Officieel juridisch document met lakzegel op mahonie bureau, koperen hamer ernaast, EU-vlag op achtergrond

Is de NIS2 verplicht?

in

Ja, de NIS2 is verplicht voor organisaties die vallen onder de categorieën essentiële of belangrijke entiteiten. Deze Europese richtlijn voor cybersecurity wordt in Nederland omgezet in de Cyberbeveiligingswet en treedt per 1 juli 2026 in werking. Organisaties in sectoren zoals energie, transport, gezondheidszorg en digitale infrastructuur moeten vóór deze datum aan de eisen voldoen. Hieronder beantwoorden we de belangrijkste vragen over de NIS2-verplichting.

Wat is de NIS2-richtlijn en waarom is deze ingevoerd?

De NIS2-richtlijn is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016 en vormt het Europese antwoord op de toegenomen cyberdreigingen. De coronacrisis heeft de digitalisering in een stroomversnelling gebracht, wat zowel kansen als uitdagingen met zich meebrengt. Cybercriminelen worden steeds slimmer en de EU achtte strengere maatregelen noodzakelijk om de cyberweerbaarheid van organisaties te versterken.

De belangrijkste verschillen met de voorgaande richtlijn zijn aanzienlijk. NIS2 breidt het toepassingsgebied fors uit naar meer sectoren en meer organisaties. Waar de eerste NIS-richtlijn vooral gold voor grote bedrijven die belangrijk zijn voor de maatschappij, zoals energie- en waterbedrijven, trekt NIS2 de reikwijdte veel breder. Daarnaast introduceert NIS2 strengere sancties, persoonlijke bestuurdersaansprakelijkheid en uniforme eisen voor alle EU-lidstaten.

De richtlijn legt nadrukkelijk de nadruk op bestuurlijke verantwoordelijkheid, risicogebaseerd werken, meldplicht bij incidenten en continue verbetering van cybersecuritymaatregelen. Dit maakt NIS2 niet alleen een technisch vraagstuk, maar vooral een organisatorisch vraagstuk waarbij het bestuur een centrale rol speelt.

Voor welke organisaties is de NIS2 verplicht?

De NIS2-richtlijn onderscheidt twee hoofdcategorieën: essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten vallen onder strenger toezicht, terwijl belangrijke entiteiten onder een meer reactief toezichtregime vallen. Beide categorieën moeten echter aan dezelfde cyberbeveiligingseisen voldoen.

De sectoren die onder de essentiële entiteiten vallen (Annex 1) zijn onder andere:

  • Energie (elektriciteit, olie, gas, waterstof)
  • Transport (lucht, spoor, water, weg)
  • Bankwezen en financiële marktinfrastructuur
  • Gezondheidszorg
  • Drinkwater en afvalwater
  • Digitale infrastructuur
  • Overheidsdiensten
  • Ruimtevaart

De belangrijke entiteiten (Annex 2) omvatten:

  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Voedselproductie en -distributie
  • Chemische stoffen
  • Onderzoeksinstellingen
  • Fabrieken (productie)

Qua omvang gelden drempelwaarden: middelgrote organisaties (50 of meer werknemers of meer dan 10 miljoen euro omzet) en grote organisaties vallen onder de richtlijn. Bepaalde kritieke dienstverleners kunnen ook bij kleinere omvang onder de NIS2 vallen.

Wat zijn de belangrijkste verplichtingen onder de NIS2?

NIS2 kent drie kernverplichtingen: de zorgplicht, de meldplicht en het toezicht. Deze drie pijlers vormen de basis waarop organisaties hun cybersecurity moeten inrichten en aantoonbaar maken.

De zorgplicht verplicht organisaties om een risicobeoordeling uit te voeren en passende maatregelen te nemen. Er moet een helder beleid zijn, inclusief passende maatregelen voor risicoanalyse en beveiliging van informatiesystemen, het beoordelen van de effectiviteit van cyberbeveiligingsmaatregelen en het gebruik van cryptografie en encryptie. Het beleid moet door het bestuur worden vastgesteld en periodiek worden herzien.

Concrete maatregelen die organisaties moeten implementeren zijn:

  • Risicobeheer en risicoanalyse
  • Incidentafhandeling en respons
  • Bedrijfscontinuïteit en disaster recovery
  • Supply chain security (beveiliging van de toeleveringsketen)
  • Beveiligingsmaatregelen bij aanschaf en ontwikkeling van systemen
  • Beoordeling van de effectiviteit van maatregelen
  • Cybersecurityhygiëne en training

De meldplicht vereist dat organisaties incidenten die de levering van diensten kunnen verstoren binnen 24 uur melden aan de toezichthouder. Cyberincidenten moeten ook worden gemeld aan het Computer Security Incident Response Team (CSIRT).

Wanneer moet mijn organisatie NIS2-compliant zijn?

NIS2 treedt op 1 juli 2026 in werking in Nederland. Dit betekent dat organisaties die onder de scope van de richtlijn vallen vóór deze datum hun cyberbeveiligingsmaatregelen op orde moeten hebben. De deadline valt aan het einde van Q2 2026, wat organisaties een duidelijk tijdsbestek geeft waarbinnen zij hun compliancetraject moeten voltooien.

In Nederland wordt de NIS2-richtlijn omgezet in nationale wetgeving via de Cyberbeveiligingswet (Cbw) en het Cyberbeveiligingsbesluit (Cbb). Organisaties die onder de richtlijn vallen, krijgen te maken met een registratieplicht bij de toezichthouder.

De stappen die organisaties moeten nemen voor tijdige compliance:

  • Bepaal of jouw organisatie onder de NIS2-scope valt
  • Voer een gap-analyse uit om te bepalen waar je staat
  • Stel een implementatieplan op met duidelijke mijlpalen
  • Implementeer de vereiste technische en organisatorische maatregelen
  • Richt de governance en verantwoordelijkheden in
  • Zorg voor training van bestuur en medewerkers
  • Registreer je organisatie bij de toezichthouder

De urgentie neemt toe naarmate de deadline nadert. Wacht niet te lang met de voorbereiding, aangezien een gedegen implementatietraject al snel zes tot twaalf maanden in beslag neemt.

Wat zijn de gevolgen van niet-naleving van de NIS2?

De sancties bij non-compliance zijn aanzienlijk en vormen een belangrijke drijfveer voor organisaties om tijdig aan de slag te gaan. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Een opvallend nieuw element onder NIS2 is de persoonlijke bestuurdersaansprakelijkheid. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor non-compliance met cybersecurityrisicomanagementmaatregelen. Dit betekent dat bestuurders de materie moeten begrijpen en op de hoogte moeten blijven. Zij moeten aantonen dat zij voldoende kennis en vaardigheden hebben om de gevolgen van informatiebeveiligingsrisico’s te beoordelen.

Naast financiële sancties kunnen organisaties te maken krijgen met reputatieschade bij incidenten die publiek worden. De toezichthouder kan ook aanvullende maatregelen opleggen, zoals het tijdelijk verbieden van bepaalde activiteiten of het publiekelijk bekendmaken van overtredingen.

Hoe helpt Hoek en Blok IT bij NIS2-compliance?

Hoek en Blok IT ondersteunt organisaties bij het volledige NIS2-compliancetraject met een pragmatische en betaalbare aanpak. Een veelvoorkomende misvatting is dat NIS2 volledig kan worden uitbesteed aan een IT-leverancier. De IT-leverancier kan wel helpen bij de technische aspecten, maar niet bij het inrichten van de organisatie, het opstellen van beleid en het borgen van verantwoordelijkheden. Hoek en Blok IT biedt juist die combinatie van technische expertise en organisatorische begeleiding.

De dienstverlening omvat:

  • Gap-analyses: bepaal waar jouw organisatie staat ten opzichte van de NIS2-eisen
  • ISAE 3402– en SOC 2-verklaringen: onafhankelijk bewijs van naleving voor stakeholders en toezichthouders
  • Penetratietests en security assessments: identificeer kwetsbaarheden en verbeterpunten
  • IT Security Officer as a Service: deskundige ondersteuning zonder fulltime aanstelling
  • Beleidsondersteuning: hulp bij het opstellen en implementeren van cybersecuritybeleid
  • Training voor bestuur en medewerkers: voldoe aan de scholingsverplichting

Wil je weten of jouw organisatie onder de NIS2 valt en wat je moet doen om tijdig compliant te zijn? Neem contact op met Hoek en Blok IT voor een vrijblijvend gesprek over jouw situatie en de mogelijkheden voor ondersteuning bij jouw NIS2-voorbereiding.

Wat houdt Dora in?Officieel overheidsdocument met reliëfzegel op mahonie bureau, koperen hamer ernaast, zachte vensterlicht werpt schaduwenDigitale tablet met stroomdiagrammen op een geopend vintage compliance-dossier met lakzegels op een mahonie bureauWat is het verschil tussen DORA en bestaande toezichtregels?