De NIS2-richtlijn zorgt voor een grote verandering in hoe organisaties hun cyberbeveiliging moeten inrichten. Steeds meer bedrijven vragen zich af: Val ik onder NIS2? Wat moet ik doen om te voldoen? En wanneer gaat NIS2 precies in? Hier lees je in één oogopslag wat de nieuwe regels betekenen en welke stappen je kunt zetten.
Wat is de NIS2-richtlijn?
NIS2 is de vernieuwde Europese richtlijn voor netwerk- en informatiesystemen. Het doel: de digitale weerbaarheid in de EU flink verhogen. De NIS2-richtlijn verplicht organisaties om strengere beveiligingsmaatregelen te nemen en sneller incidenten te melden. Daardoor raakt NIS2 veel meer sectoren en bedrijven dan de eerdere NIS-wetgeving.
Wie valt onder NIS2?
De richtlijn maakt onderscheid tussen essentiële en belangrijke entiteiten. Denk aan sectoren als energie, vervoer, gezondheidszorg, digitale infrastructuur, productie, chemie, onderzoek en meer. Niet alleen grote organisaties, maar ook middelgrote bedrijven kunnen onder NIS2 vallen.
Veel ondernemers vragen zich dus terecht af: Valt mijn bedrijf onder NIS2? De kans is groot dat het antwoord “ja” is, zeker wanneer je actief bent in een van de aangewezen kritieke of zeer kritieke sectoren.
De belangrijkste verplichtingen uit NIS2
NIS2 introduceert drie hoofdverplichtingen en één aanvullende bestuurdersverplichting:
1. Registratieplicht
Organisaties moeten zich actief registreren bij de bevoegde autoriteit en o.a. KVK-gegevens en IP-adressen doorgeven.
2. Meldplicht bij incidenten
Bij een (mogelijk) significant cybersecurity-incident moet een organisatie snel handelen:
- Binnen 24 uur melden
- Binnen 72 uur eerste analyse
- Binnen 1 maand een eindrapport met oorzaak en maatregelen
3. Zorgplicht: cybersecuritymaatregelen
Onder NIS2 wordt een breed pakket aan beveiligingsmaatregelen verplicht, waaronder:
- Risicoanalyses
- Incidentrespons
- Beveiliging van de toeleveringsketen
- Continuïteitsplannen
- Cyberhygiëne en medewerkersopleiding
- MFA en veilige communicatie
- Cryptografiebeleid
Governance: verantwoordelijkheid van bestuurders
Bestuurders moeten actief betrokken zijn bij cyberbeveiliging, adequate kennis opdoen en kunnen zelfs persoonlijk aansprakelijk worden gesteld.
Wanneer gaat NIS2 in?
De Nederlandse Cyberbeveiligingswet—de implementatie van NIS2—wordt verwacht in Q3 2025, hoewel de overheid al heeft aangegeven de oorspronkelijke deadline niet te halen. Organisaties doen er verstandig aan nu al te beginnen met voorbereiden.
Welke boetes gelden onder NIS2?
NIS2 kent stevige sancties:
- Voor essentiële entiteiten: tot €10 miljoen of 2% van de jaaromzet
- Voor belangrijke entiteiten: tot €7 miljoen of 1,4% van de jaaromzet
Meer weten? Download onze NIS2 Cheat Sheet
Wil je precies weten of NIS2 op jouw organisatie van toepassing is, welke verplichtingen gelden en hoe je je nu kunt voorbereiden? Download onze NIS2 Cheat Sheet voor een overzichtelijke uitleg van alle regels, verplichtingen en tijdlijnen.
Nis2 cheatsheet
