Wat betekent de NIS2-richtlijn voor jouw bedrijf?

De NIS2-richtlijn is de meest ingrijpende Europese cybersecuritywetgeving van de afgelopen jaren. Waar de oorspronkelijke NIS-richtlijn uit 2016 nog beperkt was in reikwijdte, verplicht NIS2 een veel grotere groep organisaties tot concrete maatregelen op het gebied van cyberbeveiliging en incidentrapportage. Veel MKB-bedrijven weten nog niet of — en in hoeverre — zij onder de richtlijn vallen.

In dit artikel leggen we uit wat NIS2 inhoudt, voor wie het geldt, wat de verplichtingen zijn en hoe je als organisatie aan de slag kunt.

Wat is de NIS2-richtlijn?

NIS2 staat voor Network and Information Security Directive 2. Het is een Europese richtlijn die lidstaten verplicht om wetgeving in te voeren die essentiële en belangrijke organisaties dwingt tot een minimumniveau van cyberbeveiliging. In Nederland wordt NIS2 omgezet via de Cyberbeveiligingswet (Cbw).

Risicomaatregelen

Organisaties moeten passende technische en organisatorische maatregelen treffen om cyberrisico’s te beheersen.

Meldplicht

Significante incidenten moeten binnen 24 uur gemeld worden, gevolgd door een volledig rapport binnen 72 uur.

Bestuurlijke aansprakelijkheid

Directie en bestuur zijn persoonlijk verantwoordelijk voor naleving. Bij ernstige overtredingen kunnen bestuurders tijdelijk worden geschorst.

Voor wie geldt NIS2?

NIS2 maakt onderscheid tussen twee categorieën organisaties:

Essentiële entiteiten

Grote organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur en financiën. Deze organisaties vallen onder het strengste toezicht.

Belangrijke entiteiten

Middelgrote organisaties in een bredere groep sectoren, waaronder post en koeriersdiensten, afvalverwerking, voedselproductie, chemische industrie, onderzoek en digitale aanbieders.

Geldt NIS2 ook voor het MKB?

In principe richt NIS2 zich op middelgrote en grote organisaties (meer dan 50 medewerkers of meer dan €10 miljoen omzet). Kleine bedrijven vallen normaal gesproken buiten de directe scope. Maar als jij leverancier bent van een essentiële of belangrijke entiteit, kun je indirect verplicht worden om aan NIS2-eisen te voldoen via contractuele afspraken in de toeleveringsketen.

Wat zijn de verplichtingen onder NIS2?

1. Risicobeheer en beveiligingsmaatregelen

Organisaties moeten een risicogebaseerde aanpak hanteren en passende maatregelen treffen, waaronder:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen
  • Incidentbeheer en -respons
  • Bedrijfscontinuïteit en crisismanagement
  • Beveiliging van de toeleveringsketen
  • Beheer van toegangsrechten en authenticatie (inclusief MFA)
  • Gebruik van encryptie en cryptografie
  • Personeelsbeveiliging en bewustwording

2. Meldplicht bij incidenten

  • Binnen 24 uur: eerste melding (early warning) bij de toezichthouder.
  • Binnen 72 uur: een volledig incidentrapport met eerste analyse.
  • Binnen een maand: een eindrapport met oorzaak, impact en genomen maatregelen.

3. Bestuurlijke verantwoordelijkheid

Directie en bestuur zijn persoonlijk aansprakelijk voor het cybersecurity-beleid. Zij kunnen bij nalatigheid persoonlijk worden aangesproken en tijdelijk worden geschorst als de organisatie structureel in gebreke blijft.

4. Toezicht en sancties

Bij overtredingen kunnen boetes worden opgelegd van maximaal €10 miljoen of 2% van de wereldwijde jaaromzet (essentieel) of €7 miljoen of 1,4% omzet (belangrijk).

Hoe bereid je jouw organisatie voor op NIS2?

Stap 1: Bepaal of je onder NIS2 valt

Controleer of jouw organisatie in een van de aangewezen sectoren actief is en voldoet aan de drempelwaarden. Kijk ook of jij leverancier bent van organisaties die onder NIS2 vallen.

Stap 2: Voer een nulmeting uit

Breng in kaart wat je huidige beveiligingsniveau is ten opzichte van de NIS2-vereisten. Welke maatregelen zijn al getroffen? Waar zitten de grootste lacunes?

Stap 3: Stel een verbeterplan op

Prioriteer de maatregelen op basis van risico en implementeerbaarheid. Denk aan: MFA invoeren, back-upbeleid aanscherpen, een incidentresponsplan opstellen en medewerkers trainen.

Stap 4: Betrek het bestuur

NIS2 vereist dat het bestuur actief betrokken is bij cybersecurity. Zorg dat directie de risico’s begrijpt, het beleid goedkeurt en periodiek wordt geïnformeerd over de status.

Stap 5: Documenteer alles

Toezichthouders verwachten aantoonbare naleving. Leg beleid, risicoanalyses, maatregelen en trainingen schriftelijk vast zodat je bij controle kunt aantonen wat je gedaan hebt.

Veelgemaakte fouten bij NIS2-voorbereiding

  • Wachten tot de wet van kracht is: de vereiste maatregelen kosten tijd — begin nu.
  • Alleen technische maatregelen nemen: NIS2 vraagt ook om processen, beleid en bewustwording.
  • Bestuur niet betrekken: cybersecurity is een bestuursvraagstuk geworden.
  • Toeleveranciers vergeten: beveiliging van de supply chain is een expliciete vereiste.
  • Geen incidentresponsplan: zonder plan verlies je kostbare uren bij een incident.

Conclusie

NIS2 is geen administratieve formaliteit. Het is een fundamentele verschuiving in hoe Europa cybersecurity reguleert, met directe gevolgen voor bestuurders die de verantwoordelijkheid niet langer kunnen delegeren.

  1. Bepaal je scope — val je onder NIS2 als essentiële of belangrijke entiteit?
  2. Voer een nulmeting uit — waar sta je nu ten opzichte van de vereisten?
  3. Stel een verbeterplan op met prioriteit voor de grootste risico’s.
  4. Betrek het bestuur — zij zijn persoonlijk aansprakelijk.
  5. Documenteer alles om bij toezicht aantoonbaar compliant te zijn.
  6. Oefen je incidentrespons zodat je de meldtermijnen kunt halen.

Reacties

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *