontworpen om de beveiliging en veerkracht van netwerk- en informatiesystemen in de Europese Unie te verbeteren.

Is mijn MKB-bedrijf onderhevig aan NIS2?

NIS2 is van toepassing op een breed scala aan organisaties, waaronder "essentiële" en "belangrijke" dienstverleners. Ook als jouw bedrijf niet valt onder de genoemde sectoren, is de kans zeer groot dat je alsnog te maken hebt met de zogenaamde ketenverantwoordelijkheid. Het kan namelijk zijn dat je klanten naleving eisen, zelfs als je technisch gezien niet onder NIS2 valt. Het doel van NIS2 is om de cyberweerbaarheid van bedrijven in de hele EU te vergroten. Door te voldoen aan de richtlijn versterk je dus hoe dan ook je beveiliging!

Wat zijn de vereisten van NIS2?

Zorgplicht – Het is de bedoeling dat organisaties zelf een risicobeoordeling uitvoeren. Op basis van deze risicobeoordeling kan worden besloten welke maatregelen genomen moeten worden om de continuïteit van je diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Vanuit de verschillende sectoren van NIS2 worden nadere regels gesteld aan de zorgplicht. Voor de overheid omvat dit in elk geval de Baseline Informatiebeveiliging Overheid (BIO) 2.0.
Meldplicht – Wanneer er een incident plaatsvindt, moet je als organisatie binnen 24 uur melding doen bij de toezichthouder. Het gaat hierbij om incidenten die de continuïteit van dienstverlening van de essentiële entiteit aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), die hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen. De drempelwaarden in specifieke sectoren wordt in nadere regelgeving verder uitgewerkt.
Toezicht – Organisaties die onder de richtlijn vallen, krijgen ook verplicht toezicht. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder kijkt naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Voor de overheid wordt de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als toezichthouder. De RDI maakt voor het toezicht op NIS2 voor de overheid gebruik van bestaande verantwoordingsstructuren. Dit om mogelijke administratieve lasten van het toezicht tot een minimum te beperken.

Wat gebeurt er als ik niet voldoe aan de NIS2-vereisten?

Niet-naleving van de NIS2-vereisten kan leiden tot sancties, waaronder aanzienlijke boetes. De exacte sancties variëren per EU-lidstaat.

Hoe kan ik voldoen aan de NIS2-vereisten?

Om te voldoen aan de NIS2-vereisten, moet je passende beveiligingsmaatregelen implementeren, een incidentresponsplan opstellen, periodieke beveiligingsaudits uitvoeren en incidenten melden. Schakel ons in om je hierbij te helpen.

Wanneer treedt NIS2 in werking?

De implementatie en naleving van NIS2 heeft wat vertraging opgelopen, maar gaat nu naar verwachting in per oktober 2025.

Hoe verhoudt de zorgplicht vanuit de NIS2-richtlijn zich tot bestaande normen, zoals de NEN7510 en ISO 27001?

Vanuit de sectoren die onder de NIS2-richtlijn vallen wordt met nadere regelgeving aangeduid hoe de zorgplicht specifieker ingevuld kan worden. Voor de sector overheid gebeurt dat via de Baseline Informatiebeveiliging Overheid (BIO). Vanuit andere sectoren kunnen andere normen, zoals de NEN 7510 (geldend in de zorg) worden vastgesteld. Dat bepalen de verantwoordelijke ministeries.

Moeten toeleveranciers ook voldoen aan verplichtingen van NIS2?

Leveranciers die producten of diensten leveren aan entiteiten onder de NIS2-richtlijn, vallen soms zelfstandig, maar zeker niet automatisch onder reikwijdte van de NIS2-richtlijn.

Entiteiten die onder de NIS2 vallen hebben in het kader van de zorgplicht wel een verplichting om de beveiliging van de toeleveringsketen in kaart te brengen. Een leverancier kan dus verwachten dat een NIS2-entiteit informatie opvraagt over de maatregelen die de leverancier neemt ten aanzien van cyberrisico’s en/of hier zelf eisen aan stelt.

Hoe zit het met de aansprakelijkheid voor bestuur of directie bij niet-naleving van verplichtingen vanuit de richtlijn bij overheidsinstanties?

NIS2 brengt voor overheidsbestuurders geen nieuwe aansprakelijkheden met zich mee, buiten dat wat al bestond. Dat betekent dus niet dat er helemaal geen aansprakelijkheid binnen overheidsinstanties is. Momenteel kunnen bestuurders bijvoorbeeld al bij grove nalatigheid aansprakelijk worden gesteld. Bovendien staat de aansprakelijkheid van bestuurders los van de politieke verantwoordelijkheden die bestaan bij overheidsinstanties.

De NIS2-richtlijn bevat een bepaling over de aansprakelijkheid voor bestuurders in het geval van niet-nakomen van verplichtingen van de richtlijn. Deze bepaling is niet direct van toepassing op overheidsinstanties. De NIS2-richtlijn geeft namelijk aan dat geen afbreuk kan worden gedaan aan nationaal recht inzake aansprakelijkheid van ambtenaren en gekozen of benoemde overheidsfunctionarissen.

Advies en ondersteuning nodig?

Om aan NIS2 te voldoen, moet je de nodige cybersecuritymaatregelen implementeren binnen je organisatie. Wij begrijpen dat je niet direct de kennis hebt om aan al deze maatregelen te voldoen en staan voor je klaar om je te helpen en adviseren bij de weg naar compliance. Mocht je meer informatie willen of weten hoe wij je kunnen helpen, neem dan hieronder eenvoudig contact met ons op.

"*" geeft vereiste velden aan

Naam*

Organisatie*

Telefoon*

E-mailadres*

Specifieke vraag of bericht*

Toestemmingen*

Ik ga akkoord met de privacy policy

Masero heeft mijn toestemming om contact met me op te nemen

Name

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.