NIS2 is nieuwe Europese wetgeving voor cybersecurity. De regels worden strenger voor organisaties in essentiële en belangrijke sectoren. Je moet meer doen aan digitale veiligheid, risico’s beheersen en incidenten melden. Val je onder NIS2? Dan krijg je extra verplichtingen en moet je aantonen dat je cybersecurity op orde is. Wat houdt dat precies in en welke maatregelen moet je nemen? Dat lees je hier.
Geheel vrijblijvend
De NIS2-richtlijn (Network and Information Security Directive 2) is een Europese cybersecurityrichtlijn. De richtlijn is opgesteld door de Europese Unie en volgt de eerdere NIS-richtlijn op.
Met NIS2 scherpt de EU de regels aan voor digitale veiligheid. Organisaties moeten niet alleen technische maatregelen nemen, maar ook aantonen dat cybersecurity structureel is ingebed in beleid, processen en bestuur.
Belangrijke onderdelen van de NIS2-richtlijn zijn:
Cyberdreigingen stoppen niet bij landsgrenzen. Daarom heeft de Europese Unie met NIS2 gekozen voor een gezamenlijke aanpak binnen Europa.
De NIS2-richtlijn is ingevoerd om:
NIS2 maakt cybersecurity tot een strategisch onderwerp, niet alleen een IT-kwestie.
De NIS2-richtlijn is van toepassing op essentiële en belangrijke entiteiten binnen de Europese Unie. Het gaat om organisaties die een belangrijke rol spelen in de economie en samenleving en waarbij digitale verstoringen grote gevolgen kunnen hebben.
Werk je in een sector zoals energie, transport, gezondheidszorg, drinkwater of digitale infrastructuur? Dan is de kans groot dat jouw organisatie onder de NIS2-wetgeving valt. Ook veel ondersteunende en digitale dienstverleners krijgen met NIS2 te maken.
Twijfel je of NIS2 voor jou geldt? Dan is het verstandig om dit tijdig te controleren, omdat de eisen voor cybersecurity en compliance stevig zijn.
De NIS2-richtlijn is van toepassing op onder andere de volgende sectoren:
Omdat NIS2 Europese wetgeving is, wordt de richtlijn in Nederland omgezet naar nationale wet- en regelgeving. Dit betekent dat Nederlandse organisaties verplicht zijn om aan de Europese eisen te voldoen.
Toezichthouders krijgen meer bevoegdheden en kunnen handhavend optreden. Organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om cyberrisico’s te beheersen.
NIS2 vraagt daarmee om een structurele aanpak van cybersecurity, afgestemd op de risico’s van de organisatie.
NIS2 heeft gevolgen voor zowel techniek als organisatie. Cybersecurity wordt een verantwoordelijkheid van meerdere afdelingen, waaronder IT, compliance, risk management en directie.
Concreet betekent dit dat organisaties:
Het niet naleven van NIS2 kan leiden tot toezichtmaatregelen en boetes.
NIS2-compliance betekent dat je organisatie voldoet aan de cybersecurity-eisen die de Europese Unie stelt. Dit vraagt om een combinatie van technologie, processen en governance.
Een effectieve aanpak bestaat onder andere uit:
Met de juiste maatregelen vergroot je niet alleen je compliance, maar ook je digitale weerbaarheid.
"Ik zie dat veel organisaties nog wachten op de exacte wetstekst. Mijn advies: wacht niet. Begin nu met voorbereiden – want zodra de wet er is, is er geen uitstel mogelijk."
Public Affairs & CSR Officer ESET Nederland
„De deadline voor EU-lidstaten om NIS2 om te zetten in nationale wetgeving is op 17 oktober 2024 verstreken, wat een belangrijke mijlpaal is. Volgens de tijdlijn van de richtlijn, dienen alle organisaties die onder NIS2 vallen vanaf nu aan hun verplichtingen te voldoen. Veel EU-lidstaten hebben de richtlijn echter nog niet volledig in hun nationale wetgeving opgenomen.
Tot op heden bevinden alleen België, Kroatië, Hongarije, Litouwen, Letland en Italië zich in een vergevorderd stadium van opname van NIS2 in hun nationale wetgeving. Bedrijven in deze landen moeten zich nu aan de richtlijn houden. Andere landen, waaronder grote landen als Duitsland en Frankrijk, zullen naar verwachting in de komende maanden hun wetgeving afronden. In Nederland komt de Cyberbeveiligingswet op zijn vroegst in de eerste helft van 2026. Deze omzetting zal echter niet zonder uitdagingen zijn. Aangezien NIS2 een richtlijn is en geen verordening, zullen er tussen de lidstaten enkele verschillen zijn, die een weerspiegeling zijn van nationale specifieke kenmerken.
Ondanks deze verschillen blijven de kernprincipes van NIS2 in de hele EU consistent. Zodra de nationale wetgeving van kracht is, moeten alle betrokken organisaties zelf aan hun nationale autoriteiten melden dat zij onder NIS2 vallen, risicobeheersmaatregelen implementeren en aan de rapportagevereisten voldoen. ESET-oplossingen kunnen organisaties niet alleen helpen met geavanceerde bescherming en detectie, maar ook met rapportage- en nalevingsverplichtingen.
Het is van cruciaal belang dat organisaties nu beginnen met de voorbereidingen, zelfs als hun land de nationale wetgeving tot omzetting van de NIS2-regels nog niet heeft afgerond. Zodra de nationale wetgeving van kracht is, moeten organisaties zonder vertraging volledig aan de regels voldoen.”
Astrid Oosenbrug – Public Affairs & CSR Officer ESET Nederland
ESET is een wereldwijde leider op het gebied van digital security met haar roots in de Europese Unie. Al sinds onze oprichting in 1987 in Slowakije, wat begon als pionieren op het gebied van Digital Security, zetten wij ons in voor de bescherming en sociale, wetenschappelijke en technologische vooruitgang van bedrijven, kritieke infrastructuur en consumenten wereldwijd. Meer dan drie decennia later, mogen wij onszelf het grootste IT-security bedrijf uit de Europese Unie noemen. We bevinden ons in het hart van de digitale veiligheid in Europa. En daar maken we ons hard voor door middel van onze diensten, maatschappelijke activiteiten en oplossingen - variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. Wanneer technologie vooruitgang mogelijk maakt, zijn wij er om het te beschermen.
Wij zijn een wereldwijd advocatenkantoor met meer dan 70 vestigingen in ruim 30 landen, in Nederland zijn wij gevestigd in Amsterdam en Rotterdam.
Sinds de digitale transformatie zijn data de belangrijkste aanjagers van economische groei en essentiële assets voor bedrijven. Maar het beschermen van gegevens en de enorme hoeveelheid regelgeving over gebruik, toegang en het delen ervan roepen vragen op bij vrijwel elke organisatie. Wij zijn er om daarbij te helpen.
Onze diepgaande kennis van informatietechnologie, cybersecurity, privacy en gegevensbescherming maakt ons specialisten. Door over de hele wereld onze cliënten op deze terreinen bij te staan hebben wij bovendien een zeer uitgebreide ervaring opgebouwd met alle aspecten van nationale en internationale cybersecurity kwesties.
Disclaimer: De informatie op deze pagina is niet bedoeld als juridisch advies, maar alle informatie, inhoud en materialen zijn uitsluitend bedoeld voor algemene informatiedoeleinden. Voor advies over een specifieke juridische kwestie moeten lezers contact opnemen met hun advocaat of juridisch adviseur.
NIS2 is Europese wetgeving die organisaties verplicht om hun cybersecurity en digitale weerbaarheid te verbeteren. De NIS2-richtlijn richt zich op de bescherming van netwerken en informatiesystemen tegen cyberdreigingen zoals ransomware, datalekken en verstoringen van diensten.
De NIS2-richtlijn geldt voor organisaties die actief zijn in essentiële en belangrijke sectoren, zoals energie, gezondheidszorg, transport, digitale infrastructuur en bepaalde digitale dienstverleners. Als jouw organisatie binnen zo’n sector valt en een bepaalde omvang heeft, is NIS2 waarschijnlijk van toepassing.
De Europese deadline voor NIS2 ligt in oktober 2024. In Nederland wordt verwacht dat de NIS2-richtlijn wordt opgenomen in nationale wetgeving en in 2025 van kracht wordt. Organisaties doen er goed aan om nu al te starten met de voorbereiding.
De NIS2-eisen richten zich op structurele cybersecuritymaatregelen. Denk aan:
Organisaties moeten kunnen aantonen dat deze maatregelen zijn ingericht en worden nageleefd.
De NIS2 meldplicht verplicht organisaties om ernstige cyberincidenten binnen vastgestelde termijnen te melden bij de toezichthouder. Het gaat bijvoorbeeld om ransomware-aanvallen, datalekken of langdurige verstoringen van diensten. Daarom is het belangrijk om incidenten snel te kunnen detecteren en beoordelen.
Als je niet voldoet aan NIS2 compliance, kun je te maken krijgen met boetes, sancties en extra toezicht. Daarnaast vergroot onvoldoende cybersecurity het risico op verstoringen van je bedrijfsvoering en reputatieschade.
NIS2 compliant worden begint met het verbeteren van je cybersecurity. Dat betekent onder andere:
Een structurele aanpak helpt je om zowel aan NIS2 te voldoen als cyberrisico’s te beperken.
Ja. Hoewel NIS2 in Nederland naar verwachting in 2025 geldt, kost de voorbereiding tijd. Door nu al te starten met NIS2 cybersecuritymaatregelen, voorkom je last-minute risico’s en ben je beter voorbereid op de nieuwe wetgeving.
