Wordt je aangevallen?
Wat betekent NIS2 voor middelgrote organisaties?
De Network and Information Security 2-richtlijn, kortweg NIS2, is inmiddels geen abstract Europees begrip meer. Voor een groeiende groep middelgrote organisaties in Nederland is het een concrete, juridisch afdwingbare verplichting geworden. Toch heerst er bij veel directies en IT-verantwoordelijken nog verwarring: vallen wij eronder? Wat moeten wij precies doen? En wat zijn de gevolgen als wij niets doen?
Dit artikel geeft u een helder overzicht van wat NIS2 inhoudt, voor wie het geldt, wat de verplichtingen zijn en, misschien nog belangrijker, wat het betekent voor de manier waarop uw organisatie cybersecurity structureel moet beleggen.
Wat is NIS2?
NIS2 is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. De Europese Unie heeft de richtlijn aangescherpt omdat digitale dreigingen de afgelopen jaren sterk zijn toegenomen en de eerdere regelgeving onvoldoende uniform werd toegepast door lidstaten. NIS2 introduceert strengere eisen, een breder toepassingsgebied en, cruciaal, directe bestuurlijke aansprakelijkheid.
Nederland heeft de NIS2-richtlijn geïmplementeerd via de Wet beveiliging netwerk- en informatiesystemen 2 (Wbni 2). Meer informatie over de wettelijke basis en de implementatie in Nederland vindt u via het Nationaal Cyber Security Centrum (NCSC), dat uitgebreide documentatie publiceert over de richtlijn en de Nederlandse toepassing ervan.
Het doel van NIS2 is eenvoudig te omschrijven: het verhogen van de digitale weerbaarheid van organisaties die essentieel zijn voor de samenleving of voor kritieke economische processen. De Europese wetgever constateert dat cyberincidenten bij één organisatie snel uitwaaieren naar toeleveranciers, klanten en zelfs vitale infrastructuur. NIS2 probeert die kwetsbaarheden structureel te adresseren.
Voor wie geldt NIS2?
Dit is waar de meeste verwarring ontstaat. NIS2 maakt onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten. Middelgrote organisaties vallen doorgaans in de tweede categorie, maar dat ontslaat hen zeker niet van hun verplichtingen.
Als vuistregel geldt: organisaties met meer dan 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro die actief zijn in een aangewezen sector, vallen in beginsel onder NIS2. Denk aan sectoren als energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur, productie van kritieke goederen, voedsel en financiële dienstverlening.
Belangrijk: ook organisaties die buiten de directe sectordefinitie vallen maar als toeleverancier werken voor een essentiële entiteit, kunnen indirect onder de reikwijdte van NIS2 vallen. De wetgeving stimuleert namelijk ook het doorvertalen van beveiligingseisen door de keten heen.
De Rijksoverheid biedt een zelfbeoordelingstool via het Digital Trust Center waarmee organisaties kunnen vaststellen of zij onder de richtlijn vallen. Wij raden u aan dit te controleren voordat u verdere stappen onderneemt.
.png)
Wat zijn de concrete verplichtingen?
NIS2 verplicht organisaties tot het nemen van passende en proportionele maatregelen op het gebied van informatiebeveiliging. De richtlijn noemt expliciet een aantal maatregelcategorieën:
1. Risicobeheer
Organisaties moeten een structureel risicobeheerprogramma inrichten. Dit betekent dat u periodiek uw digitale risico's identificeert, beoordeelt en mitigeert. Een eenmalige risicoanalyse volstaat niet; het gaat om een doorlopend proces.
2. Beveiliging van de toeleveringsketen
U bent niet alleen verantwoordelijk voor uw eigen systemen, maar ook voor de beveiliging van uw leveranciers en partners. Dit vraagt om contractuele verankering van beveiligingseisen en periodieke toetsing.
3. Incidentmelding
Bij een significant cyberincident bent u verplicht dit te melden bij de bevoegde nationale autoriteit. De meldingstermijn is strak: een eerste melding binnen 24 uur, een gedetailleerde rapportage binnen 72 uur. Meer informatie over de meldplichten vindt u bij het Digital Trust Center, dat specifiek is ingericht voor ondernemers die te maken hebben met NIS2-verplichtingen.
4. Business continuïteit
U moet kunnen aantonen dat uw organisatie in staat is om na een cyberincident de bedrijfscontinuïteit te herstellen. Dit vereist onder andere back-upbeheer, herstelplannen en crisissimulaties.
5. Technische basismaatregelen
Denk aan multi-factor authenticatie, versleuteling van gegevens, netwerksegmentatie, patchbeheer en logging. Het gaat om maatregelen die al lang als best practice gelden, maar nu een verplicht karakter krijgen.
.png)
Bestuurlijke verantwoordelijkheid: het meest ingrijpende aspect
Wat NIS2 fundamenteel anders maakt dan eerdere cybersecuritywetgeving, is de expliciete bestuurlijke aansprakelijkheid. Directieleden en bestuurders kunnen persoonlijk aansprakelijk worden gesteld als hun organisatie aantoonbaar onvoldoende maatregelen heeft genomen.
Dit is een breekpunt in de manier waarop veel organisaties cybersecurity tot nu toe hebben belegd. In de praktijk werd beveiliging vrijwel volledig gedelegeerd aan IT-afdelingen of externe leveranciers. Met NIS2 is dat niet langer houdbaar. Cybersecurity is een bestuurstaak.
Dat betekent dat het directieniveau:
- actief toezicht houdt op het beveiligingsbeleid;
- bewust beslissingen neemt over risicoacceptatie;
- aantoonbaar training volgt op het gebied van cyberrisico's;
- verantwoordelijkheid neemt voor de uitvoering en naleving.
Dit is geen symbolisch vereiste. Toezichthouders kunnen bij ernstige nalatigheid tijdelijke verboden opleggen aan bestuurders of hen persoonlijk aansprakelijk stellen voor de schade. Voor middelgrote organisaties, waarbij bestuurders doorgaans ook operationeel betrokken zijn, is dit een risico dat serieus genomen moet worden.
Registratieplicht: wat moet u doen?
Organisaties die onder NIS2 vallen, zijn in Nederland verplicht zich te registreren bij de relevante toezichthouder. De toezichthouder is afhankelijk van de sector: voor de meeste niet-vitale sectoren is dat de Rijksinspectie Digitale Infrastructuur (RDI). Essentiële entiteiten in sectoren als energie en water vallen onder sectorspecifieke toezichthouders.
De registratie is geen formaliteit. Het is de basis waarop toezichthouders hun handhavingsagenda opbouwen. Organisaties die zich niet tijdig registreren, lopen het risico op sancties, ook als zij overigens netjes voldoen aan de technische eisen.
.png)
Wat zijn de gevolgen als u niet voldoet?
NIS2 introduceert een sanctieregime met substantiële boetes. Voor essentiële entiteiten loopt de maximale boete op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten, de categorie waar de meeste middelgrote organisaties in vallen, is dat 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.
Naast financiële sancties zijn er ook operationele maatregelen mogelijk, zoals verplichte audits, aanwijzingen tot het treffen van specifieke maatregelen of in uiterste gevallen een tijdelijk verbod op bepaalde activiteiten.
Maar de financiële sancties zijn niet het grootste risico. Het reputatieverlies na een cyberincident, zeker als achteraf blijkt dat de organisatie haar verplichtingen niet nakwam, kan voor middelgrote bedrijven structureel schadelijk zijn. De Cybersecurity Raad publiceert regelmatig onderzoek naar de werkelijke impact van dergelijke incidenten op bedrijfscontinuïteit en marktpositie.
Hoe pakt u NIS2-compliance aan?
De meest gemaakte fout is NIS2 behandelen als een compliance-project: een checklist afwerken, documentatie opstellen en dan klaar zijn. Dat is niet wat de wetgever beoogt en het is ook niet wat uw organisatie werkelijk veilig maakt.
NIS2 vraagt om een structurele inbedding van cybersecurity in uw organisatie. Dat begint met het in kaart brengen van uw huidige beveiligingssituatie: welke systemen zijn kritiek, welke risico's loopt u, hoe is het gesteld met uw netwerkarchitectuur en hoe volwassen zijn uw detectie- en responscapaciteiten?
Vervolgens vertaalt u dat naar een realistisch verbeterplan, gekoppeld aan concrete verantwoordelijkheden, budgetten en tijdlijnen. En daarna zorgt u voor structurele uitvoering en monitoring, in plaats van incidentgedreven reageren.
Voor middelgrote organisaties is het vaak niet haalbaar om deze expertise volledig intern te beleggen. De complexiteit van moderne netwerk- en beveiligingsomgevingen vraagt om specialisten die dagelijks met deze materie bezig zijn. Samenwerking met een gespecialiseerde partner helpt u deze structuur te bouwen zonder dat u zelf een volledig securityteam hoeft op te zetten.
Wilt u weten of uw organisatie onder NIS2 valt en wat dat concreet betekent voor uw beveiligingsstrategie? CyberPeak denkt graag met u mee, zonder verplichtingen.
Veelgestelde vragen over NIS2
Welke bedrijven moeten voldoen aan de NIS2-richtlijn?
Organisaties met meer dan 50 medewerkers of een jaaromzet boven de 10 miljoen euro, actief in een aangewezen sector (zoals energie, zorg, transport, voedsel of digitale infrastructuur), vallen onder NIS2. Zij worden ingedeeld als 'essentiële' of 'belangrijke' entiteit, afhankelijk van hun omvang en sectorale impact. Ook toeleveranciers aan essentiële entiteiten kunnen indirect verplichtingen hebben.
Is NIS2 verplicht in Nederland?
Ja. De NIS2-richtlijn is in Nederland geïmplementeerd via nationale wetgeving. Organisaties die onder de definitie vallen, hebben geen keuze: naleving is verplicht en er zijn toezichthouders aangewezen die handhaven. Niet-naleving kan leiden tot forse boetes en operationele maatregelen.
Wanneer treedt NIS2 in werking in Nederland?
De Europese NIS2-richtlijn had uiterlijk oktober 2024 geïmplementeerd moeten zijn door de lidstaten. In Nederland is de wetgeving via de Wbni 2 van kracht. Organisaties die onder de richtlijn vallen, worden geacht nu al aan de verplichtingen te voldoen. Wacht dus niet op een verdere aanloopperiode.
Welke sectoren vallen onder de NIS2?
NIS2 omvat twee groepen sectoren. De 'hoog kritieke' sectoren zijn: energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening, ruimtevaart en overheid. Daarnaast zijn er 'andere kritieke' sectoren: post- en koeriersdiensten, afvalbeheer, chemische industrie, voedingsindustrie, productie van medische hulpmiddelen en digitale aanbieders.
Wie is NIS2 plichtig?
Elke organisatie die voldoet aan de drempelwaarden (meer dan 50 medewerkers of meer dan 10 miljoen euro omzet) én actief is in één van de aangewezen sectoren, is NIS2-plichtig. Grotere organisaties met meer dan 250 medewerkers of meer dan 50 miljoen euro omzet worden aangemerkt als 'essentiële entiteit' en kennen strengere verplichtingen.
Wanneer is de registratieplicht voor NIS2?
Organisaties die onder NIS2 vallen, moeten zich registreren bij de bevoegde toezichthouder. In Nederland is dit voor de meeste sectoren de Rijksinspectie Digitale Infrastructuur (RDI). De registratie dient zo spoedig mogelijk te worden afgerond. Controleer via de overheidswebsite wat de actuele deadline voor uw sector is.
Wie controleert de naleving van NIS2?
Toezicht op NIS2-naleving ligt bij aangewezen nationale autoriteiten. In Nederland is dat primair de Rijksinspectie Digitale Infrastructuur (RDI) voor de meeste sectoren. Sectorspecifieke toezichthouders, zoals de ACM voor energie en telecom, of de IGJ voor de zorg, zijn verantwoordelijk voor hun eigen domein. Deze toezichthouders hebben bevoegdheid om audits uit te voeren, aanwijzingen te geven en boetes op te leggen.
Wat is het verschil tussen NIS2 en ISO 27001?
ISO 27001 is een internationale norm voor informatiebeveiliging die organisaties vrijwillig kunnen implementeren. NIS2 is wetgeving: een verplichte richtlijn met juridische afdwingbaarheid. Een ISO 27001-certificering kan wel helpen aantonen dat u aan de NIS2-eisen voldoet, maar is op zichzelf geen bewijs van volledige NIS2-compliance. Beide vullen elkaar echter goed aan in een volwassen beveiligingsaanpak.
Wat als je niet voldoet aan NIS2?
Niet-naleving van NIS2 kan leiden tot boetes tot 7 miljoen euro (of 1,4% van de wereldwijde jaaromzet) voor 'belangrijke entiteiten', en tot 10 miljoen euro (of 2%) voor 'essentiële entiteiten'. Naast financiële sancties zijn er ook aanwijzingsbevoegdheden en in ernstige gevallen kan een tijdelijk verbod worden opgelegd. Bestuurders kunnen bovendien persoonlijk aansprakelijk worden gesteld.
Hoe kom ik erachter of mijn organisatie onder NIS2 valt?
Gebruik de zelfbeoordelingstool van het Digital Trust Center. U doorloopt een aantal vragen over uw sector, omvang en activiteiten. Op basis daarvan krijgt u een indicatie of uw organisatie essentieel, belangrijk of buiten scope is. Bij twijfel is het verstandig juridisch of technisch advies in te winnen.
