Wat is NIS2? Alles over de nieuwe wetgeving

Cyberbeveiliging speelt tegenwoordig een steeds grotere rol in hoe organisaties hun informatie beschermen. De opkomst van de nieuwe NIS2 richtlijn als nationale wetgeving in de vorm van de Cyberbeveiligingswet (Cbw) vraagt organisaties striktere maatregelen te treffen om zo hun gegevens extra te beveiligen. De NIS2 richtlijn en Cbw zijn strenger en breder dan voorgaande wetgevingen en sluiten daardoor beter aan bij de groeiende behoeften van organisaties op het gebied van online weerbaarheid. Sectoren zoals zorg, energie, IT en transport krijgen te maken met NIS2. Door nu te begrijpen wat NIS2 inhoudt, zorg je ervoor dat je als organisatie bent voorbereid op wat er komen gaat met de Cbw en loop je minder risico op boetes of reputatieschade. Op deze pagina lees je alles wat je moet weten over NIS2 en ontdek je welke stappen je zelf al kunt zetten. Zo ben je goed voorbereid op de toekomst!

Wat is NIS2?

NIS2 is een nieuwe Europese verordening die de digitale veiligheid van alle landen in de EU moet verbeteren. Deze verordening geldt in Nederland vanaf het tweede kwartaal van 2026 in de vorm van de Cyberbeveiligingswet. De afkorting NIS2 staat voor ‘Network and Information Security Directive’. De NIS2 wetgeving is een uitbreiding van de voorgaande NIS-regels. Het doel van deze wet is het verhogen van het algemene niveau van cyberveiligheid en bedrijven beschermen tegen cyberaanvallen en digitale risico’s. Hiermee beschermen ze digitale en kritieke infrastructuur. Zowel voor grote vitale bedrijven als voor kleinere organisaties en hun leveranciers is deze wet vanaf 2026 verplicht, indien de organisatie als belangrijk of essentieel wordt gezien.

De nadruk ligt vooral op het risico- en incidentbeheer/management. Hierbij is het wel belangrijk om maatregelen op orde te hebben en een cyberaanval op tijd te melden om zo boetes en reputatieschade te voorkomen. Er gelden dus strengere eisen, zoals verplichte risicoanalyses, het beoordelen van leveranciers, directe meldplicht na incidenten en continue beveiligingsmaatregelen.

Voor wie geldt de nieuwe NIS2 wetgeving?

De impact van deze nieuwe regelgeving is groot. NIS2 geldt voor meer sectoren dan voorgaande regelgeving op nationaal Europees vlak. Niet alleen grote IT-bedrijven, maar ook zorginstellingen, transportbedrijven, energiebedrijven en andere organisaties welke als essentieel of belangrijk zijn bestempeld worden genoodzaakt om zich aan deze nieuwe regels te houden, en vaak ook hun belangrijke toeleveranciers. Als jouw organisatie dus in energie, water, zorg, transport, digitale infrastructuur of financiën werkt, moet je waarschijnlijk voldoen aan NIS2 en daarmee de Cbw. Daarbij geldt deze nieuwe wet ook voor verschillende andere sectoren indien ze meer dan 50 medewerkers hebben of een hogere omzet dan 10 miljoen Euro per jaar draaien.

De overheid controleert of jouw maatregelen in orde zijn. Om ervoor te zorgen dat de hele keten veilig samenwerkt en dat cyberaanvallen van buitenaf worden voorkomen. Door nu al informatie te winnen over NIS2 en wat dit voor jouw organisatie betekent en passende actie te ondernemen, ben je straks minder kwetsbaar voor cyberdreigingen. Cyberaanvallen worden namelijk steeds moeilijker om te herkennen. Lees bijvoorbeeld hier hoe een betrouwbare Windows link juist voor mailware op je computer zorgt.

Wat zijn de NIS2 richtlijnen?

Over het algemeen heeft de NIS2-wet drie nieuwe hoofdregels:

• Zorgplicht: als organisatie ben je verplicht maatregelen te nemen om je computersystemen en data te beschermen.
• Meldplicht: ook ben je verplicht ernstige incidenten snel te melden bij instanties (vergelijkbaar met meldplicht datalek vanuit de GDPR/AVG).
• Aanpak cyberveiligheid: als laatste moet je kunnen aantonen wat jouw organisatie doet om cyberveiligheid te garanderen, waarbij een aantal zaken zoals het uitvoeren van risicoanalyses verplicht zijn.

Binnen je bedrijf is het dus belangrijk dat er duidelijke regels worden doorgevoerd. Van sterke wachtwoorden tot veilige inlogmethoden bij bijvoorbeeld thuiswerken, trainingen voor medewerkers en het testen van systemen.Bij ernstige incidenten is het belangrijk dat deze binnen 24 uur bij de toezichthouder worden gemeld. Binnen 72 uur dient vervolgens een uitgebreid rapport aangeleverd te worden.

Wanneer je niet aan bovenstaande hoofdregels en plichten voldoet, riskeer je als bedrijf een boete.

Veranderingen ten opzichte van voorgaande regels

Over het algemeen is de Cbw een stuk strenger. Ook komen deze keer meer organisaties en branches onder deze wet te vallen. Van afvalverwerkingsbedrijven, tot organisaties in de voedingsmiddelenindustrie of digitale aanbieders. Het is daarom van belang om goed te onderzoeken of je als bedrijf onder deze nieuwe wetgeving valt. Zo ja, dan is het onder andere belangrijk dat je goede afspraken maakt met leveranciers met betrekking tot informatiebeveiliging. Leg risico’s vast en voer regelmatig controles uit om zo het overzicht te bewaren en cyberdreigingen voor te zijn.

Hoe bereid je je voor op de nieuwe NIS2 regelgevingen?

Wanneer je als bedrijf verplicht wordt om je te houden aan de nieuwe NIS2/Cbw wetgeving, begrijpen we dat je wilt weten waar je aan toe bent. Je begint met een risicoanalyse van je organisatie. Ga na waar je bedrijf kwetsbaar is. Geef vervolgens duidelijke instructies aan medewerkers over veilig werken. In geval van een cyberaanval is het ook handig als je vooraf een plan hebt gemaakt, zodat je weet wat je moet doen.

Ook is het belangrijk om te checken of belangrijke leveranciers hun zaken op orde hebben. Zij kunnen voor jouw organisatie namelijk een zwakke schakel zijn, of juist een krachtige partner.

Controleer dus of jouw bedrijf valt onder de nieuwe afspraken van NIS2 en zet de eerste stappen naar een veilige IT omgeving. Begin op tijd en voorkom problemen en onnodige kosten. Uiteindelijk levert het niet alleen meer digitale veiligheid op, maar ook vertrouwen van zowel klanten, partners als leveranciers.