NIS2- Richtlijn: wat betekent dit voor jouw organisatie?

Met de NIS2-Richtlijn- wordt een uniform regelgevend kader voor cyberbeveiliging gegeven. Met cyberbeveiliging wordt in het kort bedoeld het beschermen van netwerk- en informatiesystemen (NIS) tegen digital aanvallen. In onze eerdere blog legden we al uit dat we als samenleving steeds afhankelijker worden van netwerk- en informatiesystemen en dat cyberbeveiliging noodzakelijk is geworden aangezien cyberaanvallen steeds frequenter plaatsvinden en geavanceerder zijn.

Wat bepaalt de NIS2-Richtlijn?

De NIS 1 (Richtlijn 2016/1148) was de eerste uitgebreide EU-wetgeving ter bevordering van de cyberbeveiliging van netwerk- en informatiesystemen om essentiële diensten voor de economie en de samenleving van de Europese Unie te waarborgen. De NIS2-Richtlijn bouwt voort op de NIS1-Richtlijn en biedt een breder toepassingsgebied, duidelijkere regels en sterkere toezichtsinstrumenten.

Op grond van de NIS2-Richtlijn dienen lidstaten hun cyberbeveiligingscapaciteiten te versterken en tegelijkertijd risicobeheersmaatregelen en rapportagevereisten in te voeren voor ondernemingen uit meer sectoren en regels vaststellen voor samenwerking, informatie-uitwisseling, toezicht en handhaving van cyberbeveiligingsmaatregelen.

De NIS2-Richtlijn schrijft voor dat elke lidstaat een nationale cyberbeveiligingsstrategie moet opstellen die beleidsmaatregelen omvat voor de beveiliging van de toeleveringsketen, kwetsbaarheidsbeheer en voorlichting en bewustmaking op het gebied van cyberbeveiliging. Daarnaast moet een lijst van aanbieders van essentiële diensten worden opgesteld en regelmatig worden bijgewerkt om ervoor te zorgen dat blijvend wordt voldaan aan de verplichtingen van de NIS2-Richtlijn

Naast de sectoren die reeds onder NIS 1-Richtlijn vallen – zoals energie, vervoer, gezondheidszorg, financiën, waterbeheer en digitale infrastructuur - zijn de nieuwe regels ook van toepassing op aanbieders van openbare elektronische communicatie, meer digitale diensten (zoals sociale platforms), afval- en afvalwaterbeheer, de productie van kritieke producten, post- en koeriersdiensten en overheidsdiensten op centraal en regionaal niveau, alsook op de ruimtevaartsector. Ondernemingen die actief zijn in deze kritieke sectoren dienen passende maatregelen te nemen voor het beheer van cyberbeveiligingsrisico's en de relevante nationale autoriteiten in kennis stellen van incidenten.

De NIS2-Richtlijn bevat ook bepalingen inzake toezicht en handhaving. Het introduceert ook de verantwoordingsplicht van het management van ondernemingen voor niet-naleving van maatregelen voor het beheer van cyberbeveiligingsrisico's, waardoor cyberbeveiliging onder de aandacht van de raad van bestuur wordt gebracht.

Wanneer treedt NIS2 Richtlijn in werking?

De NIS2-Richtlijn is op 16 januari 2023 in werking getreden voor de lidstaten. Sindsdien loopt er een termijn die lidstaten de tijd geven om de richtlijn om te zetten naar nationale wetgeving. In Nederland is dat de Cyberbeveiligingswet. De Cyberbeveiligingswet had eigenlijk al op 17 oktober 2024 in werking moeten treden. De Cyberbeveiligingswet zal naar verwachting Q2 2026 in werking treden.

Wat kun je als organisatie doen om je voor te bereiden?

Met het oog op de inwerkingtreding van de NIS2-Richtlijn en Cyberbeveiligingswet is het voor organisaties van belang om nu alvast na te denken over onderstaande actiepunten:

1. Maak een risicoanalyse. Hoe weerbaar is je organisatie tegen cyberrisico's?
   
2. Denk na over incidentrespons. Een Incident Reponse Plan helpt organisatie om adequaat te reageren in het geval van een cyberincident.
   
3. Zorg voor regelmatige back-ups, herstelplannen en crisisbeheer zodat je als organisatie na een incident door kan.
   
4. Ga na of in de toeleveringsketen kwetsbaarheden zitten en tref passende beveiligingsmaatregelen.
   
5. Zorg dat het kennis niveau van je personeel op niveau is en biedt cybersecuritytrainingen aan.
   
6. Beveilig netwerk- en informatiesystemen tegen kwetsbaarheden.
   
7. Zorg dat systemen en informatie alleen toegankelijk zijn voor bevoegden.
   
8. Pas multifactorauthentificatie toe.
   
9. Pas encryptie toe om gegevens te versleutelen.
   
10. Beoordeel doorlopend de effectiviteit van de beveiligingsmaatregelen en verscherp daar waar nodig.

Meer weten over de NIS2-Richtlijn?

Wil je weten wat NIS2 en de Cyberbeveiligingswet voor jouw organisatie betekenen? Meld je dan kosteloos aan voor onze kennissessie op 27 november 2025 om 15.30 uur, samen met Tible en SecDesk. Er zijn nog maar enkele plekken beschikbaar, dus reserveer snel een plekje.