NIS2: wat betekent het voor uw organisatie?

Op 16 januari 2023 trad de Europese NIS2-richtlijn in werking, en lidstaten hadden tot 17 oktober 2024 om deze om te zetten in nationale wetgeving. Voor Nederlandse organisaties in essentiële en belangrijke sectoren heeft dit directe gevolgen. In dit artikel leggen we uit wat NIS2 concreet inhoudt en welke stappen u nu moet ondernemen.

Wat is NIS2?

NIS2 (Network and Information Security Directive 2) is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. De richtlijn breidt het toepassingsgebied aanzienlijk uit en stelt strengere eisen aan cybersecurity en incidentmelding. Het doel is om de digitale weerbaarheid van Europa als geheel te verhogen.

De belangrijkste veranderingen ten opzichte van NIS1: - Het toepassingsgebied is verbreed van 7 naar 18 sectoren - Bestuurders worden persoonlijk aansprakelijk voor naleving - Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet - Strengere eisen voor supply chain beveiliging - Verplichte incidentmelding binnen 24 uur

Wie valt eronder?

NIS2 maakt onderscheid tussen twee categorieën:

**Essentiële entiteiten** — energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening (B2B), overheidsdiensten en ruimtevaart.

**Belangrijke entiteiten** — post- en koeriersdiensten, afvalstoffenbeheer, chemie, voedselproductie en -distributie, maakindustrie, digitale aanbieders en onderzoeksorganisaties.

Daarnaast geldt een omvangscriterium: organisaties met meer dan 50 werknemers of meer dan 10 miljoen euro omzet vallen onder de richtlijn. Maar ook kleinere organisaties kunnen eronder vallen als ze als kritiek worden aangemerkt.

De verplichtingen in de praktijk

Risicobeheer

Organisaties moeten een risicogebaseerde aanpak implementeren voor de beveiliging van netwerk- en informatiesystemen. Dit omvat beleid voor risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, supply chain beveiliging, cryptografie en toegangsbeheer.

Incidentmelding

Bij een significant incident moet u binnen 24 uur een vroegtijdige waarschuwing doen bij het CSIRT (Computer Security Incident Response Team) of de bevoegde autoriteit. Binnen 72 uur volgt een volledige melding, en binnen een maand een eindverslag met analyse en genomen maatregelen.

Bestuurlijke verantwoordelijkheid

Bestuurders moeten cybersecuritytrainingen volgen en zijn persoonlijk aansprakelijk voor de naleving van de beveiligingsmaatregelen. Dit is een fundamentele verschuiving: cybersecurity is niet langer alleen een IT-verantwoordelijkheid.

Supply chain beveiliging

U moet de cybersecurityrisico's in uw toeleveringsketen beoordelen en beheersen. Dit betekent dat u eisen moet stellen aan uw leveranciers en hun beveiligingsniveau periodiek moet evalueren.

Vijf stappen om nu te beginnen

1. **Bepaal uw status** — Valt uw organisatie onder NIS2 als essentiële of belangrijke entiteit? 2. **Voer een gap-analyse uit** — Waar staat u nu ten opzichte van de NIS2-vereisten? 3. **Stel een actieplan op** — Prioriteer de tekortkomingen en maak een implementatieplan 4. **Betrek het bestuur** — Zorg dat bestuurders getraind zijn en hun verantwoordelijkheid begrijpen 5. **Documenteer alles** — Zorg voor een audit trail die aantoont dat u voldoet aan de eisen

Wat als u niet voldoet?

De consequenties zijn significant. Essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Belangrijke entiteiten tot 7 miljoen euro of 1,4% van de omzet. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld en tijdelijk worden geschorst.

Conclusie

NIS2 is geen toekomstige verplichting — het is nu van kracht. Organisaties die nog niet begonnen zijn met de implementatie lopen een reëel risico. Het goede nieuws is dat veel NIS2-maatregelen aansluiten bij bestaande frameworks zoals ISO 27001 en de BIO. Een gedegen risicogebaseerde aanpak, gecombineerd met de juiste tooling voor monitoring en rapportage, brengt compliance binnen bereik.