NIS2: Wat betekent deze nieuwe cybersecuritywet voor jouw organisatie?

In Nederland wordt NIS2 geïmplementeerd als de Cyberbeveiligingswet (Cbw). De NIS2-richtlijn is een nieuwe Europese wet die organisaties verplicht om strengere cybersecuritymaatregelen te nemen. Het doel? Het verbeteren van digitale weerbaarheid en het voorkomen van grote cyberincidenten, zoals ransomware-aanvallen en datalekken.

Belangrijke focuspunten van de NIS2 zijn:

• Het aanscherpen van opgelegde beveiligingseisen;
• Het aanpakken van de beveiliging van supply chains;
• Het verbeteren en stroomlijnen van rapportageverplichtingen;
• Strenger toezicht;
• Het invoeren van handhavingsvereisten met geharmoniseerde sancties in alle Europese lidstaten.

De nieuwe richtlijn geldt voor meer sectoren dan de eerdere NIS-wetgeving. Ook middelgrote en grote organisaties in bijvoorbeeld de gezondheidszorg, transport, digitale infrastructuur en voedselproductie moeten straks aan deze regels voldoen.

Om antwoord te geven op de vraag hoe je weet wanneer de NIS2-richtlijn voor jouw organisatie van toepassing is, maakt NIS2 onderscheid in twee typen organisaties:

Essentiële entiteiten – Dit zijn organisaties met een zeer grote impact op de samenleving en economie. Als ze uitvallen door bijvoorbeeld een cyberaanval heeft dat grote gevolgen. Deze organisaties vallen onder strikter toezicht en moeten proactief cybersecurity-maatregelen aantonen. Enkele voorbeelden van organisaties die gezien worden als essentiële entiteit zijn:

• Gezondheidszorg; o.a. ziekenhuizen, zorginstellingen en laboratoria.
• Vervoer; o.a. luchtvaart en zeehavens.
• Financiële marktinfrastructuren; o.a. banken.
• Digitale infrastructuur; o.a. datacenters en cloudbedrijven.
• Energie- en watervoorziening; o.a. energiebedrijven, waterzuivering en gasleveranciers.

Belangrijke entiteiten – Dit zijn organisaties met een significante impact, maar minder kritisch dan essentiële entiteiten. Deze bedrijven worden minder streng gecontroleerd, maar moeten alsnog voldoen aan de NIS2-vereisten en kunnen bij incidenten een inspectie krijgen. Enkele voorbeelden van organisaties die gezien worden als belangrijke entiteit zijn:

• Voedingsindustrie; o.a. productie en distributie van voedingsmiddelen.
• Vervoer; o.a. beheerders van spoorweginfrastructuur.
• Post- en koeriersdiensten; o.a. leveranciers van post- en pakketbezorging.
• Overheidsdiensten; o.a. lokale en nationale overheidsinstellingen.
• IT-dienstverleners en cloudproviders – Softwarebedrijven en aanbieders van networking services.

Wanneer jouw organisatie onder een van de bovengenoemde sectoren valt, dan is de kans groot dat je verplichtingen hebt onder de NIS2-richtlijn. Jouw verplichtingen worden bepaalt aan de hand van een aantal factoren:

• Aantal FTE’s: <50 / 50 – 249 / >250
• Middelgrote en grote ondernemingen met meer dan 50 medewerkers;
• Middelgrote en grote ondernemingen met meer dan €10 miljoen omzet per jaar.

Organisaties die onder de Cyberbeveiligingswet vallen, zijn verplicht zich te registreren in het entiteitenregister, dit is de registratieplicht. Het Nationaal Cyber Security Centrum (NCSC) heeft een online registratiesysteem ontwikkeld waarin je jouw organisatie nu al kunt aanmelden als NIS2-entiteit.

• Bereid je registratie voor aan de hand van de Checklist NIS2-registratie, opgesteld door het NCSC.
• Start direct jouw NIS2-registratie als je denkt dat jouw bedrijf aan de NIS2-richtlijn moet voldoen. Om jouw organisatie te kunnen registreren moet je toegang hebben tot Single Sing-on voor aangesloten Rijksoverheidsorganisaties(SSOnRIJK) of inloggen via eHerkenning met een betrouwbaarheidsniveau EH2+.

Heb je een registratieplicht, dan heb je automatisch ook een zorgplicht. Dit betekent dat je minimaal moet voldoen aan een aantal verplichte maatregelen. Voorbeelden hiervan zijn het opstellen van een crisismanagementplan voor grote cyberincidenten, het uitvoeren van risicoanalyses en het gebruik van sterke cryptografie en versleuteling.

Tot slot geldt er een meldplicht voor alle organisaties die onder de NIS2-wetgeving vallen. Dat betekent dat er binnen 24 uur nadat het incident is opgemerkt een melding gemaakt moet worden. Het gaat hierbij om incidenten die de dienstverlening van de organisatie aanzienlijk (kunnen) verstoren. De meldplicht draagt direct bij aan het verhogen van de digitale veiligheid binnen de lidstaten van de Europese Unie. Informatie die uit een melding voortkomt, zoals details over het incident, kan andere organisaties helpen om zich beter te wapenen. Binnen een maand moet de melding opgevolgd worden door een uitgebreider rapport.

• Bekijk de infosheet van het NCSC over de meldplicht.
• Het is nu mogelijk om een vrijwillige melding te maken via een webformulier op ncsc.nl, hiervoor moet je wederom toegang hebben tot SSOnRIJK of inloggen via eHerkenning.

Het niet naleven van de NIS2-richtlijn kan grote gevolgen hebben, zowel financieel als operationeel.
Dit zijn de belangrijkste risico’s:

1. De NIS2-richtlijn legt strenge sancties op aan organisaties die niet voldoen aan de regels. Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Daarnaast kunnen schorsingen of beperkingen op bedrijfsactiviteiten worden opgelegd door toezichthouders.
   Voorbeeld: Een ziekenhuis dat slachtoffer wordt van ransomware en geen adequaat beveiligingsbeleid heeft, kan een boete krijgen én onder verscherpt toezicht komen te staan.
2. Operationele verstoringen en financiële schade: een cyberaanval kan je bedrijfsvoering stilleggen. Denk aan productiestilstand door een gehackte IT-omgeving, het verlies van cruciale gegevens door een ransomware-aanval of hoge herstelkosten voor het terughalen van systemen en data.
   Voorbeeld: Een logistiek bedrijf wordt getroffen door een aanval waarbij hackers de planningssoftware versleutelen. De hele supply chain ligt stil, met miljoenen euro’s schade als gevolg.
3. Reputatieschade en verlies van klantvertrouwen: klanten verwachten dat hun gegevens veilig zijn. Een datalek kan blijvende schade toebrengen aan je reputatie en vertrouwensverlies kan leiden tot contractopzeggingen en dalende omzet.
   Voorbeeld: Een IT-dienstverlener wordt gehackt en klantgegevens worden buitgemaakt. Het bedrijf verliest meerdere klanten, omdat zij overstappen naar een veiliger alternatief.
4. Aansprakelijkheid voor bestuurders: bestuurders en IT-verantwoordelijken kunnen persoonlijk aansprakelijk worden gesteld voor nalatigheid en er kunnen juridische claims volgen van gedupeerde klanten of partners.
   Voorbeeld: Een zorginstelling voldoet niet aan de meldplicht na een datalek, en wordt juridisch aangesproken door getroffen patiënten en toezichthouders.

De invoering van NIS2 in 2025 lijkt nog ver weg, maar een goede voorbereiding is cruciaal. Hoe eerder je begint met het versterken van je cybersecuritybeleid, hoe beter je beschermd bent tegen risico’s en boetes. Een gestructureerde aanpak helpt om risico’s te minimaliseren en compliant te blijven, je kunt dit als volgt aanpakken: 

1. Breng je cybersecurityrisico’s in kaart door een risicoanalyse uit te voeren; 
2. Stel een crisismanagementplan op en zorg dat alle betrokkenen weten wat ze moeten doen in geval er een cyberincident plaatsvindt; 
3. Implementeer sterke beveiligingsmaatregelen, waaronder netwerksegmentatie, encryptie en multi-factor authenticatie; 
4. Werk samen met experts om zwakke plekken op te sporen en verbeterpunten door te voeren. 

Cybersecurity is niet alleen een kwestie van het voldoen aan de juiste regelgeving, maar vraagt om een praktische en werkbare implementatie. Organisaties die nu actie ondernemen, zijn straks veiliger en beter voorbereid. Een gespecialiseerde IT-dienstverlener is hierbij een waardevolle partner. Een IT-dienstverlener met een gespecialiseerd securityteam neemt niet alleen technische kennis mee, maar heeft ook ervaring met het effectief inrichten van beveiligingsmaatregelen. Door een combinatie van actuele kennis, praktische ervaring en een gestructureerde aanpak helpt een gespecialiseerde IT-dienstverlener organisaties om niet alleen aan de NIS2-eisen te voldoen, maar versterken zij de algehele digitale weerbaarheid op een duurzame wijze. Experts maken het verschil en zorgen dat jij voorbereidt bent op de ontwikkelingen van morgen. Zie jij Symbis als de expert die jouw organisatie hierbij kan ondersteunen? Neem dan contact met ons op voor advies of stel je vraag via onderstaand formulier.  

Liever alles nog even rustig nalezen, download onze gratis NIS2-infographic en heb de belangrijkste inzichten in één overzicht. 

Met ruim 50 IT-specialisten helpen wij al dertig jaar organisaties om hun digitale weerbaarheid blijvend te versterken. We weten wat werkt en zorgen voor oplossingen die bij jouw organisatie passen. Geen generieke adviezen, maar maatwerk waarmee je echt vooruit komt. Samen zorgen we ervoor dat jouw organisatie NIS2-proof wordt!