NIS2: nieuwe regels voor digitale weerbaarheid

Cyberaanvallen en datalekken verschijnen bijna dagelijks in het nieuws. Als reactie hierop heeft de Europese Unie de NIS2-richtlijn ingevoerd: een set nieuwe regels voor digitale weerbaarheid. Dit betekent dat cybersecurity niet langer ‘nice to have’ is, maar een harde wettelijke verplichting. In Nederland wordt een nieuwe Cyberbeveiligingswet voorbereid om NIS2 in nationale wetgeving om te zetten, ter vervanging van de huidige Wbni (de bestaande Nederlandse wet over netwerk- en informatiesystemen). Maar wat betekent dit in de praktijk voor uw organisatie?

Wat is NIS2?

NIS2 is de tweede EU-richtlijn voor netwerk- en informatiebeveiliging, met als doel de cybersecurity in Europa aanzienlijk te verbeteren. Het is in feite een update van de oorspronkelijke NIS-richtlijn uit 2016, maar veel breder en strenger. Het doel van NIS2 is om ervoor te zorgen dat organisaties in de hele EU sterke verdedigingsmaatregelen hebben tegen cyberdreigingen, en zo kritieke systemen en data beschermen. Belangrijke punten om te weten over NIS2:

• EU-brede baseline voor cybersecurity: NIS2 stelt een gemeenschappelijk minimumniveau aan cybersecurity vast dat bedrijven en instellingen in alle lidstaten moeten halen.
• Breder toepassingsbereik dan NIS1: De oorspronkelijke NIS-richtlijn gold slechts voor een beperkte groep ‘vitale’ aanbieders (zoals grote energie- of telecombedrijven). NIS2 breidt het bereik sterk uit naar meer sectoren en diensten
• Strengere eisen: NIS2 vergroot niet alleen wie eronder valt; het legt ook de lat hoger. De eisen voor beveiligingsmaatregelen, risicomanagement, registratieplicht, zorgplicht en incidentmelding zijn  zwaarder dan voorheen.
• Omzetting in nationale wetgeving: Elk EU-land moet NIS2 omzetten in eigen wetgeving. In Nederland gebeurt dit via de aankomende Cyberbeveiligingswet, die naar verwachting in 2026 (1 juli) in werking treedt. Vanaf dat moment worden de NIS2-regels afdwingbaar en kunnen toezichthouders naleving controleren en sancties opleggen bij niet-naleving.

Op wie is NIS2 van toepassing?

NIS2 onderscheidt twee categorieën: ‘essentiële entiteiten’ en ‘belangrijke entiteiten’. Beide groepen moeten aan vergelijkbare eisen voldoen, al krijgen essentiële entiteiten te maken met strenger toezicht. Over het algemeen geldt NIS2 voor middelgrote en grote organisaties in (onder meer) de volgende sectoren:

• Energie en nutsvoorzieningen – bijvoorbeeld leveranciers van elektriciteit en gas, oliebedrijven.
• Transport en logistiek – waaronder luchtvaart, spoor, scheepvaart, havens en wegvervoerders.
• Zorg – ziekenhuizen, klinieken, diagnostische laboratoria en andere zorgaanbieders.
• Drinkwater en afvalbeheer – drinkwaterbedrijven en afvalverwerkingsinstallaties.
• Digitale infrastructuur en telecom – internetknooppunten, datacenters, cloudserviceproviders, telecomnetwerken.
• Publieke sector en overheidsdiensten – het gaat hier om specifieke aangewezen entiteiten uit de sectoren overheidsorganisaties en essentiële publieke diensten (met uitzondering van nationale veiligheidsautoriteiten).
• Voedsel en landbouw – voedselproductie en -distributie
• Maakindustrie en onderzoek – bepaalde delen van de  maakindustrie en onderzoeksinstellingen, met name waar ze verbonden zijn met nationale infrastructuur of publieke veiligheid en bijv. medische apparatuur, elektronica, etc

Of uw organisatie onder NIS2 valt, hangt af van wat u doet, in welke sector u actief bent en uw omvang. Over het algemeen richt NIS2 zich op organisaties met 50 of meer medewerkers of een jaarlijkse omzet van €10 miljoen of hoger (de gebruikelijke EU-definitie van middelgroot of groot). Als u in een van de genoemde sectoren actief bent en aan de omvangcriteria voldoet, is de kans groot dat NIS2 op u van toepassing is. Dit is een vuistregel, maar sector en rol in de keten zijn doorslaggevend.

Belangrijk is ook dat u NIS2 indirect kunt merken, zelfs als u niet expliciet als essentiële of belangrijke entiteit bent aangewezen. Veel grotere organisaties zullen namelijk contractueel eisen dat hun leveranciers en dienstverleners aan NIS2-standaarden voldoen.

Wat vraagt NIS2 van organisaties?

NIS2 draait niet om het simpelweg afvinken van compliance-eisen. De richtlijn vraagt van organisaties een proactieve, goed gedocumenteerde en risicogedreven aanpak van cybersecurity. Cybersecurity wordt daarmee een integraal onderdeel van de bedrijfsvoering en governance.

Organisaties moeten beschikken over een samenhangend beveiligingsbeleid en een continu proces voor risicomanagement. Daarbij verwacht NIS2 dat zowel technische als organisatorische maatregelen “state of the art” zijn: actueel, passend bij de dreigingen van vandaag en afgestemd op het risiconiveau van de organisatie. Hoe kritieker de processen, hoe zwaarder de vereiste beveiliging.

Daarnaast legt NIS2 de verantwoordelijkheid nadrukkelijk bij directie en bestuur. Cybersecurity is niet langer uitsluitend een IT-aangelegenheid, maar een onderwerp op bestuursniveau. De directie moet expliciet verantwoordelijkheid nemen voor cybersecurity en zorgen voor een organisatiecultuur waarin security op alle niveaus serieus wordt genomen.

Ook op het gebied van incidentmanagement stelt NIS2 duidelijke eisen. Significante cyberincidenten, zoals ernstige datalekken of grote verstoringen door cyberaanvallen, moeten binnen strikte termijnen worden gemeld. Dit gebeurt via een gefaseerd proces: een eerste melding binnen 24 uur nadat het incident bekend is, gevolgd door een vervolgrapport binnen 72 uur en een eindrapport ongeveer 30 dagen later. Hiermee wil de EU snelle informatie-uitwisseling en effectieve incidentrespons stimuleren.

Verder richt NIS2 zich sterk op ketenbeveiliging en leveranciersmanagement. Organisaties moeten niet alleen hun eigen systemen beschermen, maar ook de risico’s beheersen die ontstaan via leveranciers, partners en andere derden met toegang tot systemen of data. Het uitsturen van vragenlijsten alleen is daarbij niet voldoende. Organisaties moeten kunnen aantonen dat leveranciers daadwerkelijk passende maatregelen hebben genomen en deze afspraken ook contractueel vastleggen. Hiermee moet worden voorkomen dat een zwakke schakel in de keten het startpunt vormt van een cyberaanval.

Waarom is het belangrijk om nu al in actie te komen?

De Nederlandse Cyberbeveiligingswet, waarmee NIS2 wordt geïmplementeerd, treedt naar verwachting op 1 juli 2026 in werking. Hoewel die datum nog relatief ver weg lijkt, vraagt volledige compliance, zeker binnen grotere organisaties, om een langdurig traject. Het opstellen van beleid, implementeren van technologie, aanpassen van processen en vastleggen van afspraken kost tijd.

Daarnaast vraagt het versterken van cyberweerbaarheid om investeringen, training en organisatorische veranderingen. Denk aan het inrichten van incidentmeldprocedures, het verbeteren van monitoring en het structureel toetsen van leveranciers. Door tijdig te starten, kunnen organisaties deze veranderingen gefaseerd en doordacht doorvoeren.

Ook het risico op sancties neemt toe. Zodra de wet van kracht is, krijgen toezichthouders de bevoegdheid om substantiële boetes en andere maatregelen op te leggen bij non-compliance. Daarbij kan ook sprake zijn van bestuurlijke aansprakelijkheid. Toezichthouders zullen zowel proactief als reactief controleren.

Tegelijkertijd levert investeren in cybersecurity direct voordelen op voor de organisatie zelf. Een hogere cyberweerbaarheid verkleint de kans op ontwrichtende incidenten en versterkt de bedrijfscontinuïteit. Bovendien groeit in de markt de aandacht voor cybersecurity bij klanten en partners. Organisaties die aantoonbaar veilig en betrouwbaar opereren, bouwen daarmee niet alleen vertrouwen op, maar creëren ook een concurrentievoordeel.

NIS2-compliance draait dan ook niet alleen om het voldoen aan wet- en regelgeving, maar vooral om het toekomstbestendig en weerbaar maken van de organisatie.

Hulp nodig bij NIS2? Wij helpen u graag.

Nieuwe regelgeving zoals NIS2 kan uitdagend zijn, maar u hoeft het niet alleen te doen. Wilt u snel inzicht krijgen of NIS2 voor uw organisatie geldt en wat dat concreet betekent voor uw bestuur, processen en IT-omgeving? Weet u niet goed hoe u moet starten richting compliance? Forvis Mazars Nederland staat voor u klaar.