Sierlijke gouden zandloper met stromend zand op een bureau, rustend op een verzegeld document, dramatische belichting.

Wanneer wordt de NIS2-richtlijn van toepassing?

in

De NIS2-richtlijn wordt in Nederland naar verwachting operationeel vanaf 2025-2026, wanneer de Cyberbeveiligingswet volledig van kracht is. De EU-deadline voor nationale implementatie was oktober 2024, maar de daadwerkelijke handhaving in Nederland volgt later. Organisaties in essentiële en belangrijke sectoren moeten zich nu voorbereiden op de verplichtingen rondom risicobeheer, incidentmelding en bestuursverantwoordelijkheid om boetes en persoonlijke aansprakelijkheid te voorkomen.

Wat is de NIS2-richtlijn en waarom is deze belangrijk voor Nederlandse organisaties?

De NIS2-richtlijn is Europese cyberbeveiligingswetgeving die organisaties verplicht om hun digitale weerbaarheid structureel te verbeteren. Deze richtlijn vervangt de oorspronkelijke NIS1-richtlijn en breidt het toepassingsgebied aanzienlijk uit naar meer sectoren en organisaties.

Het doel van NIS2 is om de Europese lidstaten digitaal en economisch weerbaarder te maken tegen cyberdreigingen. De richtlijn richt zich op organisaties die essentiële of belangrijke diensten leveren aan de samenleving. Waar NIS1 zich beperkte tot een select aantal kritieke sectoren, omvat NIS2 nu ook sectoren zoals digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, voedsel, chemische stoffen, onderzoek en productiebedrijven.

Voor Nederlandse organisaties betekent dit een verschuiving van vrijblijvende cybersecurity naar wettelijk verplichte maatregelen. De gemiddelde schade van een hack bedraagt honderdduizenden euro’s, wat de urgentie van adequate beveiliging onderstreept.

Wanneer treedt de NIS2-richtlijn officieel in werking in Nederland?

De EU stelde oktober 2024 als deadline voor de nationale implementatie van NIS2. Nederland werkt aan de Cyberbeveiligingswet als nationale vertaling van de richtlijn. De operationele deadlines voor handhaving worden verwacht in 2025-2026.

Het verschil tussen de EU-deadline en de daadwerkelijke nationale handhaving is belangrijk om te begrijpen. De Europese richtlijn moest uiterlijk 17 oktober 2024 zijn omgezet in nationale wetgeving. Nederland heeft vertraging opgelopen in dit proces, waardoor de exacte ingangsdatum van de handhaving nog niet definitief vaststaat.

Dit betekent echter niet dat organisaties kunnen wachten. De eerste operationele verplichtingen gaan gelden zodra de Cyberbeveiligingswet van kracht wordt. Organisaties die nu starten met de voorbereiding, hebben voldoende tijd om alle vereiste maatregelen te implementeren zonder tijdsdruk.

Welke organisaties vallen onder de NIS2-richtlijn?

Organisaties vallen onder NIS2 wanneer zij actief zijn in aangewezen sectoren én voldoen aan de omvangscriteria: minimaal 50 werknemers of een jaaromzet van € 10 miljoen. De richtlijn onderscheidt essentiële entiteiten (Annex 1) en belangrijke entiteiten (Annex 2).

Essentiële sectoren (Annex 1) omvatten energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheidsdiensten en ruimtevaart. Deze sectoren vallen onder strenger toezicht.

Belangrijke sectoren (Annex 2) bestaan uit digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, voedsel, chemische stoffen, onderzoek en productiebedrijven. Hoewel het toezicht reactiever is dan bij Annex 1, moeten deze organisaties wel degelijk alle vereiste maatregelen implementeren.

Om te bepalen of jouw organisatie onder NIS2 valt, controleer je de sectorlijsten en toets je aan de omvangscriteria. Bij twijfel is het raadzaam om een gap-analyse uit te voeren.

Wat zijn de belangrijkste verplichtingen en deadlines onder NIS2?

De kernverplichtingen onder NIS2 omvatten tien specifieke maatregelen die samen de zorgplicht vormen. Organisaties moeten risicobeheermaatregelen implementeren, incidenten melden binnen 24 tot 72 uur en de beveiliging van de toeleveringsketen waarborgen.

De volgende organisatorische inrichtingseisen zijn verplicht:

  • Incidentbehandeling en bedrijfscontinuïteit
  • Beveiliging van de toeleveringsketen (supply chain security)
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
  • Basispraktijken op het gebied van cyberhygiëne en cyberbeveiligingstraining
  • Beveiligingsaspecten voor personeel, toegangsbeleid en beheer van activa
  • Multi-factorauthenticatie of continue authenticatieoplossingen (wanneer passend)

Een belangrijke wijziging is de bestuursverantwoordelijkheid. Bestuurders moeten aantonen dat zij voldoende kennis en vaardigheden hebben om informatiebeveiligingsrisico’s te beoordelen. Het bestuur stelt het beveiligingsbeleid vast, herziet dit periodiek en borgt dat personeel in overeenstemming daarmee handelt.

Wat zijn de gevolgen van niet-naleving van de NIS2-richtlijn?

De sancties bij niet-naleving zijn aanzienlijk: tot € 10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten. Voor belangrijke entiteiten gelden lagere, maar nog steeds substantiële boetes. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld.

De persoonlijke aansprakelijkheid van bestuurders is een fundamentele verschuiving. Onder NIS2 wordt het topmanagement direct verantwoordelijk gehouden voor non-compliance met risicobeheersingsmaatregelen op het gebied van cybersecurity. Dit maakt cybersecurity een bestuursaangelegenheid in plaats van uitsluitend een IT-kwestie.

Naast financiële sancties kunnen organisaties te maken krijgen met reputatieschade en operationele consequenties. Toezichthouders kunnen corrigerende maatregelen opleggen en in ernstige gevallen activiteiten stilleggen. De urgentie van tijdige voorbereiding kan daarom niet worden onderschat.

Hoe kunnen organisaties zich voorbereiden op de NIS2-deadline?

Een effectieve NIS2-voorbereiding start met een nulmeting om de huidige status van cybersecuritymaatregelen te beoordelen en potentiële kwetsbaarheden te identificeren. Vervolgens werk je toe naar volledige compliance via een gestructureerd actieplan.

De praktische stappen voor voorbereiding zijn:

  • Gap-analyse uitvoeren: breng in kaart welke maatregelen al geïmplementeerd zijn en welke nog ontbreken
  • Risicobeoordeling opstellen: identificeer de kroonjuwelen van de organisatie en waar de grootste risico’s zitten
  • Beveiligingsmaatregelen implementeren: pak technische, procesmatige en menselijke kwetsbaarheden aan
  • Incidentresponsplan ontwikkelen: zorg dat je binnen 24 tot 72 uur kunt melden en reageren
  • Supply chain beoordelen: evalueer de beveiliging bij leveranciers en partners
  • Personeel trainen: verhoog de bewustwording en het draagvlak voor beveiliging in de hele organisatie

Houd het overzichtelijk door kleine stappen te zetten. Zie NIS2-compliance als een verandertraject dat continu aandacht verdient, niet als een afgebakend project. Het inrichten van een rapportagelijn en periodiek overleg met het bestuur zorgt ervoor dat je kunt bijsturen waar nodig.

Hoe helpt Hoek en Blok IT bij NIS2-compliance?

Hoek en Blok IT ondersteunt organisaties bij de volledige NIS2-voorbereiding met een pragmatische en betaalbare aanpak. De NOREA-gecertificeerde auditors combineren technische expertise met auditervaring om zowel compliance als praktische veiligheidsverbeteringen te realiseren.

De dienstverlening voor NIS2-compliance omvat:

  • NIS2-nulmeting: scan van IT-infrastructuur, processen en beveiligingsbeleid met een helder adviesrapport
  • Gap-analyses: identificatie van ontbrekende maatregelen en prioritering van acties
  • ISAE 3000/3402-verklaringen: aantonen van adequate procesbeheersing en risicobeheersing
  • Penetratietests: technische kwetsbaarheidsanalyse van netwerk en systemen
  • IT Security Officer as a Service: structurele ondersteuning bij implementatie en borging
  • Security awareness-training: verhogen van het cyberbewustzijn bij alle medewerkers

Na een nulmeting ontvang je inzicht in de kroonjuwelen van de organisatie, een risicoregister, een informatiebeveiligingsbeleid en een concreet verbeterplan. Neem contact op met Hoek en Blok IT voor een vrijblijvend gesprek over jouw NIS2-voorbereiding.

NIS 2 checklist: ben jij klaar voor de nieuwe verplichtingen?Handen van een directeur markeren een compliance-checklist met een vulpen op een mahonie bureau naast een laptopVintage messing bureaukalender op mahoniehouten bureau met officieel document, vulpen en EU-vlag in zacht namiddaglichtWanneer is de registratieplicht voor NIS2?