Overslaan naar inhoud

NIS2: wat elke organisatie nu moet weten

De NIS2-richtlijn is nu van kracht en toezichthouders handhaven deze actief. Toch worstelen veel organisaties nog steeds met een fundamentele vraag: wat betekent dit eigenlijk voor ons? Ons doel met dit artikel is om door de complexiteit heen te snijden.
13 april 2026 in
NIS2: wat elke organisatie nu moet weten
sophievanderzandt@safesecur.nl
| Nog geen reacties

Wat is NIS2?

NIS2 (Richtlijn netwerk- en informatiebeveiliging 2) is de bijgewerkte cybersecurityregelgeving van de Europese Unie. Het vervangt de oorspronkelijke NIS-richtlijn uit 2016 en is omgezet in nationale wetgeving in alle EU-lidstaten. Het doel is eenvoudig: de digitale veerkracht van organisaties in kritieke sectoren versterken en de impact van cyberincidenten verminderen.

Waar de oorspronkelijke richtlijn relatief beperkt was in reikwijdte, verhoogt NIS2 de lat aanzienlijk. Zowel in het aantal gedekte sectoren als in de eisen die aan management en beveiligingsmaatregelen worden gesteld.


Waar is het van toepassing?

NIS2 maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. In algemene termen: middelgrote en grote organisaties (50+ werknemers of meer dan €10 miljoen aan jaarlijkse omzet) in de onderstaande sectoren vallen onder de richtlijn.

Onzeker of uw organisatie onder NIS2 valt? Neem contact op met uw nationale cybersecurity autoriteit of vraag een basisbeoordeling aan om precies te achterhalen waar u staat. 


De vier pijlers van NIS2

De richtlijn is gebaseerd op vier concrete verplichtingen die elke gedekte organisatie moet vervullen.


Technische en organisatorische maatregelen om cyberrisico's te beheersen, inclusief toegangscontroles, encryptie, back-upbeleid en incidentresponsmogelijkheden.

Significante incidenten moeten binnen 24 uur aan de bevoegde autoriteit worden gerapporteerd als een vroegtijdige waarschuwing, gevolgd door een volledig incidentrapport binnen 72 uur. 

Organisaties zijn ook verantwoordelijk voor de cybersecuritypraktijken van hun leveranciers en dienstverleners.   

Bestuursleden dragen de uiteindelijke verantwoordelijkheid en kunnen persoonlijk aansprakelijk worden gesteld in gevallen van aantoonbare nalatigheid.  

 Kernverplichtingen


Wat betekent verantwoordelijkheid van het management in de praktijk?

Dit is een van de meest significante veranderingen ten opzichte van de vorige richtlijn. Het senior management moet aantoonbaar betrokken zijn bij het cybersecuritybeheer van de organisatie. Concreet betekent dit:

  • Regelmatige cybersecurity training voor leidinggevenden en bestuursleden. 
  • Formele goedkeuring en goedkeuring van het beveiligingsbeleid.
  • Actieve opvolging van risicorapporten en auditbevindingen.

Onwetendheid claimen is geen geldige verdediging, toezichthouders verwachten dat het management de risico's begrijpt en actief mitigatie-inspanningen aanstuurt. 

Sancties: Niet-naleving kan leiden tot boetes van maximaal €10 miljoen of 2% van de wereldwijde jaarlijkse omzet voor essentiële entiteiten, en tot €7 miljoen of 1,4% voor belangrijke entiteiten. Toezichthouders kunnen ook tijdelijke managementverboden opleggen.


Waar te beginnen: een praktische benadering

  1. Bepaal uw status
  2. Controleer of uw organisatie kwalificeert als essentieel of belangrijk onder NIS2. Uw sector, grootte en eventuele grensoverschrijdende activiteiten spelen allemaal een rol in deze beoordeling. 

  4. Voer een basisbeoordeling uit
  5. Meet uw huidige informatiebeveiligingspositie aan de hand van de NIS2-vereisten. Dit brengt onmiddellijk hiaten aan het licht en helpt u prioriteit te geven aan wat eerst moet worden aangepakt. 

  7. Bouw een risicoregister
  8. Identificeer uw kritieke systemen, processen en afhankelijkheden. Koppel gerichte beveiligingsmaatregelen aan elk geïdentificeerd risico. 

  10. Stel processen voor incidentrapportage in
  11. Stel een interne escalatieweg in die u in staat stelt om een incident binnen 24 uur te rapporteren, inclusief de juiste contracten, sjablonen en communicatiestromen. 

  13. Betrek uw toeleveringsketen
  14. Breng uw kritieke leveranciers in kaart en stel minimale cybersecurityvereisten voor hen vast, geformaliseerd in contracten en leveranciersbeoordelingen. 

  16. Implementeer een managementsysteem
  17. Een ISMS (Informatiebeveiligingsmanagementsysteem), idealiter afgestemd op ISO 27001, biedt de structuur die nodig is om te onderhouden en aan te tonen


NIS2 als een strategische kans

Veel organisaties ervaren NIS2 als een last, en dat is begrijpelijk gezien de omvang van wat vereist is. Maar er is een andere manier om ernaar te kijken. Naleving dwingt organisaties om hun beveiligingspositie serieus te nemen, blinde vlekken te elimineren en vertrouwen op te bouwen bij klanten, partners en investeerders. 

Organisaties die nu investeren in een solide beveiligingsfundament zullen de voordelen plukken die ver voorbij de wettelijke vereisten gaan. Cyberdreigingen worden steeds geavanceerder, en de kosten van een ernstig incident wegen veel zwaarder dan de kosten van preventie. 

NIS2 is niet alleen een compliance checkbox, het is een kans om uw organisatie toekomstbestendig te maken. 

Weet u waar uw organisatie staat? 

Safesecur Group ondersteunt u met basisbeoordelingen, implementatieadvies en een praktisch managementsysteem dat NIS2-compliance haalbaar maakt. 

Neem contact met ons op voor meer informatie



Deel deze post
Labels
Security
Onze blogs
Archief
Aanmelden om een reactie achter te laten
ISO 14001:2026 transitie
De norm voor milieumanagement wordt dit jaar herzien. Wat verandert er, waarom is het logisch, en hoe kunt u ervoor zorgen dat uw organisatie een soepele overgang maakt?