DIRECT HULP NODIG? 010 – 450 2224 

Support
Blog

DIRECT HULP NODIG? 010 – 450 2224 

Support
Blog

NIS2-richtlijn: dit moet je weten

Sinds 17 oktober 2024 is de NIS2-richtlijn binnen de EU van kracht. Belangrijk verschil met de eerste richtlijn is dat organisaties automatisch onder de richtlijn vallen als ze actief zijn binnen bepaalde sectoren.
  • Leestijd: 4 minuten
NIS2-richtlijn

De NIS2-richtlijn is sinds 17 oktober 2024 van kracht binnen de Europese Unie. Een belangrijk verschil met de eerste NIS1-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren. Het is belangrijk om te weten binnen welke categorie (essentieel of belangrijk) jouw organisatie valt. Toezichthouders gaan essentiële organisaties namelijk proactief controleren op het naleven van de regels, zoals opgenomen in de NIS2-richtlijn.

Wat is de NIS2-richtlijn?

Cybersecurity is ontzettend belangrijk voor het beschermen van de economie en onze samenleving. Om te zorgen voor meer samenhang binnen de Europese Unie (EU) werd in 2016 de NIS1-richtlijn (Network and Information Systems Directive) geïntroduceerd. Met de toenemende digitalisering en de grote hoeveelheid cyberaanvallen is de oude richtlijn herzien en verbeterd.

De NIS2-richtlijn (Network and Information Systems Directive 2) is een Europese regelgeving die de cyberbeveiliging van essentiële en belangrijke bedrijven versterkt. Met aangescherpte eisen rond risicobeheer, rapportageverplichtingen en verantwoordelijkheden voor bedrijfsleiding, breidt NIS2 het toepassingsgebied van de oorspronkelijke richtlijn uit.

Belangrijkste wijzigingen

  • Uitgebreid toepassingsgebied: Meer sectoren vallen onder de regelgeving, waaronder digitale aanbieders, voedselproductie en postdiensten.
  • Strengere beveiligingsvereisten: Organisaties moeten proactieve maatregelen nemen, zoals risicobeheer en incidentpreventie.
  • Verhoogde verantwoordelijkheid voor bestuurders: De autoriteiten kunnen jou als leidinggevende hoofdelijk aansprakelijk stellen als er tekortkomingen zijn in de cyberbeveiliging.
  • Snellere en strengere rapportageplicht: Organisaties moeten cyberincidenten binnen 24 uur melden en binnen 72 uur een gedetailleerd rapport aanleveren.
  • Hogere sancties: Niet-naleving kan leiden tot boetes en andere juridische consequenties.

Belangrijke criteria NIS2-richtlijn

Organisaties die onder de NIS2-richtlijn vallen dienen hun cyberstrategie te herzien om te voldoen aan de nieuwe normen en sancties te vermijden. Deze aangepaste richtlijn treft ook organisaties die niet onder de NIS2-richtlijn vallen. Om te kunnen leveren aan organisaties die wél onder de NIS2-richtlijn vallen zal ook jouw organisatie aan bepaalde eisen voor cybersecurity moeten voldoen.

De NIS2-richtlijn richt zich op grote- en middelgrote organisaties die actief zijn binnen bepaalde sectoren. De grootte van je organisatie én de sector waarin je actief bent bepalen of de overheid je aanmerkt als essentieel of belangrijk.

  • Middelgrote organisaties
    • 50 – 249 medewerkers
    • Jaaromzet: 10 – 50 miljoen euro (of een balanstotaal van 10 – 43 miljoen euro.
  • Grote organisaties
    • > 250 medewerkers
    • Jaaromzet: > 50 miljoen euro (of een balanstotaal van > 43 miljoen euro.

Zeer kritieke sectoren – essentieel

Energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten (B2B), overheid en ruimtevaart.

Kritieke sectoren – belangrijk

Post- en koeriersdiensten, afvalbeheer, chemische industrie, voedselproductie, -verwerking en -distributie, productie, digitale aanbieders, onderzoek en productie/distributie van essentiële geneesmiddelen en medische hulpmiddelen.

Treft de NIS2-richtlijn mijn organisatie?

In principe vallen micro- en kleine bedrijven (<50 medewerkers met een jaaromzet of balanstotaal van minder dan 10 miljoen euro) niet onder de NIS2-richtlijn. Maar wanneer de dienstverlening van cruciaal belang is voor onze economie of de maatschappij kan een organisatie alsnog onder de NIS2-richtlijn vallen.

Organisaties die actief zijn in onderstaande sectoren vallen altijd onder de NIS2-richtlijn, ongeacht de grootte, de jaaromzet en de balanstotaal van de organisatie.

  • Overheid, aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen en DNS-dienstverleners.

Zelf-evaluatietool NIS2-richtlijn

Het is belangrijk te weten of jouw organisatie valt onder de NIS2-richtlijn. Om dit te achterhalen is het aanhouden van de eerder benoemde criteria niet (altijd) voldoende. Maak gebruik van de zelf-evaluatietool van de overheid om te controleren of jouw organisatie valt onder de NIS2-richtlijn. Is daar sprake van? Achterhaal dan of de organisatie is geclassificeerd als essentieel of belangrijk.

Cybersecurity maatregelen NIS2-richtlijn

Als jouw organisatie onder de NIS2-richtlijn valt of hiermee te maken heeft is het belangrijk om te weten welke maatregelen je moet nemen om aan deze richtlijn te voldoen.

Zorgplicht

Organisaties moeten een risicobeoordeling uitvoeren en naar aanleiding daarvan maatregelen nemen om cyberdreigingen te beperken tot het minimum.

  • Beveiliging van netwerk- en informatiesystemen.
  • Toegangsbeheer en sterke authenticatieprocedures.
  • Regelmatige updates en patchbeheer om kwetsbaarheden proactief te verhelpen.

Meldplicht

Het is verplicht om ernstige en kritieke cyberincidenten binnen 24 uur te melden aan de toezichthouder. Verder moet er na het melden binnen 72 uur een gedetailleerd rapport ingediend worden over de impact van het incident en de getroffen maatregelen.

Registratieplicht

Alle organisaties (essentieel en belangrijk) die onder de NIS2-richtlijn vallen zijn wettelijk verplicht om zich te registreren bij de autoriteiten.

Ketenverantwoordelijkheid

Leveranciers en partners van de organisatie die onder de NIS2-richtlijn valt moeten ook gaan voldoen aan de gestelde eisen in de richtlijn. Hierover zullen afspraken gemaakt moeten worden over de cybersecuritystandaarden, welke schriftelijk moeten worden vastgelegd.

Bewustwording en training

Organisaties moeten hun medewerkers actief en regelmatig te trainen om cyberaanvallen te herkennen om de kans daarop zo klein mogelijk te houden.

Boetes en handhaving NIS2-richtlijn

De manier waarop de EU gaat handhaven hangt af van de categorie (essentieel of belangrijk) waarin jouw organisatie valt. Organisaties in de categorie essentieel worden vanaf het 3e kwartaal in 2025 proactief gecontroleerd op het naleven van de NIS2-richtlijn.

Organisaties in de categorie belangrijk zullen bij een incident bij het in werking treden van de NIS2-richtlijn achteraf gecontroleerd worden op het naleven van de regels. Wanneer dat achteraf niet het geval blijkt te zijn zal de organisatie hiervoor een hoge boete opgelegd krijgen.

Boetes

De maximale boetes voor organisaties die niet voldoen aan de NIS2-richtlijn kunnen hoog oplopen. Daarnaast kunnen er administratieve sancties worden opgelegd als een organisatie niet voldoet aan de zorg- of meldplicht. Dit kan leiden tot extra boetes en toezichtmaatregelen.

  • Belangrijke organisaties: Een maximale boete van ten minste 7 miljoen euro of ten minste 1,4% van de wereldwijde jaaromzet in het volgende boekjaar; afhankelijk van welk bedrag hoger is.
  • Essentiële organisaties: Een maximale boete van ten minste 10 miljoen euro of ten minste 2% van de wereldwijde jaaromzet in het volgende boekjaar; afhankelijk van welk bedrag hoger is.

Extra sancties

Als een organisatie in de categorie essentieel niet voldoet aan de NIS2-richtlijn kan dat leiden tot het (tijdelijk) intrekken van vergunningen. Daarnaast kunnen natuurlijke personen (directeuren) bij het in werking treden van de aangepaste richtlijn geschorst of persoonlijk aansprakelijk gesteld worden.

Toekomst NIS2-richtlijn

Op dit moment zijn er 18 verschillende sectoren opgenomen, verdeeld in de categorieën essentieel en belangrijk in de NIS2-richtlijn. In de komende jaren zal de Europese Commissie de richtlijn blijven evalueren en verder uitbreiden.

Nieuwe sectoren

Hoewel er nog geen officiële lijst is van sectoren die in de komende jaren worden toegevoegd, zullen onderstaande sectoren in de komende jaren naar alle waarschijnlijkheid extra aandacht krijgen.

  • Financiële marktinfrastructuren (uitbreiding van de DORA-vereisten)
  • Productie en distributie van essentiële geneesmiddelen en medische hulpmiddelen
  • Onderzoek en ontwikkeling (met focus op digitale innovatie)
  • Managed Service Providers (MSP’s) en IT-bedrijven als digitale aanbieders

Strengere regels

In de toekomst zal de NIS2-richtlijn verder aangescherpt worden om de digitale weerbaarheid van bedrijven en overheden te verbeteren.

  • Strengere eisen voor toeleveranciers: bedrijven zullen hun leveranciersketen beter moeten beschermen om cyberaanvallen via zwakke schakels te voorkomen.
  • Nadruk op ketenveiligheid: grote organisaties gaan kleinere partners verplichten om het cybersecuritybeleid verder aan te scherpen.
  • Certificeringen en kwaliteitsstandaarden: bedrijven moeten kunnen aantonen dat ze voldoen aan de NIS2-richtlijn met bijvoorbeeld het NIS2 Quality Certificaat.

Stappenplan NIS2-richtlijn

In een tijdperk waarin digitale dreigingen steeds geavanceerder worden, is het naleven van de NIS2-richtlijn cruciaal voor organisaties die essentiële- en belangrijke diensten leveren. Onderstaand stappenplan kan gehanteerd worden om de cyberweerbaarheid te verhogen om de continuïteit van de organisatie en haar diensten te waarborgen.

Oriëntatiefase

De oriëntatiefase omvat het begrijpen van de NIS2-richtlijn en de impact ervan op de organisatie. Dit begint met het identificeren van de essentiële en belangrijke entiteiten binnen de organisatie die onder de richtlijn vallen. Vervolgens wordt er een overzicht gemaakt van de huidige cybersecuritymaatregelen en -processen.

Risicobeoordeling

In de risicobeoordelingsfase voert de organisatie een gedetailleerde risicoanalyse uit. Hierbij dient gekeken te worden naar de (potentiële) dreigingen, kwetsbaarheden en de impact van mogelijke incidenten. Het is belangrijk dat deze beoordeling periodiek opnieuw wordt uitgevoerd om de organisatie te kunnen beschermen tegen nieuwe cyberdreigingen.

Implementaties NIS2-richtlijn

Tijdens de implementatiefase worden de geïdentificeerde maatregelen uit de risicobeoordeling daadwerkelijk ingevoerd. Dit kan variëren van technische oplossingen zoals firewalls en encryptie tot organisatorische maatregelen zoals training van personeel en het opstellen van noodplannen.

Audit

De auditfase omvat het voorbereiden op en het uitvoeren van (externe) audits om te controleren of de organisatie voldoet aan de NIS2-richtlijn. Dit omvat het verzamelen van documentatie, het testen van systemen en processen, en het identificeren van eventuele tekortkomingen.

Behoefte aan meer informatie of hulp nodig?

Dank voor het lezen van het artikel over de NIS2-richtlijn. Behoefte aan meer informatie of hulp nodig bij de technische inrichting om te voldoen aan de NIS2-richtlijn?

Neem dan contact met ons op voor een vrijblijvend advies.

Ben Kok

Directeur

Heb je hulp nodig om productief samen te werken?

Plan een consult
Bel 010 - 450 2224

Recente berichten

Altijd een persoonlijke e-mailhandtekening vanaf elk apparaat
Phishing herkennen; zo kan je nep van echt onderscheiden
Kosten voor Microsoft Azure verlagen? Zo doe je dat!
Gerelateerd

Bekijk ook deze gerelateerde artikelen

Altijd een professionele handtekening onder je e-mails vanaf elk apparaat

Altijd een persoonlijke e-mailhandtekening vanaf elk apparaat

Dit bericht is verstuurd vanaf mijn iPhone. Heb je dit echt nog
Lees meer
phishing herkennen

Phishing herkennen; zo kan je nep van echt onderscheiden

Dagelijks worden duizenden mensen het slachtoffer van phishing. Het bericht is soms
Lees meer
Afbeelding ter illustratie voor artikel over kosten besparen op Azure

Kosten voor Microsoft Azure verlagen? Zo doe je dat!

Betaal jij elke maand voor wat je gebruikt of wat je écht
Lees meer
Nieuwsbrief

Inzichten die ertoe doen.
Rechtstreeks van onze experts in je inbox.

Blijf op de hoogte met praktische tips over IT-beveiliging, cloudinnovatie en digitale werkplekken, plus de laatste updates van het Anbecom ICT-team.

KVK nummer: 24194458
BTW nummer: NL813122739B01

Over

Oplossingen

Contact

© 2025 Anbecom ICT. Alle rechten voorbehouden.

Neem contact met ons op