NIS2 breidt de cybersecurityverplichtingen uit naar duizenden Nederlandse bedrijven.
De Network and Information Security Directive 2, kortweg NIS2, is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. Waar NIS1 nog relatief beperkt van toepassing was, breidt NIS2 de reikwijdte fors uit. Duizenden Nederlandse bedrijven die tot nu toe buiten de scope vielen, worden nu wettelijk verplicht hun cybersecurity op een hoger niveau te brengen.
NIS2 is een Europese richtlijn die in 2022 is aangenomen en in 2024 in Nederlandse wetgeving is omgezet via de Cyberbeveiligingswet. De richtlijn verplicht organisaties in kritieke en belangrijke sectoren tot het nemen van aantoonbare cybersecuritymaatregelen en tot het melden van ernstige incidenten.
De uitbreiding ten opzichte van NIS1 is ingrijpend. Sectoren zoals energie, transport, bankwezen en gezondheidszorg vielen al onder NIS1. NIS2 voegt sectoren toe zoals afvalwaterbeheer, digitale infrastructuur, post- en koeriersdiensten, voedselproductie, chemie, maakindustrie en digitale aanbieders.
NIS2 onderscheidt twee categorieën: essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten zijn grote organisaties in de meest kritieke sectoren. Belangrijke entiteiten zijn middelgrote organisaties in bredere sectoren.
Als vuistregel: organisaties met meer dan vijftig medewerkers en een jaaromzet boven tien miljoen euro in een van de aangewezen sectoren, vallen doorgaans onder NIS2. Voor sommige sectoren gelden strengere drempels ongeacht grootte.
De meest betrouwbare manier is het raadplegen van de zelfscan op de website van het NCSC of een adviesgesprek met een cybersecurityspecialist die NIS2-kennis heeft.
NIS2 stelt eisen op vier gebieden.
Risicobeheersmaatregelen: Organisaties moeten aantoonbare maatregelen nemen voor risicobeheer: incidentbehandeling, toegangsbeveiliging, encryptie, patchbeheer, bedrijfscontinuïteit. Het gaat niet om perfecte beveiliging maar om proportionele, gedocumenteerde maatregelen.
Meldplicht: Ernstige incidenten moeten worden gemeld bij het NCSC en sectorale toezichthouders. De termijnen zijn strak: een eerste melding binnen 24 uur, een volledige melding binnen 72 uur, en een eindrapport binnen een maand.
Toeleveranciersbeveiliging: Organisaties moeten de cybersecurityrisico's in hun toeleveringsketen in kaart brengen en beheersen. Je leveranciers tellen mee.
Bestuurlijke verantwoordelijkheid: Bestuurders zijn persoonlijk aansprakelijk voor NIS2-naleving. Ze moeten kennis hebben van cybersecurityrisico's, trainingen volgen en de implementatie actief sturen. Dit is een fundamentele verandering: cybersecurity is geen IT-kwestie meer maar een bestuurlijke verantwoordelijkheid.
NIS2 kent aanzienlijk hogere sancties dan NIS1. Voor essentiële entiteiten zijn boetes mogelijk tot tien miljoen euro of twee procent van de wereldwijde jaaromzet, wat het hoogste bedrag is. Voor belangrijke entiteiten zijn de maxima zeven miljoen euro of 1,4 procent van de jaaromzet.
Naast financiële sancties kunnen toezichthouders ook tijdelijke stillegging van diensten opleggen en bestuurders persoonlijk aansprakelijk stellen.
Een NIS2-compliancetraject bestaat doorgaans uit vier stappen: bepalen of je onder de richtlijn valt, een gap-analyse uitvoeren om te zien waar je nu staat versus de vereisten, een implementatieplan opstellen voor de benodigde maatregelen, en een continue monitoringproces inrichten.
De artikelen in dit dossier beschrijven elke stap in detail en geven concrete handleidingen voor de meest relevante maatregelen.
Wat als ik niet weet of ik onder NIS2 val?
Voer de zelfscan uit op ncsc.nl. Raadpleeg bij twijfel een NIS2-adviseur. Niet weten is geen excuus bij een handhavingsinspectie.
Is er een overgangsperiode?
De Cyberbeveiligingswet is in 2024 van kracht geworden. Er zijn geen officiële uitstelperiodes. Toezichthouders zijn echter pragmatisch: organisaties die aantoonbaar werken aan compliance, worden anders behandeld dan organisaties die niets doen.
Wat zijn de eerste concrete stappen?
Bepaal of je onder NIS2 valt. Voer een risicobeoordeling uit. Stel een incidentresponsplan op. Zorg dat MFA is ingeschakeld voor alle medewerkers. Dit zijn de meest prioritaire eerste stappen.
Bedrijven met vijftien tot tweehonderdvijftig digitale werkplekken staan voor een specifieke uitdaging: te groot om alles ad hoc te regelen, te klein voor een fulltime specialist op elk deelgebied. De artikelen in dit dossier zijn speciaal geschreven voor die schaal.
De onderwerpen in dit dossier worden behandeld op een manier die direct toepasbaar is. Geen academische theorie, geen consultant-jargon. Wel concrete stappenplannen, eerlijke kostenvergelijkingen, en praktijkvoorbeelden van bedrijven in vergelijkbare situaties.
Elk artikel begint met de kern: wat is het onderwerp, waarom is het relevant voor jouw bedrijf, en wat zijn de eerste stappen. Daarna volgt de verdieping: de details, de nuances, de uitzonderingen. En elk artikel sluit af met veelgestelde vragen die eerlijk worden beantwoord.
De informatie is gebaseerd op publiek beschikbare bronnen: officiële overheidswebsites, toezichthouders, software-aanbieders en erkende brancheorganisaties. Alle inhoud is bedoeld als algemene kennisbasis, geen vervanging voor juridisch of technisch advies op maat.
Dit dossier wordt bijgewerkt als er relevante wijzigingen zijn in wet- en regelgeving, marktprijzen of technologische ontwikkelingen. De datum van de laatste inhoudelijke wijziging staat bij elk artikel.
Heb je een vraag die niet in de artikelen wordt beantwoord? Gebruik de kennisassistent rechtsonder voor directe antwoorden op specifieke vragen.
Naast dit dossier bevat Digitaalgezag uitgebreide kennis over aanverwante onderwerpen die relevant zijn voor het MKB. Bekijk het overzicht van alle dossiers op de homepage voor een compleet overzicht.
*Zie ook: NIS2: voor welke bedrijven geldt het? en NIS2 stappenplan voor het MKB.*
Bedrijven met vijftien tot tweehonderdvijftig digitale werkplekken staan voor een specifieke uitdaging: te groot om alles ad hoc te regelen, te klein voor een fulltime specialist op elk deelgebied. De artikelen in dit dossier zijn speciaal geschreven voor die schaal.
De onderwerpen worden behandeld op een manier die direct toepasbaar is. Geen academische theorie of consultant-jargon, maar concrete stappenplannen, eerlijke kostenvergelijkingen en praktijkvoorbeelden van bedrijven in vergelijkbare situaties.
Elk artikel begint met de kern: wat is het onderwerp, waarom is het relevant, en wat zijn de eerste stappen. Daarna volgt de verdieping met details, nuances en uitzonderingen. Elk artikel sluit af met veelgestelde vragen die eerlijk worden beantwoord zonder verkooppraatjes.
De informatie is gebaseerd op publiek beschikbare bronnen: officiële overheidswebsites, toezichthouders, software-aanbieders en erkende brancheorganisaties. Alles is bedoeld als algemene kennisbasis, geen vervanging voor juridisch of technisch advies op maat.
Dit dossier is het meest relevant voor directeuren en managers die beslissingen nemen over dit onderwerp, IT-verantwoordelijken die de technische implementatie begeleiden, en medewerkers die willen begrijpen waarom bepaalde regels of systemen bestaan.
Als je na het lezen van de artikelen specifieke vragen hebt over jouw situatie, kun je de kennisassistent rechtsonder raadplegen of contact opnemen met een specialist.
Dit dossier staat niet op zichzelf. Digitaalgezag bevat tientallen dossiers over aanverwante onderwerpen die relevant zijn voor het MKB. Van cybersecurity en AVG tot Microsoft 365 en bedrijfsoptimalisatie: alle kennis is beschikbaar zonder betaalmuur.
Niet zeker waar te beginnen? De kennisassistent rechtsonder kan je direct helpen het meest relevante artikel te vinden op basis van jouw specifieke vraag of situatie.
NIS2 geldt voor 18 sectoren boven bepaalde omvang. Vergelijking van essentiële en belangrijke entiteiten met drempelwaarden, voorbeelden per sector en gevolgen van foutieve beoordeling.
NIS2-compliance voor het MKB in 10 stappen. Tijdlijn, kostenmatrix per maatregel en prioritering op basis van risico. Met nulmeting-template en toezichthouder-aanmelding.
NIS2 kent boetes tot 10 miljoen euro en persoonlijke bestuurdersaansprakelijkheid. Lees welke bedragen gelden, wanneer ze worden opgelegd en hoe je het risico beperkt.
NIS2 art. 21 verplicht specifieke technische en organisatorische maatregelen. Wat zijn ze, welke prioriteit hebben ze en wat kost het? Compleet overzicht voor het MKB.
NIS2 verplicht tot het beveiligen van de leveranciersketen. Hoe beoordeel je toeleveranciers, wat leg je contractueel vast en wat zijn de risicos?
