Wat is de NIS2-richtlijn en wat betekent dit voor jouw organisatie?

De digitale veiligheid van onze samenleving staat de laatste jaren steeds meer onder druk. Denk aan cyberdreigingen, de oorlog in Oekraïne, COVID-19 en de toenemende afhankelijkheid van digitale infrastructuur. Om de weerbaarheid van Europa te vergroten, is de NIS2-richtlijn ontwikkeld: een Europese wet die vanaf 2024/2025 grote gevolgen heeft voor bedrijven en organisaties in Nederland.

In deze blog leggen we uit wat de NIS2-richtlijn precies inhoudt, voor wie deze geldt en welke verplichtingen erbij horen.

Van NIS1 naar NIS2

De eerste NIS-richtlijn (Network and Information Security) stamt uit 2016 en werd in Nederland vertaald naar de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Deze wet gold voor een beperkte groep organisaties in vitale sectoren.

De NIS2-richtlijn gaat een stap verder:

• Meer sectoren vallen onder de regels.
• Meer bedrijven (middelgroot én groot) moeten voldoen.
• Er komen strengere eisen op het gebied van cybersecurity, rapportage en toezicht.

In Nederland wordt de NIS2 omgezet in de Cyberbeveiligingswet (Cbw).

Voor wie geldt de NIS2-richtlijn?

Er zijn twee criteria die bepalen of jouw organisatie onder de NIS2 valt:

1. De sector waarin je actief bent
   • Kritieke sectoren: energie, transport, bankwezen, zorg, drinkwater, digitale infrastructuur, overheid, etc.
   • Belangrijke sectoren: digitale aanbieders, post- en koeriersdiensten, voedselproductie, chemie, onderzoek, productie.
2. De omvang van de organisatie
   • Groot: ≥250 medewerkers of ≥€50 miljoen omzet en ≥€43 miljoen balanstotaal.
   • Middelgroot: ≥50 medewerkers of ≥€10 miljoen omzet en ≥€10 miljoen balanstotaal.

Daarnaast zijn er uitzonderingen: sommige organisaties (bijvoorbeeld overheid, telecom en vertrouwensdiensten) vallen altijd onder de wet, ongeacht grootte.

Wat zijn de verplichtingen?

De NIS2-richtlijn introduceert vier belangrijke plichten:

1. Zorgplicht
   Organisaties moeten zelf een risicobeoordeling uitvoeren en passende beveiligingsmaatregelen nemen. Het bestuur is eindverantwoordelijk en moet hiervoor ook opleidingen volgen.
2. Registratieplicht
   Bedrijven moeten zich inschrijven in een Europees entiteitenregister, zodat duidelijk is wie onder NIS2 valt.
3. Meldplicht
   Ernstige incidenten moeten binnen 24 uur gemeld worden bij de toezichthouder en het CSIRT. Dit vraagt om goede monitoring en incident response-processen.
4. Toezicht
   Sectorale toezichthouders gaan controleren of organisaties aan de eisen voldoen.

Wat kun je nu al doen?

Hoewel de Nederlandse wetgeving nog in ontwikkeling is, kun je je nu al voorbereiden:

• Start met een gap-analyse: waar voldoet jouw organisatie al aan, en waar zitten de risico’s?
• Implementeer de 10 zorgplichtmaatregelen die in de Cyberbeveiligingswet worden genoemd.
• Zorg voor incident response-processen en monitoring.
• Train bestuurders en securityteams.

Conclusie

De NIS2-richtlijn heeft grote impact op organisaties in heel Europa. Door nu al te beginnen met voorbereiden, voorkom je boetes en reputatieschade. Met slimme tooling zoals NIS2Cloud kun je voldoen aan de zorgplicht, meldplicht en toezichteisen – zonder eindeloze handmatige controles.