IT-beveiligingsprofessional plaatst laatste puzzelstukje in hangslot-vormige puzzel op vergadertafel met documentatie

Hoe bereid je je voor op NIS2?

in

Voorbereiden op NIS2 begint met het begrijpen van de verplichtingen en het uitvoeren van een grondige gap-analyse van je huidige cybersecurityniveau. De NIS2-richtlijn treedt in Nederland per 1 juli 2026 in werking via de Cyberbeveiligingswet en stelt strengere eisen aan middelgrote en grote organisaties in essentiële sectoren. Bestuurders worden persoonlijk aansprakelijk voor non-compliance, wat tijdig handelen noodzakelijk maakt. In dit artikel beantwoorden we de belangrijkste vragen over NIS2-voorbereiding.

Wat is de NIS2-richtlijn en waarom is deze belangrijk voor jouw organisatie?

De NIS2-richtlijn (Network and Information Systems 2) is Europese wetgeving die de cyberbeveiliging en veerkracht van organisaties moet verbeteren. Deze richtlijn vervangt de oorspronkelijke NIS-richtlijn en breidt zowel de reikwijdte als de eisen significant uit. In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (Cbw) en het Cyberbeveiligingsbesluit (Cbb).

De groei in digitalisering heeft voor veel organisaties grote uitdagingen met zich meegebracht op het gebied van IT-beveiliging. Het mkb is steeds vaker doelwit van ransomware-aanvallen. De Europese Unie ziet NIS2 als een essentiële stap in het verbeteren van de cyberweerbaarheid.

NIS2 heeft drie hoofddoelen: het verhogen van de cyberweerbaarheid van organisaties die belangrijk zijn voor economie en samenleving, het gelijktrekken van cybersecurityregels binnen Europa en het versterken van de samenwerking tussen lidstaten. Organisaties die al onder de oorspronkelijke NIS-richtlijn vielen, moeten nu meer doen om hun netwerk- en informatiesystemen te beschermen.

Valt jouw organisatie onder de NIS2-richtlijn?

Of jouw organisatie onder NIS2 valt, hangt af van de sector waarin je actief bent en de omvang van je organisatie. Kleine mkb-organisaties met minder dan 50 werknemers én een omzet en balanstotaal onder 10 miljoen euro hoeven niet te voldoen aan de NIS2-verplichtingen.

NIS2 maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. Essentiële sectoren omvatten onder andere energie, transport, bankwezen, gezondheidszorg, drinkwater en digitale infrastructuur. Belangrijke sectoren zijn bijvoorbeeld post- en koeriersdiensten, afvalverwerking, voedselproductie en digitale aanbieders.

Grote organisaties (meer dan 250 werknemers of een omzet boven 50 miljoen euro) in essentiële sectoren krijgen proactief toezicht. Middelgrote organisaties (50-250 werknemers) in deze sectoren vallen onder reactief toezicht. Beoordeel je eigen situatie door te kijken naar je sectorclassificatie, personeelsomvang en financiële omvang.

Wat zijn de belangrijkste verplichtingen onder NIS2?

NIS2 legt organisaties concrete verplichtingen op rondom risicobeheer, incidentmelding, supply chain security en governance. De kernverplichting is het implementeren van passende technische en organisatorische maatregelen om cybersecurityrisico’s te beheersen. Dit omvat maatregelen die het moeilijker maken voor hackers om toegang te krijgen tot systemen en gegevens.

De belangrijkste verplichtingen zijn:

  • Risicobeheermaatregelen: identificeren van kritieke systemen, uitvoeren van risicoanalyses en implementeren van beveiligingsmaatregelen
  • Incidentmeldingsplicht: ernstige cyberincidenten melden aan de nationale autoriteiten binnen vastgestelde termijnen
  • Supply chain security: beveiligingseisen stellen aan leveranciers en ketenpartners
  • Bedrijfscontinuïteit: zorgen voor back-upbeheer en herstelplannen
  • Governance-eisen: de directie moet cybersecurity actief besturen en monitoren

Belangrijk: als directie kun je persoonlijk aansprakelijk worden gesteld voor de gevolgen van een hack. Cybersecurity mag daarom niet enkel een feestje van de IT-afdeling zijn.

Welke deadlines gelden voor NIS2-compliance?

De NIS2-richtlijn treedt in Nederland per 1 juli 2026 in werking via de Cyberbeveiligingswet. Dit is de datum waarop organisaties moeten voldoen aan de gestelde eisen. De Europese richtlijn is in 2022 aangenomen en lidstaten hebben tot eind 2024 de tijd gekregen om nationale wetgeving op te stellen.

Hoewel de exacte Nederlandse wetgeving nog definitief moet worden vastgesteld, kun je het je als organisatie niet meer permitteren om achterover te leunen. De implementatie van adequate cybersecuritymaatregelen kost tijd, vaak 12 tot 18 maanden voor middelgrote organisaties. Begin daarom nu met de voorbereidingen.

Registratieverplichtingen bij de toezichthouder maken ook deel uit van de implementatie. Organisaties moeten zich tijdig registreren en aantonen dat zij aan de eisen voldoen. Wacht niet tot het laatste moment, want de capaciteit bij toezichthouders en externe adviseurs zal richting de deadline onder druk komen te staan.

Hoe begin je met de voorbereiding op NIS2?

Een pragmatische aanpak voor NIS2-implementatie bestaat uit vijf fasen. Start met het analyseren van je huidige situatie en werk toe naar structurele verbetering. Elke kleine stap is een verbetering en alle stappen samen zorgen ervoor dat je een volwassen niveau van veiligheid behaalt.

Fase 1: Analyseren van cyberrisico’s
Voer een business impact assessment uit om te bepalen voor welke applicaties maatregelen gewenst zijn. Een gap-analyse toont het verschil tussen de huidige en de gewenste situatie.

Fase 3: Opstellen van actieplan
Integreer maatregelen structureel in dagelijkse werkzaamheden, cultuur en strategie. Betrek de volledige organisatie, niet alleen IT.

Fase 5: Controleren en verbeteren
Analyseer incidenten, controleer maatregelen periodiek en documenteer de resultaten.

Welke sancties en boetes gelden bij niet-naleving van NIS2?

NIS2 introduceert een streng handhavingsregime met aanzienlijke boetes voor organisaties die niet voldoen aan de eisen. De maximale boetes verschillen tussen essentiële en belangrijke entiteiten en kunnen oplopen tot miljoenen euro’s.

Essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Belangrijke entiteiten kunnen boetes krijgen tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Toezichthouders krijgen uitgebreide bevoegdheden, waaronder het uitvoeren van audits, het opvragen van informatie en het opleggen van bindende aanwijzingen. In Nederland wordt het toezicht ingericht via sectorale toezichthouders die proactief (voor essentiële entiteiten) of reactief (voor belangrijke entiteiten) controleren.

De persoonlijke aansprakelijkheid van bestuurders vormt een belangrijk nieuw element. Directieleden kunnen persoonlijk verantwoordelijk worden gehouden voor tekortkomingen in cybersecurity. Dit maakt NIS2-compliance een bestuurlijke prioriteit.

Hoe helpt Hoek en Blok IT bij NIS2-voorbereiding?

Hoek en Blok IT ondersteunt organisaties bij het pragmatisch en betaalbaar voorbereiden op NIS2-compliance. Met NOREA-gecertificeerde EDP-auditors en ethical-hackingexpertise biedt Hoek en Blok IT een compleet pakket aan diensten.

De dienstverlening voor NIS2 omvat:

  • NIS2-nulmeting en gap-analyse: inzicht in kwetsbaarheden binnen techniek, mensen en processen
  • Risico-assessments: identificatie van kroonjuwelen en documentatie in een risicoregister
  • IT-audits: ISAE 3000- en ISAE 3402-verklaringen voor aantoonbare procesbeheersing
  • Penetratietests: ethical hacking om kwetsbaarheden in systemen te identificeren
  • Security awareness-training: medewerkers bewust maken van cyberrisico’s
  • IT Security Officer as a Service: structurele ondersteuning bij cybersecuritygovernance

Na een nulmeting ontvang je een helder informatiebeveiligingsbeleid, een uitgebreid adviesrapport en een voorstel voor het beleggen van verantwoordelijkheden. Wil je ondersteuning bij het inrichten van cybersecurity en NIS2 binnen jouw organisatie? Neem contact op voor een vrijblijvend adviesgesprek.