NIS2 uitgelegd: Alles wat Nederlandse organisaties moeten weten
Artikel inhoud
NIS2 (Network and Information Security Directive 2) is de Europese cybersecurity-richtlijn die organisaties in essentiële en belangrijke sectoren verplicht om hun digitale beveiliging op orde te brengen. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet (Cbw). Bestuurders zijn persoonlijk aansprakelijk en boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet.
Wat is NIS2?
NIS2 is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016 en is sinds 16 januari 2023 van kracht als Europese richtlijn. Elk EU-lidstaat moet NIS2 omzetten naar nationale wetgeving. In Nederland gebeurt dat via de Cyberbeveiligingswet (Cbw), die naar verwachting eind Q2 2026 in werking treedt.
De richtlijn stelt minimumeisen aan cybersecurity voor organisaties in sectoren die essentieel zijn voor de economie en samenleving. Het doel is een hoger en uniformer beveiligingsniveau in de hele EU. Voor Nederlandse organisaties betekent dit: concrete verplichtingen op het gebied van risicobeheer, incidentmelding en governance.
Verschil NIS2 en NIS1
NIS2 is een fundamentele uitbreiding van de oorspronkelijke richtlijn. De belangrijkste verschillen:
- Meer sectoren: NIS1 gold voor circa 7 sectoren, NIS2 breidt dit uit naar 18 sectoren.
- Meer organisaties: de drempel is verlaagd. Middelgrote en grote organisaties in NIS2-sectoren vallen automatisch onder de richtlijn.
- Strengere eisen: concretere verplichtingen voor risicobeheer, supply chain security en incidentmelding.
- Persoonlijke aansprakelijkheid: bestuurders kunnen persoonlijk aansprakelijk worden gesteld.
- Hogere boetes: tot €10 miljoen of 2% van de wereldwijde jaaromzet.
- Harmonisatie: minder ruimte voor nationale interpretatie, meer uniformiteit in de EU.
Sectoren onder NIS2
NIS2 maakt onderscheid tussen essentiële en belangrijke entiteiten. Het verschil zit vooral in het toezicht: essentiële entiteiten worden proactief gecontroleerd, belangrijke entiteiten reactief (na een incident).
| Essentiële sectoren | Belangrijke sectoren |
|---|---|
| Energie | Post- en koeriersdiensten |
| Transport | Afvalbeheer |
| Bankwezen | Chemische industrie |
| Financiele marktinfrastructuur | Voedselproductie |
| Gezondheidszorg | Maakindustrie |
| Drinkwater | Digitale aanbieders |
| Afvalwater | Onderzoek |
| Digitale infrastructuur | |
| ICT-dienstverlening (B2B) | |
| Overheid | |
| Ruimtevaart |
NIS2 verplichtingen
De Cyberbeveiligingswet vertaalt NIS2 naar drie kernverplichtingen voor Nederlandse organisaties:
- Zorgplicht: passende en proportionele technische en organisatorische maatregelen nemen. Denk aan: risicoanalyses, incident response procedures, supply chain security, encryptie, toegangsbeheer en business continuity.
- Meldplicht: significante incidenten melden bij de toezichthouder. Binnen 24 uur een vroegtijdige waarschuwing, binnen 72 uur een vervolgmelding met impact-assessment, en uiterlijk na 1 maand een eindverslag.
- Registratieplicht: organisaties die onder NIS2 vallen moeten zich registreren bij de bevoegde autoriteit.
Bestuurlijke aansprakelijkheid
Een van de meest ingrijpende aspecten van NIS2 is de persoonlijke aansprakelijkheid van bestuurders. Het bestuur moet de cybersecurity-maatregelen goedkeuren, toezicht houden op de implementatie en kan persoonlijk aansprakelijk worden gesteld bij nalatigheid. In Nederland kan dit leiden tot bestuursverboden en persoonlijke boetes. Dit is nieuw: cybersecurity is niet langer alleen een IT-verantwoordelijkheid, maar een bestuurszaak.
Boetes onder NIS2
De boetes onder NIS2 zijn substantieel:
- Essentiële entiteiten: tot €10 miljoen of 2% van de wereldwijde jaaromzet (hoogste bedrag geldt)
- Belangrijke entiteiten: tot €7 miljoen of 1,4% van de wereldwijde jaaromzet
Daarnaast kunnen toezichthouders corrigerende maatregelen opleggen, zoals bevelen om specifieke maatregelen te implementeren of om activiteiten tijdelijk te staken.
NIS2 vs ISO 27001 vs DORA
Veel Nederlandse organisaties vragen zich af hoe NIS2 zich verhoudt tot bestaande frameworks en regelgeving:
| NIS2 | ISO 27001 | DORA | |
|---|---|---|---|
| Type | EU-richtlijn (wet) | Internationale standaard | EU-verordening (wet) |
| Verplicht? | Ja, voor NIS2-sectoren | Nee, vrijwillig | Ja, voor financiele sector |
| Scope | 18 sectoren EU-breed | Alle organisaties | Financiele instellingen EU |
| Boetes | €10M / 2% omzet | Geen | Sectorspecifiek |
| Focus | Brede cybersecurity | Informatiebeveiligings-managementsysteem | ICT-weerbaarheid financiele sector |
ISO 27001 is een uitstekende basis voor NIS2-compliance, maar dekt niet alles. NIS2 stelt aanvullende eisen aan incidentmelding, supply chain security en bestuurlijke verantwoordelijkheid die niet in ISO 27001 zitten.
Stappenplan: Hoe begin je met NIS2?
Een praktisch stappenplan voor Nederlandse organisaties:
- Scopebepaling: bepaal of je organisatie onder NIS2 valt (sector, omvang, afhankelijkheden).
- Gap-analyse: breng in kaart wat je al doet en waar de tekortkomingen zitten ten opzichte van de NIS2-eisen.
- Risicoanalyse: voer een formele risicoanalyse uit als basis voor je maatregelen.
- Maatregelen implementeren: werk aan de tekortkomingen: technisch (monitoring, patching, segmentatie) en organisatorisch (beleid, procedures, awareness).
- Incident response inrichten: zorg dat je binnen 24/72 uur kunt melden met de juiste informatie.
- Supply chain security: breng je leveranciersketen in kaart en stel eisen aan de beveiliging van kritieke leveranciers.
- Bestuur betrekken: zorg dat het bestuur geïnformeerd is, de maatregelen goedkeurt en toezicht houdt.
- Registreren: meld je aan bij de bevoegde autoriteit zodra de registratieplicht ingaat.
Veelgestelde vragen over NIS2
Wanneer wordt NIS2 van kracht in Nederland?
De EU-deadline was 17 oktober 2024, maar Nederland is nog bezig met de omzetting naar de Cyberbeveiligingswet. De verwachting is dat deze eind Q2 2026 in werking treedt, afhankelijk van het parlementaire proces.
Valt mijn organisatie onder NIS2?
Als je organisatie actief is in een van de 18 NIS2-sectoren en middelgroot of groot is (50+ medewerkers of €10M+ omzet), val je waarschijnlijk onder NIS2. Kleinere organisaties kunnen ook in scope vallen als ze een kritieke rol spelen. Twijfel? Laat een scopecheck uitvoeren.
Helpt ISO 27001 bij NIS2-compliance?
Ja, ISO 27001 dekt een groot deel van de NIS2-eisen. Maar NIS2 gaat verder op het gebied van incidentmelding (24/72 uur), supply chain verplichtingen en bestuurlijke aansprakelijkheid. ISO 27001 is een goede basis, geen volledige dekking.
Wat als ik me niet aan NIS2 houd?
Naast boetes tot €10 miljoen kunnen toezichthouders corrigerende maatregelen opleggen, activiteiten laten staken en bestuurders persoonlijk aanspreken. De reputatieschade is vaak nog groter dan de financiele impact.
Geldt NIS2 ook voor leveranciers?
NIS2 verplicht organisaties om de cybersecurity van hun supply chain te beoordelen en te bewaken. Als je leverancier bent van een NIS2-plichtige organisatie, kun je indirect te maken krijgen met NIS2-eisen via contractuele verplichtingen.
Hoe verschilt NIS2 van de huidige Wbni?
De Wet beveiliging netwerk- en informatiesystemen (Wbni) is de Nederlandse implementatie van NIS1. De Cyberbeveiligingswet (NIS2-implementatie) vervangt de Wbni met aanzienlijk strengere en bredere eisen. Meer sectoren, hogere boetes en expliciete bestuurdersaansprakelijkheid.
Voldoet uw organisatie aan NIS2?
Onze NIS2-specialisten helpen Nederlandse organisaties met scopebepaling, gap-analyse en implementatie. Begin vandaag met een NIS2 Readiness Assessment.