NIS2 is de nieuwe Europese richtlijn die jouw organisatie verplicht om digitaal weerbaar te zijn. Zeker als je actief bent in kritieke sectoren zoals voedingsmiddelen en water treatment. De regels zijn strenger, de boetes hoger en bestuurders krijgen meer verantwoordelijkheid. Daardoor heeft NIS2 grote gevolgen, voor de hele toeleveringsketen.
Maar wat betekent NIS2 concreet voor jouw bedrijf? Wanneer val je onder deze richtlijn en hoe voorkom je boetes? In deze blog lees je de antwoorden op de belangrijkste vragen over deze Europese richtlijn.
NIS2 is een Europese richtlijn voor cybersecurity en staat voor Network and Information Security Directive 2. De wet vervangt de eerdere NIS-richtlijn uit 2016. Daarmee stelt hij strengere eisen aan organisaties voor het beveiligen van digitale systemen. Zo moet je als organisatie cyberincidenten sneller melden, regelmatig risicoanalyses uitvoeren en concrete maatregelen nemen om jouw netwerk en informatiesystemen te beschermen. Hiermee vergroot je jouw digitale weerbaarheid.
NIS2 moet het risico op cyberaanvallen kleiner maken. Hackers worden slimmer en aanvallen omvangrijker, waardoor digitale incidenten vaker ernstige gevolgen hebben. Denk bijvoorbeeld aan een waterzuiveringsinstallatie die geen schoon drinkwater meer levert. Een cyberaanval raakt nooit alleen één organisatie maar kan ook impact hebben op de hele samenleving.
Met NIS2 zorgt de EU ervoor dat de beveiliging van kritieke sectoren beter wordt. Zo kunnen landen sneller samenwerken bij cyberincidenten. Organisaties worden gestimuleerd om hun digitale beveiliging serieus te verbeteren. En kwetsbaarheden actief op te sporen, zowel binnen het eigen bedrijf als bij leveranciers en partners in de keten.
|
3: Voor welke sectoren geldt NIS2? NIS2 richt zich op organisaties in sectoren die cruciaal of belangrijk zijn voor onze samenleving, zoals: Vitale sectoren:
Belangrijke sectoren:
Valt ieder bedrijf in deze sectoren onder NIS2, zelfs ZZP’ers? Nee. De richtlijn geldt alleen voor organisaties met meer dan 50 medewerkers. Of een jaaromzet van meer dan € 10 miljoen. |
Om aan NIS2 te voldoen moet je aan een aantal concrete eisen voldoen. Belangrijke stappen om NIS2-compliant te worden zijn bijvoorbeeld:
Voldoe je niet aan de NIS2-verplichtingen dan riskeer je forse sancties. Toezichthouders zoals het Nederlandse Agentschap Telecom of het Belgische CCB kunnen boetes opleggen tot €10 miljoen of zelfs 2% van je wereldwijde jaaromzet. Ook kunnen zij verplichte audits uitvoeren en verbeteringen eisen. In bepaalde gevallen kunnen bestuurders persoonlijk aansprakelijk worden gesteld voor het niet naleven van de regels.
Klanten en partners vertrouwen erop dat hun gegevens veilig zijn. Als je niet voldoet aan NIS2, loop je naast financiële sancties ook het risico op imagoschade en verlies van vertrouwen. Maar ook operationele problemen zoals stilgelegde productieprocessen, datalekken of langdurige verstoringen liggen op de loer.
NIS2 is een aangescherpte versie van de oorspronkelijke NIS-richtlijn (NIS1). Meer organisaties vallen nu onder de nieuwe wet en bestuurders krijgen expliciet meer verantwoordelijkheid. In tegenstelling tot ISO-normen zoals ISO 27001 is NIS2 juridisch afdwingbaar. Ook verschilt NIS2 van de aankomende Cyber Resilience Act (CRA), die zich richt op de beveiliging van hardware en software.
In de tabel hieronder zie je in één oogopslag de belangrijkste verschillen.
| Kenmerk | NIS1 | NIS2 | ISO-normen (o.a. ISO 27001) |
Cyber Resilience Act (CRA) |
|
Juridische status |
Europese richtlijn (2016) |
Europese richtlijn (2023, nationale invoering in 2025/2026) |
Vrijwillige norm |
Bindende Europese verordening |
|
Toepassingsgebied |
Essentiële dienstverleners (beperkte sectoren) |
Essentiële én belangrijke organisaties in meer sectoren |
Elke organisatie die zich wil certificeren |
Fabrikanten van digitale producten |
|
Bestuursverantwoor-delijkheid |
Nauwelijks benoemd |
Verplicht op directieniveau |
Richt zich op procesniveau |
Richt zich op productniveau |
|
Verplichte maatregelen |
Algemene beveiligings-maatregelen |
Uitgebreide verplichtingen m.b.t. risicobeheer, monitoring, herstel |
Aanbevelingen en eisen voor informatie-beveiliging |
Verplichtingen voor veilige productontwikkeling en updates |
|
Sancties |
Beperkt |
Hoog: audits, toezicht, boetes |
Geen wettelijke sancties (alleen bij contractuele eisen) |
Hoog: CE-markering verplicht, handhaving via markttoezicht |
|
Focus |
Diensten en netwerken |
Digitale weerbaarheid van organisaties in brede zin |
Informatie-beveiliging |
Productveiligheid en cyberbeveiliging in de keten |
|
Verplicht? |
Ja |
Ja |
Nee |
Ja |
De NIS2-richtlijn is sinds januari 2023 van kracht binnen de EU. Lidstaten moesten deze richtlijn vóór oktober 2024 omzetten naar nationale wetgeving. In Nederland gebeurt dat via de nieuwe Cyberbeveiligingswet (Cbw). Maar die deadline is niet gehaald. Volgens de huidige planning van de NCTV treedt de wet – samen met de Wet weerbaarheid kritieke entiteiten – pas in het tweede kwartaal van 2026 in werking.
België is al verder. Sinds 18 oktober 2024 maakt NIS2 officieel deel uit van de Belgische wetgeving. De handhaving ligt daar in handen van het Centrum voor Cybersecurity België (CCB).
Voorbereiden op NIS2 begint met inzicht. Onderzoek eerst of jouw organisatie onder de richtlijn valt. Breng vervolgens de grootste digitale risico’s in kaart. Zorg dat jouw processen, IT-beveiliging en interne verantwoordelijkheden goed geregeld én aantoonbaar vastgelegd zijn.
Het NIS2 Quality Mark toont aan dat jouw organisatie actief werkt aan compliance. Er zijn drie certificeringsniveaus:
NIS2 is meer dan alleen een verplichting vanuit Europa. Het biedt ook de kans om je digitale weerbaarheid te versterken en je organisatie toekomstbestendig te maken. In een wereld waarin kwetsbare OT-omgevingen steeds vaker doelwit zijn van aanvallen, is dit het moment om in actie te komen.
|
|