De Europese NIS2-richtlijn (Network and Information Systems Security Directive 2) is in november 2022 aangenomen en moet uiterlijk op 17 oktober 2024 door alle EU‑lidstaten zijn omgezet in nationale wetgeving. In Nederland wordt de richtlijn omgezet in de Cyberbeveiligingswet. Het doel van de NIS2 is om het niveau van cybersecurity binnen de Europese Unie te verhogen en organisaties beter te beschermen tegen incidenten en digitale verstoringen. Veel organisaties zijn nog zoekend naar wat deze wetgeving voor hen betekent.

Wat is NIS2?

NIS2 is de opvolger van de eerste NIS‑richtlijn en breidt de scope uit naar meer sectoren en bedrijven. De richtlijn geldt voor essentiële en belangrijke entiteiten in zowel publieke als private sectoren. Alle middelgrote en grote organisaties die actief zijn in de aangewezen sectoren vallen automatisch onder de wet; kleinere partijen met een hoog risicoprofiel kunnen eveneens worden aangewezen. De NIS2 verplicht lidstaten om een nationale cyberstrategie te ontwikkelen en een nationaal CSIRT en toezichthouder aan te wijzen.

Wie valt onder de NIS2?

De NIS2 hanteert twee categorieën:

• Sectoren met hoge kriticiteit: energie (elektriciteit, gas, warmte), transport (luchtvaart, spoor, weg en water), bankwezen, financiële markt‑infrastructuren, gezondheidszorg (inclusief farmaceutische productie en zorginstellingen), drinkwater en afvalwater, digitale infrastructuur (cloud‑ en datacenters, telecom, DNS, certificaatdiensten), publieke administratie en ruimtevaart.
• Overige kritieke sectoren: post‑ en koeriersdiensten, afvalbeheer, chemie, voedsel, maakindustrie (medische apparatuur, elektronica, machines, voertuigen), digitale platforms (online marktplaatsen, zoekmachines, sociale netwerken) en onderzoeksorganisaties.

Naast de sectoren speelt ook omvang een rol: middelgrote en grote organisaties (meer dan 50 werknemers of een jaaromzet/balans totaal > €10 miljoen) worden opgenomen. Lidstaten kunnen kleinere organisaties toevoegen wanneer hun diensten essentieel zijn of een hoog risico vormen.

Verplichtingen en boetes

Organisaties die onder de NIS2 vallen moeten een risicobeheersysteem inrichten met maatregelen voor risicomanagement, incidentrespons, business continuity, supply‑chain security en kwetsbaarheidsbeheer. Concreet betekent dit onder meer:

• Een lijst van tien basiselementen opnemen zoals incidentafhandeling, supply‑chain security, kwetsbaarhedenbeheer en encryptie.
• Een meerstappenproces voor incidentmelding: binnen 24 uur een vroege waarschuwing sturen naar het CSIRT of de bevoegde autoriteit, binnen 72 uur een gedetailleerde melding indienen en binnen één maand een eindrapport opsturen.
• Periodieke audits, toezicht en meldingsplicht aan de toezichthouder.

De boetes zijn fors: voor essentiële entiteiten kunnen boetes oplopen tot €10 miljoen of 2 % van de wereldwijde jaaromzet; voor belangrijke entiteiten tot €7 miljoen of 1,4 % van de omzet.

ISO 27001 en NIS2

Een goed opgezet ISO 27001‑informatiesicherheidsmanagementsysteem dekt naar schatting 70‑80 % van de vereisten uit artikel 21 van NIS2. Organisaties met een gecertificeerd ISMS kunnen hun NIS2‑gereedheid daardoor met enkele maanden versnellen. ISO 27001 biedt sterke dekking voor risicobeheer, toegangscontrole, cryptografie, leveranciersmanagement en monitoring.

Toch zijn aanvullende processen nodig om volledig aan NIS2 te voldoen. NIS2 schrijft specifieke termijnen voor incidentmeldingen voor (24/72 u) en vraagt diepgaande ketenbeveiliging, registratie bij CSIRTs en opleidingen voor bestuurders. Daarnaast wordt de aansprakelijkheid van bestuurders expliciet benoemd. Een gap‑analyse helpt om de resterende hiaten tussen ISO 27001 en NIS2 in kaart te brengen.

Gratis checklist en gap‑analyse

Wilt u weten of NIS2 op uw organisatie van toepassing is en waar u staat? Vul dan de NCSC NIS2‑zelfevaluatietool in. Daarmee bepaalt u of uw organisatie als essentieel of belangrijk wordt aangemerkt. Vervolgens kunt u met onze checklist stap voor stap controleren welke maatregelen u moet treffen. Deze checklist behandelt onder andere risicobeheer, incidentmelding, leveranciersonderzoeken en opleidingen voor bestuurders.

Download onze gratis NIS2‑checklist of plan een vrijblijvende gap‑analyse om uw huidige informatiebeveiliging te vergelijken met de NIS2‑eisen. Neem contact op via onze contactpagina voor meer informatie of een persoonlijk adviesgesprek.