De deadline nadert. Weet jij al of jouw organisatie aan NIS2 moet voldoen en wat je daarvoor moet regelen?
Veel organisaties denken dat NIS2 niet voor hen geldt. Maar of je nu direct onder de wet valt, klanten hebt die dat doen, of levert aan partijen die dat doen: de kans is groot dat NIS2 jouw organisatie raakt. En je klanten vragen er al naar.
Wat is NIS2 precies?
NIS2 staat voor Network and Information Security Directive 2. Het is een Europese richtlijn die in oktober 2022 werd vastgesteld en die alle EU-lidstaten verplicht om strengere cybersecuritymaatregelen in te voeren.
De richtlijn vervangt de eerste NIS-richtlijn uit 2016, die in de praktijk te beperkt bleek. NIS2 trekt de lat flink hoger: meer organisaties vallen eronder, de eisen zijn concreter en de handhaving is serieuzer.
Valt jouw organisatie eronder?
NIS2 maakt onderscheid tussen essentiële en belangrijke entiteiten. De wet geldt voor middelgrote en grote organisaties in sectoren die cruciaal zijn voor onze samenleving, zoals energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur en de overheid. Maar ook sectoren als post- en koeriersdiensten, de maakindustrie en digitale aanbieders vallen eronder.
| Sector | Type |
| Energie (elektriciteit, gas, warmte) | Essentieel |
| Transport (lucht, rail, weg, water) | Essentieel |
| Gezondheidszorg | Essentieel |
| Drinkwater en afvalwater | Essentieel |
| Digitale infrastructuur (cloud, DNS, datacenters) | Essentieel |
| Overheid | Essentieel |
| Post- en koeriersdiensten | Belangrijk |
| Chemie en voedingsmiddelen | Belangrijk |
| Maakindustrie (o.a. medische hulpmiddelen) | Belangrijk |
| Digitale aanbieders (online marktplaatsen, zoekmachines) | Belangrijk |
Als je organisatie 50 of meer medewerkers heeft, of een jaaromzet boven de €10 miljoen, en actief is in een van deze sectoren, is de kans groot dat NIS2 op jou van toepassing is. Twijfel je? Neem contact met ons op, we kijken het graag samen met je na.
“Wij vallen niet onder NIS2”
Dit is de meest gemaakte denkfout rond NIS2. Organisaties kijken naar de lijst met sectoren, zien zichzelf er niet direct in terug en concluderen dat de wet niet op hen van toepassing is. Maar zo werkt het niet altijd.
NIS2 verplicht organisaties die onder de wet vallen om ook de beveiliging van hun volledige toeleveringsketen te borgen. Dat betekent: als jouw klanten of opdrachtgevers onder NIS2 vallen, dan kunnen zij jou als leverancier verplichten om aantoonbaar aan de eisen te voldoen. Lever jij diensten, software, hardware of andere producten aan bijvoorbeeld zorginstellingen, energiebedrijven of overheidsorganisaties? Dan raakt NIS2 jou, ook als je zelf niet direct onder de wet valt.
En het gaat verder dan de wet alleen. In de praktijk zien we al dat organisaties die zelf NIS2-plichtig zijn, hun leveranciers actief beginnen te screenen. Wie geen bewijs van compliance kan leveren, riskeert contracten te verliezen of buiten aanbestedingen te vallen. Zoals Rabobank, die je als groot bedrijfsrisico ziet als jij niet voldoet aan NIS2. NIS2 is daarmee niet alleen een juridische verplichting; het is een zakelijke randvoorwaarde.
Wat vraagt NIS2 van je?
NIS2 legt twee hoofdverplichtingen op: een zorgplicht en een meldplicht. Maar er is meer.
1. Zorgplicht
Je moet aantoonbaar passende technische en organisatorische maatregelen nemen om risico’s voor je netwerk- en informatiesystemen te beheersen.
2. Meldplicht
Significante incidenten meld je binnen 24 uur bij de toezichthouder. Een volledig rapport volgt binnen 72 uur.
3. Bestuurlijke verantwoordelijkheid
Het management is persoonlijk verantwoordelijk voor naleving. Bestuurders kunnen aansprakelijk worden gesteld.
4. Ketenbeveiliging
Ook de beveiliging van leveranciers en partners valt onder je verantwoordelijkheid. Je moet risico’s in je toeleveringsketen in kaart brengen.
“Niet voldoen aan NIS2 kan leiden tot boetes tot €10 miljoen of 2% van de jaaromzet en bestuurders kunnen persoonlijk aansprakelijk worden gesteld.”
Waarom nu handelen en niet afwachten?
We begrijpen de verleiding om te wachten totdat de wet officieel van kracht is. Maar dat is precies de verkeerde strategie.
1. Compliance kost tijd. Een volwassen cybersecuritybeleid opbouwen gaat niet van de ene op de andere dag. Risico-inventarisaties, leveranciersbeoordelingen, incidentprocedures en trainingen kosten tijd. Organisaties die nu beginnen, lopen straks geen achterstand op.
2. Klanten en partners verwachten het. Steeds meer opdrachtgevers, zeker in het (semi-)publieke domein, eisen aantoonbare cybersecuritymaatregelen van hun leveranciers. Vroeg beginnen geeft je een voorsprong en versterkt je positie in de markt.
3. Cyberdreigingen wachten niet op wetgeving. Ransomware, phishing en datalekken zijn realiteit van vandaag. NIS2 vraagt je om maatregelen die je sowieso zou moeten nemen om je organisatie te beschermen, wet of geen wet.
Wat moet je concreet doen?
NIS2 schrijft geen specifieke tools voor, maar wel een aantal thema’s waarop je beleid moet hebben. Hier is een praktische aanpak:
Stap 1 — Bepaal of NIS2 op jou van toepassing is. Inventariseer je sector, omvang en activiteiten. Twijfelgevallen zijn er ook, laat dit zo nodig professioneel beoordelen.
Stap 2 — Voer een risicoanalyse uit. Breng in kaart welke systemen, data en processen kritisch zijn. Wat zijn de grootste bedreigingen? Waar zitten de kwetsbaarheden?
Stap 3 — Neem technische en organisatorische maatregelen. Denk aan multi-factor authenticatie, encryptie, netwerksegmentatie, patchbeheer, back-upbeleid en toegangscontrole. Maar ook: bewustwording bij medewerkers en heldere procedures.
Stap 4 — Stel een incidentresponsplan op. Wat doe je als het misgaat? Wie belt wie? Hoe meld je een incident? Oefen dit scenario voordat het nodig is.
Stap 5 — Betrek je leveranciers. Bekijk welke partijen toegang hebben tot jouw systemen of data. Stel eisen, maak afspraken en leg dit vast in contracten.
Stap 6 — Documenteer alles. Zorg dat je kunt aantonen wat je hebt gedaan. Toezichthouders kunnen om bewijs vragen, goede documentatie is je beste verdediging.
Hoe helpt 2BE IT jou hierbij?
Bij 2BE IT geloven we dat goede IT het leven makkelijker maakt,niet ingewikkelder. Dat geldt ook voor NIS2-compliance. Wij begeleiden jouw organisatie van A tot Z.
We beginnen met een nulmeting: waar sta je nu en wat is er nodig? Vervolgens helpen we je met concrete maatregelen op het gebied van netwerkbeveiliging, identiteitsbeheer, monitoring en incidentrespons. Alles onder één dak, met een vast aanspreekpunt.
Geen ingewikkeld jargon, geen onduidelijke facturen. Gewoon helder advies en hands-on ondersteuning, zodat jij je kunt richten op waar je goed in bent.
Wil jij gratis advies over wat NIS 2.0 voor jouw organisatie betekent?
Wij voorzien je van een antwoord. Neem contact op met Vincent.
PARTNERS
