De digitale wereld verandert dus razendsnel. Cyberaanvallen worden slimmer, sneller en schadelijker. Daarom grijpt de Europese Unie in met de NIS2-richtlijn: een nieuwe wet die organisaties dwingt hun digitale beveiliging serieus te nemen. En ja, ook jouw organisatie valt er waarschijnlijk onder. Deze blog posting gaat dus hierover en hoe organisaties NIS2 kunnen inzetten en hoe NIS de digitale cyberweerbaarheid kan versterken.
Wat is NIS2 en waarom moet jij nú in actie komen?
NIS2 staat dus voor Network and Information Security 2. Deze richtlijn vervangt de oude NIS-wet uit 2016 en breidt de scope flink uit. Niet alleen vitale sectoren zoals energie, transport en gezondheidszorg vallen eronder, maar ook bijvoorbeeld middelgrote en grote bedrijven in sectoren zoals ICT, digitale infrastructuur, productie, afvalbeheer en zelfs postdiensten.
Versterken digitale cyberweerbaarheid via NIS2 en via policies
De NIS2 richtlijn helpt organisatie dus om hun digitale cyberweerbaarheid te versterken en verplicht je om:
- Cyberrisico’s actief te beheersen
- Incidenten binnen 24 uur te melden
- Je leveranciersketen te controleren
- Bestuurlijke verantwoordelijkheid te nemen
En dat is dus geen vrijblijvende checklist. De sancties zijn fors: boetes vergelijkbaar met de AVG, en in sommige gevallen zelfs persoonlijke aansprakelijkheid voor bestuurders.
Wat moet je doen om je digitale cyberweerbaarheid via NIS2 en via policies te versterken?
Je begint dus met een risicoanalyse. Breng bijvoorbeeld kwetsbaarheden in kaart, stel een incidentresponsplan op en implementeer technische én organisatorische maatregelen. Denk aan:
- Versleuteling en toegangsbeheer
- Back-upbeheer en business continuity
- Bewustwordingstrainingen voor personeel
Andere normeringen die naast NIS2 helpen om digitale cyberweerbaarheid te versterken
Gebruik bestaande kaders zoals ISO 27001, BIO 2.0 of DNB Good Practice als fundament. Maar pas op: NIS2 vraagt méér dan een vinkje op papier. Je moet aantonen dat je maatregelen werken — en dat je ze monitort.
Waarom NIS2 ook jouw leveranciers raakt
NIS2 kijkt dus verder dan jouw voordeur. Je moet dus ook de cyberveiligheid van je leveranciers kunnen aantonen. Een zwakke schakel in de keten kan jouw organisatie alsnog kwetsbaar maken. Dit betekent dat je dus afspraken moet maken, audits moet uitvoeren en samen moet werken aan digitale weerbaarheid.
NIS2: bedreiging of kans?
Ja, NIS2 vraagt dus inspanning. Maar het biedt ook kansen. Organisaties die nu investeren in cyberveiligheid:
- Versterken hun reputatie
- Verhogen hun betrouwbaarheid
- Worden aantrekkelijker als partner
Kortom: NIS2 is geen last, maar een kans om je organisatie toekomstbestendig te maken.
Wil je weten of jouw organisatie onder NIS2 valt? Doe de NIS2 Quickscan en begin vandaag nog met je voorbereiding. Andere artikelen over digitale security vind je dus op deze website.
Hieronder vind je de FAQ
Algemene vragen
Wat is NIS2?
NIS2 is de vernieuwde Europese richtlijn voor netwerk- en informatiebeveiliging. Ze verplicht organisaties om hun digitale weerbaarheid te versterken en cyberincidenten actief te beheersen.
Hoe weet ik of mijn organisatie onder NIS2 valt?
Doe een NIS2 Quickscan of raadpleeg je IT-adviseur. Twijfel je? Begin dan alvast met basismaatregelen — voorkomen is beter dan genezen.
Wat zijn de NIS richtlijnen?
NIS staat dus voor ‘Network and Information Security’. Deze richtlijn zorgt er dus voor dat bedrijven beter omgaan met de cyberbeveiliging van hun netwerk- en informatiesysteem. Hierdoor krijg je geen last van cyberaanvallen of storingen. Alle bedrijven die onder de eerste NIS richtlijn vallen, moeten zich houden aan de nieuwe NIS2 richtlijn. Je bedrijf moet de richtlijnen volgen als deze onder een maatschappelijke sector valt, zoals voedselproductie, levensmiddelen of transport. De verwachting is dus dat de NIS2 richtlijn geldt vanaf het derde kwartaal van 2025.
Voor wie geldt NIS2?
NIS2 is van toepassing op:
- Vitale sectoren (energie, transport, zorg, etc.)
- Digitale dienstverleners
- Middelgrote en grote bedrijven in o.a. ICT, productie, afvalbeheer, postdiensten
Kleine bedrijven vallen meestal buiten de scope, tenzij ze cruciale diensten leveren.
Wanneer gaat NIS2 in?
Lidstaten moeten NIS2 uiterlijk op 17 oktober 2024 omzetten in nationale wetgeving. Organisaties moeten vanaf dat moment voldoen aan de eisen.
Call to action
Wat moet je doen?
De NIS2 richtlijn heeft een paar verplichtingen. Dit zijn risicobeoordeling, meldplicht van storingen en verplicht toezicht. Wij leggen je kort uit wat ze betekenen:
Toezicht: een onafhankelijke toezichthouder controleert of je goed bezig bent met cybersecurity. De toezichthouder kijkt naar de risicobeoordelingen, meldplicht en cyberbeveiliging.
Risicobeoordeling: bedrijven zijn verplicht dat ze een risicobeoordeling uitvoeren. Kijk daarom zelf goed naar wat de risico’s zijn van jouw digitale systemen. Denk aan hacks, storingen of datalekken.
Meldplicht: als je last hebt van een cyberaanval of storing, dan moet je dit melden bij het Computer Security Incident Response Team (CSIRT).
Wat gebeurt er als je je niet aan de richtlijn houdt?
Als je geen melding doet van een cyberaanval of je de richtlijn niet volgt, loop je het gevaar dat je een boete krijgt. Deze boetes lopen op tot 10 miljoen euro of 2 procent van je wereldwijde omzet. De verwachting is dat de boetes niet meteen uitgedeeld worden. Het is belangrijk dat bedrijven laten zien dat ze bezig zijn met digitale veiligheid. Toezichthouders verplichten ook dat je aanpassingen doet aan je cyberbeveiliging. Daarom is een training volgen over cyberbeveiliging verplicht voor bestuurders en directieleden.
Niet voldoen aan NIS2 kan leiden tot:
1. Reputatieschade en verlies van vertrouwen
2. Boetes vergelijkbaar met de AVG
3. Aansprakelijkheid van bestuurders
Wat moet ik doen om compliant te worden?
Dit kun je dus doen:
1. Leveranciers controleren op cyberveiligheid
2. Een risicoanalyse uitvoeren
3. Technische en organisatorische maatregelen treffen
4. Incidenten binnen 24 uur melden
Andere vragen
Moet ik ook mijn leveranciers controleren?
Ja. NIS2 vereist dat je de digitale veiligheid van je hele keten beheert. Je moet kunnen aantonen dat je leveranciers voldoen aan minimale beveiligingsstandaarden.
Welke normen kan ik gebruiken als basis?
Gebruik frameworks zoals:
DNB Good Practice (voor financiële instellingen)
ISO 27001
BIO 2.0 (voor overheden)
NIST Cybersecurity Framework
