Wat is NIS2?
In wezen is NIS2 het bijgewerkte cybersecuritykader voor de Europese Unie. Het is ontworpen om de digitale verdedigingen van organisaties die essentiële diensten aan onze samenleving leveren te versterken. Deze richtlijn vervangt de oudere versie van 2016 en introduceert een veel hogere "drempel" voor beveiliging.
Voor Nederland is het belangrijk op te merken dat NIS2 zal worden geformaliseerd als de Cyberbeveiligingswet (Cbw). Hoewel de algemene EU-deadline is verstreken, is het Nederlandse mandaat nu officieel vastgesteld op 1 juli 2026.
Bent u er niet zeker van of uw huidige beveiliging aansluit bij de nieuwe eisen? Plan een NIS2 Gap-analyse in om precies te bepalen welke stappen u vóór juli 2026 moet zetten.
Waar is het van toepassing?
NIS2 maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. In algemene termen: middelgrote en grote organisaties (50+ werknemers of meer dan €10 miljoen aan jaarlijkse omzet) in de onderstaande sectoren vallen onder de richtlijn.
Twijfelt u of uw organisatie moet voldoen aan de NIS2-richtlijn? Neem contact op met de nationale cybersecurity-autoriteit of vraag een Safesecur Group nulmeting aan via ons contactformulier om precies te weten waar u staat.
De vier pijlers van NIS2
De richtlijn is gebaseerd op vier concrete verplichtingen die elke gedekte organisatie moet vervullen.
Significante incidenten moeten binnen 24 uur aan de bevoegde autoriteit worden gerapporteerd als een vroegtijdige waarschuwing, gevolgd door een volledig incidentrapport binnen 72 uur.
Organisaties zijn ook verantwoordelijk voor de cybersecuritypraktijken van hun leveranciers en dienstverleners.
Bestuursleden dragen de uiteindelijke verantwoordelijkheid en kunnen persoonlijk aansprakelijk worden gesteld in gevallen van aantoonbare nalatigheid.
Kernverplichtingen
Wat betekent verantwoordelijkheid van het management in de praktijk?
Dit is een van de meest significante veranderingen in vergelijking met de vorige richtlijn. Het senior management moet betrokkenheid aantonen bij het cybersecuritybeheer van de organisatie. In specifieke termen betekent dit:
- Cybersecurity is een prioriteit in de boardroom. Zorg ervoor dat uw leiderschapsteam de vereiste kennis heeft met onze 4 uur durende Executive NIS2 Sessie.
- Formele goedkeuring en goedkeuring van het beveiligingsbeleid.
- Actieve opvolging van risicorapporten en auditbevindingen.
Toezichthouders verwachten dat het leiderschapsteam de risico's begrijpt en actief mitigatie-inspanningen aanstuurt.
Sancties: Niet-naleving kan leiden tot boetes van maximaal €10 miljoen of 2% van de wereldwijde jaarlijkse omzet voor essentiële entiteiten, en tot €7 miljoen of 1,4% voor belangrijke entiteiten. Toezichthouders kunnen ook tijdelijke managementverboden opleggen.
Waar te beginnen: een praktische benadering
- Bepaal uw status
- Controleer of uw organisatie kwalificeert als essentieel of belangrijk onder NIS2. Uw sector, grootte en eventuele grensoverschrijdende activiteiten spelen allemaal een rol in deze beoordeling.
- Voer een basisbeoordeling uit
- Meet uw huidige informatiebeveiligingspositie aan de hand van de NIS2-vereisten. Dit brengt onmiddellijk hiaten aan het licht en helpt u prioriteit te geven aan wat eerst moet worden aangepakt.
- Bouw een risicoregister
- Identificeer uw kritieke systemen, processen en afhankelijkheden. Koppel gerichte beveiligingsmaatregelen aan elk geïdentificeerd risico.
- Stel processen voor incidentrapportage in
- Stel een interne escalatieweg in die u in staat stelt om een incident binnen 24 uur te rapporteren, inclusief de juiste contracten, sjablonen en communicatiestromen.
- Betrek uw toeleveringsketen
- Breng uw kritieke leveranciers in kaart en stel minimale cybersecurityvereisten voor hen vast, geformaliseerd in contracten en leveranciersbeoordelingen.
- Implementeer een managementsysteem
- Een ISMS (Informatiebeveiligingsmanagementsysteem), idealiter afgestemd op ISO 27001, biedt de structuur die nodig is om te onderhouden en aan te tonen
Komt 1 juli opeens heel dichtbij?
We snappen het: de deadline nadert en de to-do-lijst wordt steeds langer. In plaats van op de paniekknop te drukken, druk je op de PDCA4YOU-knop. Ons platform vertaalt de complexe NIS2-wetgeving naar behapbare stappen. Geen stress, gewoon een helder plan van aanpak!
Wacht niet tot de deadline van juli 2026. Start vandaag nog met de overgang naar NIS2-compliance met onze deskundige assessments en trainingen. Neem direct contact op met onze specialisten!
Weet u waar uw organisatie staat?
Safesecur Group ondersteunt u met basisbeoordelingen, implementatieadvies en een praktisch managementsysteem dat door veel organisaties wordt gebruikt en NIS2-naleving binnen handbereik brengt.