Stalen hangslot met ketting beveiligt bedrijfsdocumenten op houten bureau, EU-vlag zichtbaar op achtergrond

Wat zijn de belangrijkste NIS2 vereisten?

in

De NIS2-richtlijn verplicht organisaties om passende cybersecuritymaatregelen te treffen op het gebied van risicobeheer, incidentmelding, bedrijfscontinuïteit en supply chain security. Nederlandse organisaties moeten uiterlijk op 1 juli 2026 aan deze vereisten voldoen. Bestuurders worden persoonlijk aansprakelijk voor non-compliance, wat de urgentie voor een adequate voorbereiding vergroot. In dit artikel beantwoorden we de belangrijkste vragen over de NIS2-vereisten en wat jouw organisatie moet doen.

Wat houdt de NIS2-richtlijn precies in en waarom is deze belangrijk?

De NIS2-richtlijn is Europese cybersecuritywetgeving die de digitale weerbaarheid van essentiële en belangrijke sectoren moet versterken. Deze richtlijn vervangt de oorspronkelijke NIS-richtlijn uit 2016 en breidt de reikwijdte aanzienlijk uit. Het doel is om de EU digitaal en economisch weerbaarder te maken tegen de groeiende dreiging van cyberaanvallen.

De urgentie voor Nederlandse organisaties is groot. NIS2 treedt op 1 juli 2026 in werking in Nederland. Dit betekent dat organisaties die onder de reikwijdte vallen, hun cyberbeveiligingsmaatregelen vóór deze datum op orde moeten hebben. De deadline valt aan het einde van Q2 2026, wat organisaties een duidelijk tijdsbestek geeft voor hun compliancetraject.

De coronacrisis heeft de digitalisering in een stroomversnelling gebracht. Cybercriminelen worden steeds slimmer en agressiever. Recente berichten tonen aan dat hackers, met name uit Rusland en China, aanzienlijk hogere bedragen eisen van Nederlandse bedrijven. In bepaalde sectoren zijn deze bedragen gestegen tot boven de miljoen euro. Deze ontwikkeling maakt duidelijk waarom strengere cybersecuritywetgeving noodzakelijk is.

Welke organisaties vallen onder de NIS2-richtlijn?

Organisaties vallen onder NIS2 op basis van de sector waarin ze actief zijn en hun omvang. De richtlijn maakt onderscheid tussen essentiële entiteiten (zoals energie, transport, gezondheidszorg en drinkwater) en belangrijke entiteiten (zoals post- en koeriersdiensten, afvalbeheer en voedselproductie). Middelgrote en grote organisaties in deze sectoren zijn verplicht om aan de vereisten te voldoen.

De omvangcriteria bepalen of een organisatie als middelgroot of groot wordt aangemerkt. Middelgrote organisaties hebben doorgaans tussen de 50 en 250 werknemers of een omzet tussen 10 en 50 miljoen euro. Grote organisaties overschrijden deze drempels.

Ten opzichte van de oorspronkelijke NIS-richtlijn is de reikwijdte fors uitgebreid. Waar de eerste versie zich vooral richtte op grote bedrijven die belangrijk zijn voor de maatschappij (zoals energie- en waterbedrijven), omvat NIS2 veel meer sectoren. Staat jouw branche niet op de lijst? Dan kun je in theorie rustig achteroverleunen, maar in de praktijk is dat niet de beste keuze. De gemiddelde schade van een hack bedroeg in 2022 al 270.000 euro.

Wat zijn de kernvereisten voor risicobeheer onder NIS2?

NIS2 verplicht organisaties tot het implementeren van passende en evenredige technische, operationele en organisatorische maatregelen voor risicobeheer. Deze maatregelen moeten de risico’s voor netwerk- en informatiesystemen beheersen en de impact van incidenten minimaliseren.

De kernvereisten omvatten:

  • Risicoanalyse en beveiligingsbeleid: het identificeren van cyberbeveiligingsrisico’s en het vaststellen van passend beleid
  • Incidentafhandeling: procedures voor het detecteren, analyseren en afhandelen van beveiligingsincidenten
  • Bedrijfscontinuïteit en disaster recovery: maatregelen om de continuïteit van diensten te waarborgen
  • Supply chain security: beveiliging van de toeleveringsketen en relaties met leveranciers
  • Technische maatregelen: netwerk- en informatiebeveiliging, toegangscontrole en encryptie

Een pragmatische aanpak voor implementatie bestaat uit vijf fasen. De eerste fase betreft het analyseren van cyberrisico’s, waarbij IT-middelen worden geïnventariseerd en een risicoanalyse wordt uitgevoerd. De tweede fase richt zich op het bepalen van maatregelen via een business impact assessment. Vervolgens wordt een actieplan opgesteld en uitgevoerd, waarna maatregelen structureel worden geïntegreerd in de dagelijkse werkzaamheden. De laatste fase betreft het controleren en verbeteren door incidenten te analyseren en maatregelen periodiek te toetsen.

Hoe werkt de meldplicht voor cyberincidenten onder NIS2?

Onder NIS2 geldt een strikte meldplicht voor significante cyberincidenten. Organisaties moeten incidenten melden aan de bevoegde autoriteit (in Nederland het NCSC of sectorale toezichthouders) volgens vastgestelde termijnen. Deze meldplicht zorgt voor betere informatiedeling en een snellere respons op grootschalige cyberdreigingen.

De termijnen voor incidentmelding zijn als volgt:

  • Binnen 24 uur: vroege waarschuwing met een eerste indicatie van het incident
  • Binnen 72 uur: volledige incidentmelding met een beoordeling van de ernst en impact
  • Binnen één maand: eindrapport met een gedetailleerde analyse en de genomen maatregelen

Niet elk beveiligingsincident hoeft gemeld te worden. De meldplicht geldt voor incidenten die een significante impact hebben op de dienstverlening, zoals incidenten die leiden tot aanzienlijke operationele verstoringen of financiële verliezen. Organisaties moeten daarom interne procedures hebben om incidenten te classificeren en te bepalen of melding verplicht is.

Wat betekent bestuurdersaansprakelijkheid onder de NIS2-richtlijn?

NIS2 legt expliciet verantwoordelijkheid bij het bestuur van organisaties. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor non-compliance met cybersecurityrisicomanagementmaatregelen. Dit betekent dat cybersecurity niet langer alleen een IT-aangelegenheid is, maar een bestuurlijke verantwoordelijkheid.

Bestuurders moeten aantonen dat zij voldoende kennis en vaardigheden hebben om de gevolgen van informatiebeveiligingsrisico’s te beoordelen. Daarom verplicht NIS2 dat bestuur en werknemers regelmatig scholing volgen om cyberbeveiligingsrisico’s te herkennen en te voorkomen. Het bestuur stelt het beveiligingsbeleid vast, herziet dit periodiek en borgt dat het personeel op de hoogte is en handelt in overeenstemming met het beleid.

De sancties bij overtredingen zijn aanzienlijk. Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten. Als directie kun je namelijk persoonlijk aansprakelijk worden gesteld voor de gevolgen van een hack. Is cybersecurity nu nog vooral het domein van IT? Dan is dit het moment om daar verandering in te brengen.

Welke stappen moet je nemen om NIS2-compliant te worden?

NIS2-compliance bereik je door een gestructureerde aanpak te volgen. Begin met vast te stellen of jouw organisatie onder de richtlijn valt en welke specifieke vereisten van toepassing zijn. Vervolgens kun je gericht werken aan de implementatie van de benodigde maatregelen.

Een praktisch stappenplan:

  • Gap-analyse uitvoeren: bepaal het verschil tussen de huidige situatie en de NIS2-vereisten
  • Risicobeoordeling opstellen: identificeer en beoordeel de cyberbeveiligingsrisico’s voor jouw organisatie
  • Beveiligingsmaatregelen implementeren: tref passende technische en organisatorische maatregelen
  • Incidentresponsplan ontwikkelen: zorg voor procedures om incidenten te detecteren en af te handelen
  • Supply chain beoordelen: evalueer de beveiliging van leveranciers en partners
  • Documentatie op orde brengen: leg beleid, procedures en maatregelen vast

Organisaties hebben een security officer nodig vanuit de eigen organisatie. Een externe IT-beheerder kan helpen bij technische aspecten, maar niet bij het totaalplaatje. Je hebt een partij nodig die het voor je opzet en daarbij ondersteunt. Veel zaken zitten in de details en daar heb je echt de juiste expertise voor nodig. Zie NIS2 als een verandertraject dat continu aandacht verdient, niet als een afgebakend project met een kop en een staart.

Hoe helpt Hoek en Blok IT bij NIS2-compliance?

Hoek en Blok IT ondersteunt organisaties bij het behalen van NIS2-compliance met een pragmatische en betaalbare aanpak. De NOREA-gecertificeerde EDP-auditors combineren technische expertise met auditervaring om jouw organisatie doelgericht te begeleiden.

De dienstverlening omvat:

  • NIS2-nulmeting en gap-analyse: inzicht in waar jouw organisatie staat en wat er nog moet gebeuren
  • IT-securityassessments en penetratietests: identificeren van kwetsbaarheden en bedreigingen
  • Ondersteuning bij risicobeoordeling en implementatie van maatregelen
  • IT Security Officer as-a-Service: structurele ondersteuning zonder fulltime aanstelling
  • Security awareness-training voor medewerkers en bestuurders

Wil je weten hoe jouw organisatie ervoor staat op het gebied van NIS2? Neem contact op met Hoek en Blok IT voor een vrijblijvend gesprek of vraag direct een nulmeting aan.