Metalen hangslot beveiligt ketting rond serverrack in datacenter met blauwe LED-lampjes en Nederlandse vlagpin

Wat betekent NIS2 voor Nederlandse bedrijven?

in

De NIS2-richtlijn is Europese wetgeving die Nederlandse bedrijven verplicht om hun cybersecurity op orde te brengen. Voor middelgrote en grote organisaties in kritieke sectoren betekent dit concrete eisen rond risicobeheer, incidentmelding en bestuurdersaansprakelijkheid. Met deadlines richting 2026 is tijdige voorbereiding essentieel om boetes te voorkomen en compliant te worden.

Wat is de NIS2-richtlijn en waarom is deze belangrijk voor Nederland?

NIS2 is de herziene Europese richtlijn voor netwerk- en informatiebeveiliging die de oorspronkelijke NIS-richtlijn uit 2016 vervangt. De richtlijn stelt strengere cybersecurity-eisen aan organisaties die essentiële diensten leveren of in kritieke sectoren opereren. Nederland moet deze Europese wetgeving omzetten naar nationale wetgeving via de Cyberbeveiligingswet (Cbw).

Het verschil met de oorspronkelijke NIS-richtlijn is aanzienlijk. NIS2 heeft een veel bredere reikwijdte en omvat meer sectoren en organisatietypen. De eisen zijn concreter en de handhaving strenger. Waar de eerste NIS-richtlijn vooral grote infrastructuurbedrijven raakte, treft NIS2 nu ook middelgrote ondernemingen in sectoren als productie, voedsel en digitale dienstverlening.

Voor Nederlandse organisaties is NIS2 relevant omdat cyberaanvallen steeds vaker voorkomen en een grotere impact hebben. De richtlijn dwingt organisaties om structureel aandacht te besteden aan cybersecurity, niet als eenmalig project maar als doorlopend proces.

Welke Nederlandse bedrijven vallen onder de NIS2-richtlijn?

Onder NIS2 vallen organisaties in twee categorieën: essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten zijn actief in sectoren als energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur en bankwezen. Belangrijke entiteiten omvatten sectoren zoals productie, voedsel, afvalbeheer, post- en koeriersdiensten en digitale aanbieders.

De criteria voor het bepalen of jouw organisatie onder NIS2 valt, zijn:

  • Minimaal 50 medewerkers, of
  • een jaaromzet of balanstotaal van meer dan 10 miljoen euro, en
  • actief in een van de aangewezen sectoren

Kleinere organisaties kunnen ook onder de richtlijn vallen als zij een cruciale rol spelen in de toeleveringsketen van essentiële diensten. Dit betekent dat ook mkb-bedrijven die diensten leveren aan grotere organisaties indirect geraakt kunnen worden door NIS2-eisen via contractuele verplichtingen.

Wat zijn de belangrijkste NIS2-verplichtingen voor Nederlandse organisaties?

NIS2 kent drie kernverplichtingen: de zorgplicht, de meldplicht en het toezicht. De zorgplicht verplicht organisaties om een risicobeoordeling uit te voeren en passende maatregelen te nemen om hun diensten en informatie te beschermen tegen cyberaanvallen. Deze maatregelen zijn afhankelijk van de aard, omvang en impact van de diensten.

De meldplicht vereist dat organisaties incidenten die de levering van essentiële diensten kunnen verstoren binnen 24 uur melden aan de toezichthouder. Cyberincidenten moeten ook worden gemeld aan het Computer Security Incident Response Team (CSIRT).

Concrete verplichtingen omvatten:

  • risicobeheermaatregelen en beveiligingsbeleid opstellen
  • de supply chain security waarborgen bij leveranciers
  • business continuity- en disaster recovery-plannen opstellen
  • governance-eisen: het bestuur moet beleid vaststellen en dit periodiek herzien
  • regelmatige scholing voor bestuur en werknemers

Het bestuur stelt het beveiligingsbeleid vast, herziet dit periodiek en borgt dat personeel op de hoogte is en handelt in overeenstemming met het beleid.

Wanneer moet mijn bedrijf NIS2-compliant zijn en welke deadlines gelden er?

De NIS2-richtlijn is in oktober 2024 van kracht geworden op Europees niveau. Nederland werkt aan de omzetting naar nationale wetgeving via de Cyberbeveiligingswet. De eerste operationele deadlines voor volledige compliance worden in 2026 verwacht, waardoor organisaties zich tijdig moeten aanpassen.

Organisaties die onder NIS2 vallen, moeten zich registreren bij de bevoegde autoriteit. Dit registratieproces start zodra de nationale wetgeving definitief is. Het is verstandig om nu al te beginnen met de voorbereidingen, aangezien het implementeren van alle vereiste maatregelen tijd kost.

De tijdlijn betekent concreet dat organisaties in 2025 hun gap-analyse moeten afronden en in 2026 volledig operationeel compliant moeten zijn. Wachten tot het laatste moment brengt risico’s met zich mee, zowel qua capaciteit als qua mogelijke sancties.

Wat zijn de gevolgen van niet-naleving van NIS2 voor bestuurders en bedrijven?

De sancties onder NIS2 zijn aanzienlijk zwaarder dan onder de vorige richtlijn. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten gelden boetes tot 7 miljoen euro of 1,4% van de omzet.

Een belangrijk aspect van NIS2 is de persoonlijke bestuurdersaansprakelijkheid. Het topmanagement wordt persoonlijk aansprakelijk voor non-compliance met cybersecurityrisicomanagementmaatregelen. Bestuurders moeten aantonen dat zij voldoende kennis en vaardigheden hebben om de gevolgen van informatiebeveiligingsrisico’s te beoordelen.

Als directie kun je persoonlijk aansprakelijk worden gesteld voor de gevolgen van een hack. Is cybersecurity nu nog vooral het domein van IT? Dan is dit het moment om daar verandering in te brengen. Zorg dat je als directielid weet wat er speelt en neem actief verantwoordelijkheid.

Hoe bereid je jouw organisatie praktisch voor op NIS2-compliance?

Een pragmatische aanpak voor NIS2-implementatie bestaat uit vijf fasen. Dit stappenplan helpt organisaties om gestructureerd naar compliance toe te werken zonder onnodige administratieve lasten.

Fase 1: Analyseren van cyberrisico’s

Inventariseer alle IT-middelen die nodig zijn voor het leveren van diensten die onder NIS2 vallen. Voer een IT-securitytest uit om kwetsbaarheden te identificeren en maak een risicoanalyse om kans en impact te bepalen.

Fase 2: Bepalen van maatregelen

Voer een business impact assessment uit om te bepalen voor welke applicaties maatregelen gewenst zijn. Een gap-analyse toont het verschil tussen de huidige en de gewenste situatie.

Fase 3: Opstellen van een actieplan

Ontwerp een controls framework waarin maatregelen, verantwoordelijken en de frequentie van uitvoering worden beschreven.

Fase 4: Uitvoeren van maatregelen

Integreer maatregelen structureel in de dagelijkse werkzaamheden, cultuur en strategie.

Fase 5: Controleren en verbeteren

Analyseer incidenten, controleer maatregelen periodiek en documenteer de resultaten.

Hoe helpt Hoek en Blok IT bij NIS2-compliance?

Hoek en Blok IT begeleidt organisaties bij het inrichten van maatregelen rondom bedrijfs-IT-security en privacyprocessen. De aanpak is gebaseerd op best practices: doelgericht, pragmatisch en betaalbaar.

Concrete ondersteuning bij NIS2-compliance omvat:

  • IT-audits en gap-analyses om de huidige situatie in kaart te brengen
  • security-assessments en penetratietests voor het identificeren van kwetsbaarheden
  • ondersteuning bij het opstellen van beleid en procedures
  • IT Security Officer as-a-Service voor doorlopende expertise
  • ISAE 3000- en ISAE 3402-verklaringen om aantoonbare beheersing te leveren
  • training en bewustwording voor bestuur en medewerkers

Maatregelen worden zoveel mogelijk belegd in de eerste lijn, zonder onnodige administratieve lasten. Organisaties hebben een security officer nodig vanuit de eigen organisatie, maar ook een ondersteunende partij met de juiste expertise voor het totaalplaatje. Veel zaken zitten in de details en daarvoor is specialistische kennis nodig.

Wil je weten hoe jouw organisatie ervoor staat op het gebied van NIS2? Neem contact op met Hoek en Blok IT voor een vrijblijvend adviesgesprek over de mogelijkheden.