Officieel nalevingsdocument met rood zegel en hangslot op donker bureau, verlicht door gerichte bureaulamp.

Wat is NIS2 en wat betekent het voor jouw bedrijf?

De NIS2-richtlijn is Europese wetgeving die organisaties in kritieke sectoren verplicht om hun cyberbeveiliging op orde te brengen. De richtlijn legt concrete eisen op aan risicobeheer, incidentmelding en bestuurlijke verantwoordelijkheid, met als doel de digitale weerbaarheid van de EU als geheel te versterken. In dit artikel beantwoorden we de meest gestelde vragen over NIS2 en wat het concreet betekent voor jouw organisatie.

Voor welke bedrijven geldt de NIS2-richtlijn?

De NIS2-richtlijn geldt voor organisaties in sectoren die als essentieel of belangrijk worden beschouwd voor de samenleving. In Nederland vallen naar schatting ruim 10.000 organisaties direct onder de wet, en nog eens circa 50.000 bedrijven die aan deze groep leveren, krijgen er indirect mee te maken zodra er sprake is van risico’s in de toeleveringsketen.

De wet maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten zijn organisaties in sectoren zoals energie, transport, water, gezondheidszorg, digitale infrastructuur en de overheid. Belangrijke entiteiten omvatten onder andere post- en koeriersdiensten, afvalbeheer, de chemische industrie en digitale aanbieders. Het verschil zit vooral in de intensiteit van het toezicht: essentiële entiteiten staan onder strenger toezicht dan belangrijke entiteiten.

Voor de overheid gelden aparte regels. Ministeries, provincies, gemeenten en waterschappen vallen automatisch onder de cyberbeveiligingswetgeving. Zelfstandige bestuursorganen en gemeenschappelijke regelingen moeten per geval worden beoordeeld aan de hand van vier wettelijke criteria.

Ben je niet zeker of jouw organisatie onder de wet valt? Je bent zelf verantwoordelijk om dit te bepalen. Hulpmiddelen hiervoor zijn de NIS2 Zelfevaluatietool via regelhulpenvoorbedrijven.nl en de Flowchart Registratieplicht van het NCSC.

Wat zijn de verplichtingen onder NIS2?

Organisaties die onder de NIS2-richtlijn vallen, hebben vier hoofdverplichtingen: een zorgplicht voor risicobeheer, een registratieplicht bij het NCSC, een meldplicht voor significante incidenten en een trainingsplicht voor bestuurders. Samen vormen deze verplichtingen de basis voor structurele digitale weerbaarheid.

Zorgplicht: passende maatregelen nemen

De zorgplicht verplicht organisaties om passende technische en organisatorische maatregelen te nemen om de continuïteit van hun dienstverlening te waarborgen. De basis is een risicobeoordeling. Minimummaatregelen omvatten onder andere:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen
  • Maatregelen voor bedrijfscontinuïteit en crisisbeheer
  • Beveiliging van de toeleveringsketen (supply chain security)
  • Beleid voor gebruik van cryptografie en encryptie
  • Toegangsbeveiliging en multi-factorauthenticatie
  • Beveiligingsmaatregelen voor personeel

Registratieplicht, meldplicht en trainingsplicht

Organisaties die onder de wet vallen, zijn verplicht zich te registreren in het entiteitenregister via het NCSC-portaal. Door registratie ontvang je informatie over actuele cyberdreigingen. Vrijwillige registratie was al mogelijk vanaf 17 oktober 2024; de verplichting gaat in na inwerkingtreding van de Cyberbeveiligingswet.

Bij een significant cyberincident geldt een strikte meldprocedure in drie stappen: een vroegtijdige waarschuwing binnen 24 uur na ontdekking, een vervolgmelding met aanvullende informatie binnen 72 uur, en een eindverslag met een gedetailleerde beschrijving uiterlijk één maand na de eerste melding.

Daarnaast verplicht de wet alle bestuurders om een cybersecuritytraining te volgen. Via deze training leren zij beveiligingsrisico’s te herkennen, risicobeheersmaatregelen te beoordelen en de gevolgen voor hun organisatie te overzien. Bestuurders hebben maximaal twee jaar na inwerkingtreding van de wet om aan deze verplichting te voldoen.

Wat zijn de gevolgen als je niet voldoet aan NIS2?

Niet voldoen aan de NIS2-richtlijn kan leiden tot aanzienlijke financiële boetes en reputatieschade. Essentiële entiteiten riskeren boetes tot maximaal 10 miljoen euro of 2% van hun wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten gelden boetes tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Naast financiële sancties is er een persoonlijk risico voor het senior management. Bij ernstige overtredingen kan het management persoonlijk aansprakelijk worden gesteld, wat van cybersecurity een echte boardroomkwestie maakt. Voor overheidsorganisaties geldt overigens dat de aansprakelijkheidsbepaling voor bestuurders uitdrukkelijk niet van toepassing is, maar de bestuurlijke verantwoordelijkheid voor cyberweerbaarheid blijft onverminderd gelden.

Het toezicht op naleving is voor de meeste overheidssectoren belegd bij de Rijksinspectie Digitale Infrastructuur (RDI), en voor waterschappen bij de Inspectie Leefomgeving en Transport (ILT). De toezichthouders maken zoveel mogelijk gebruik van bestaande verantwoordingsstructuren om de administratieve lasten te beperken.

Hoe verschilt NIS2 van de originele NIS-richtlijn?

NIS2 is een ingrijpende uitbreiding van de oorspronkelijke NIS-richtlijn uit 2016. De voornaamste verschillen zijn een veel bredere reikwijdte, strengere verplichtingen, hogere boetes en expliciete bestuurlijke verantwoordelijkheid. Waar de eerste NIS-richtlijn zich beperkte tot een relatief kleine groep aanbieders van essentiële diensten, trekt NIS2 de scope aanzienlijk ruimer.

Concreet zijn de belangrijkste verschillen:

  • Meer sectoren: NIS2 omvat aanzienlijk meer sectoren dan haar voorganger, waaronder de publieke sector, post- en koeriersdiensten en de voedingsindustrie.
  • Strengere eisen aan risicobeheer: NIS2 vereist uitgebreider beleid, inclusief supply chain security en cryptografiebeleid, die in de originele richtlijn niet of nauwelijks aan bod kwamen.
  • Bestuurlijke verantwoordelijkheid: De originele richtlijn legde de verantwoordelijkheid niet expliciet bij het bestuur. NIS2 doet dat wel, inclusief een trainingsplicht voor bestuurders.
  • Hogere boetes: De sancties zijn fors verhoogd ten opzichte van de eerste richtlijn.
  • Harmonisatie: NIS2 streeft naar meer uniformiteit in implementatie tussen EU-lidstaten, wat grensoverschrijdend opererende organisaties meer duidelijkheid geeft.

In Nederland wordt de NIS2-richtlijn omgezet via de Cyberbeveiligingswet (Cbw), het Cyberbeveiligingsbesluit (Cbb) en sectorspecifieke ministeriële regelingen. Dit drielaagse systeem zorgt voor zowel een gemeenschappelijke basis als ruimte voor sectorspecifieke invulling.

Hoe begin je met NIS2-compliance in jouw organisatie?

De eerste stap naar NIS2-compliance is bepalen of jouw organisatie onder de wet valt. Gebruik daarvoor de NIS2 Zelfevaluatietool of de Flowchart Registratieplicht van het NCSC. Wacht niet op de officiële inwerkingtreding van de wet: de risico’s bestaan nu al, en vroegtijdige voorbereiding geeft je een voorsprong.

Een praktische aanpak bestaat uit de volgende stappen:

  1. Bepaal je status: Val je onder de wet als essentiële of belangrijke entiteit?
  2. Voer een gap-analyse uit: Breng in kaart welke maatregelen al aanwezig zijn en wat er nog ontbreekt.
  3. Registreer je bij het NCSC-portaal: Vrijwillige registratie is al mogelijk en geeft je toegang tot dreigingsinformatie.
  4. Stel of actualiseer beleid op: Denk aan risicoanalyse, incidentrespons, toegangsbeveiliging en supply chain-beleid.
  5. Train je bestuurders: De trainingsplicht geldt voor alle leden van het bestuur en moet binnen twee jaar na inwerkingtreding zijn afgerond.
  6. Test je weerbaarheid: Een penetratietest of vulnerability scan helpt kwetsbaarheden in kaart te brengen voordat anderen ze vinden.

De Rijksoverheid adviseert organisaties nadrukkelijk om niet af te wachten. Wie nu begint, bouwt stap voor stap aan een solide basis en staat straks niet voor onverwachte verrassingen.

Hoe Q-Cyber helpt met NIS2-compliance

Wij begeleiden organisaties door het volledige NIS2-traject, van eerste oriëntatie tot concrete implementatie. Onze aanpak combineert technische kennis met beleidsmatige expertise, zodat compliance niet alleen op papier klopt, maar ook in de praktijk werkt. Wat we voor jouw organisatie kunnen doen:

  • Gap-analyse: We brengen in kaart waar jouw organisatie staat ten opzichte van de NIS2-vereisten en wat er nog moet gebeuren.
  • Beleid op maat: We schrijven cybersecuritybeleid dat aansluit op jouw specifieke risicoprofiel en sector.
  • Bestuurderstrainingen: We verzorgen trainingen die bestuurders in staat stellen weloverwogen beslissingen te nemen over informatiebeveiliging.
  • Technisch testen: Via pentesten en vulnerability scans brengen we kwetsbaarheden in kaart voordat ze een probleem worden.
  • Virtuele CISO: Via Continuous-Q® bieden we doorlopende ondersteuning door een team van specialisten, zonder dat je een fulltime CISO hoeft aan te stellen.
  • Onafhankelijk advies: We zijn niet gebonden aan softwarepartijen of leveranciers, zodat ons advies altijd in jouw belang is.

Wil je weten hoe jouw organisatie ervoor staat op het gebied van NIS2? Neem contact met ons op voor een vrijblijvend gesprek.