Verweerd koperen hangslot verbonden met modern titanium slot met vingerafdrukscanner door zware ketting op bureau

Wat is het verschil tussen NIS en NIS2?

in

Het verschil tussen NIS en NIS2 zit in de scope, de strengheid en de handhaving van de Europese cyberbeveiligingswetgeving. De oorspronkelijke NIS-richtlijn uit 2016 richtte zich op een beperkt aantal kritieke sectoren, terwijl NIS2 aanzienlijk meer sectoren en organisaties omvat. Daarnaast introduceert NIS2 persoonlijke bestuurdersaansprakelijkheid, strengere beveiligingseisen en uniforme sancties binnen de EU. De Nederlandse implementatie via de Cyberbeveiligingswet treedt per 1 juli 2026 in werking.

Wat is de NIS-richtlijn en waarom was deze nodig?

De NIS-richtlijn (Network and Information Systems Directive) was de eerste EU-brede wetgeving voor cyberbeveiliging en trad in 2016 in werking. De richtlijn ontstond als reactie op de groeiende afhankelijkheid van digitale infrastructuur en de toenemende dreiging van cyberaanvallen op essentiële diensten. Het doel was om een basisniveau van cyberbeveiligingsmaatregelen te waarborgen binnen de Europese Unie.

Onder de oorspronkelijke NIS-richtlijn vielen organisaties in zeven kritieke sectoren:

  • Energie (elektriciteit, olie, gas)
  • Transport (luchtvaart, spoor, water, weg)
  • Bankwezen
  • Financiële marktinfrastructuur
  • Gezondheidszorg
  • Drinkwatervoorziening
  • Digitale infrastructuur

De beperkingen van NIS werden al snel duidelijk. Lidstaten interpreteerden de richtlijn verschillend, waardoor een lappendeken aan nationale implementaties ontstond. Organisaties die in meerdere landen opereerden, kregen te maken met uiteenlopende eisen. Bovendien bleek de scope te beperkt: veel sectoren die cruciaal zijn voor het functioneren van de samenleving, vielen buiten de reikwijdte. De sancties waren niet uniform en vaak te mild om daadwerkelijk gedragsverandering af te dwingen.

Wat verandert er precies met de komst van NIS2?

NIS2 pakt de tekortkomingen van de oorspronkelijke richtlijn grondig aan. De belangrijkste wijziging is de uitbreiding naar achttien sectoren die nu onder de wetgeving vallen. Daarnaast gelden strengere en meer gedetailleerde beveiligingseisen, uniforme sancties in alle EU-lidstaten en aangescherpte meldingsverplichtingen bij incidenten.

De concrete verschillen die organisaties direct raken:

  • Meldplicht: significante incidenten moeten binnen 24 uur worden gemeld aan de toezichthouder, gevolgd door een volledige melding binnen 72 uur.
  • Sancties: boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten.
  • Maatregelen: verplichte implementatie van risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen en cryptografiebeleid.
  • Toezicht: proactief toezicht voor grote organisaties in Annex I-sectoren.

De effectiviteit van maatregelen moet periodiek worden geëvalueerd om te waarborgen dat deze adequaat blijven. Het beleid moet door het bestuur worden vastgesteld en regelmatig worden herzien. Dit risicogebaseerde werken vormt de kern van NIS2.

Welke organisaties vallen onder NIS2 die niet onder NIS vielen?

NIS2 breidt de scope aanzienlijk uit met elf nieuwe sectoren. Organisaties in afvalbeheer, post- en koeriersdiensten, voedselproductie en -distributie, de chemische industrie, de productie van medische hulpmiddelen, ICT-dienstverlening, onderzoeksinstellingen en overheidsdiensten vallen nu ook onder de richtlijn. Dit betekent dat duizenden organisaties in Nederland voor het eerst te maken krijgen met wettelijke cyberbeveiligingseisen.

De criteria voor het bepalen of een organisatie onder NIS2 valt:

  • Essentiële entiteiten: grote organisaties (meer dan 250 medewerkers of een omzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro) in kritieke sectoren.
  • Belangrijke entiteiten: middelgrote organisaties (50–250 medewerkers of een omzet tussen 10 en 50 miljoen euro) in aangewezen sectoren.
  • Uitgezonderd: kleine organisaties met minder dan 50 werknemers en een omzet en balanstotaal tot 10 miljoen euro.

Let op: bepaalde organisaties vallen ongeacht hun omvang onder NIS2, zoals aanbieders van DNS-diensten, TLD-registers en aanbieders van openbare elektronische communicatienetwerken.

Wat zijn de nieuwe verplichtingen voor bestuurders onder NIS2?

Een van de meest ingrijpende wijzigingen in NIS2 is de persoonlijke aansprakelijkheid van het topmanagement. Bestuurders kunnen persoonlijk verantwoordelijk worden gehouden voor non-compliance met cybersecurityrisicomanagementmaatregelen. Dit betekent dat directieleden en commissarissen niet langer kunnen volstaan met het delegeren van cybersecurity naar de IT-afdeling.

De concrete verplichtingen voor bestuurders omvatten:

  • het goedkeuren van cyberbeveiligingsbeleid en risicomanagementmaatregelen;
  • het houden van toezicht op de implementatie van deze maatregelen;
  • verplichte deelname aan cybersecuritytrainingen om voldoende kennis op te bouwen;
  • verantwoordelijkheid voor het naleven van meldplichten bij incidenten.

Bij non-compliance kunnen bestuurders persoonlijk worden beboet. In ernstige gevallen kan een tijdelijk verbod worden opgelegd om leidinggevende functies uit te oefenen. Deze aansprakelijkheid maakt cybersecurity definitief een boardroomonderwerp en vereist dat bestuurders actief betrokken zijn bij de cyberbeveiligingsstrategie van hun organisatie.

Hoe bereid je jouw organisatie voor op de overgang van NIS naar NIS2?

De transitie naar NIS2-compliance vereist een gestructureerde aanpak. Met de deadline van 1 juli 2026 in zicht is het verstandig om nu te starten met de voorbereidingen. Een pragmatische implementatie bestaat uit vijf fasen die organisaties helpen om systematisch toe te werken naar compliance.

Fase 1: Analyseren van cyberrisico’s

Inventariseer alle IT-middelen die nodig zijn voor het leveren van diensten die onder NIS2 vallen. Voer een IT-securitytest uit om kwetsbaarheden te identificeren en stel een risicoanalyse op om de kans en impact van cyberbeveiligingsrisico’s te bepalen.

Fase 2: Bepalen van maatregelen

Voer een business impact assessment uit om te bepalen voor welke applicaties maatregelen gewenst zijn. Een gapanalyse toont het verschil tussen de huidige situatie en de gewenste NIS2-compliance.

Fase 3: Opstellen en uitvoeren van een actieplan

Ontwerp een controls framework waarin maatregelen, verantwoordelijken en de frequentie van uitvoering worden beschreven. Dit framework dient als kapstok voor de implementatie.

Fase 4: Implementeren van maatregelen

Integreer maatregelen structureel in dagelijkse werkzaamheden, cultuur en strategie. Beleg verantwoordelijkheden voor risicobeheersing en de uitvoering van maatregelen.

Fase 5: Controleren en verbeteren

Analyseer incidenten, controleer maatregelen periodiek en documenteer de resultaten. Continue verbetering vormt een kernprincipe van NIS2.

Hoe helpt Hoek en Blok IT bij NIS2-compliance?

Hoek en Blok IT ondersteunt organisaties bij het behalen van NIS2-compliance met een pragmatische en betaalbare aanpak. De NOREA-gecertificeerde EDP-auditors combineren technische expertise met auditervaring om zowel compliance als praktische veiligheidsverbetering te realiseren.

Concrete diensten voor NIS2-compliance:

  • NIS2-nulmeting: inzicht in kroonjuwelen, risico’s en reeds geïmplementeerde maatregelen, inclusief een helder informatiebeveiligingsbeleid.
  • Gapanalyses: bepaling van het verschil tussen de huidige situatie en de NIS2-vereisten.
  • IT-securityassessments en penetratietests: identificatie van kwetsbaarheden in netwerk, systemen en medewerkergedrag.
  • IT Security Officer as a Service: structurele ondersteuning bij de implementatie en borging van cybersecuritymaatregelen.
  • Assurance-rapportages: SOC 2– en ISAE 3402-verklaringen om compliance aantoonbaar te maken richting toezichthouders en stakeholders.

Wil je weten waar jouw organisatie staat ten opzichte van NIS2? Neem contact op voor een vrijblijvend gesprek over de mogelijkheden voor jouw situatie.