Wanneer moet je voldoen aan NIS2?
Je moet aan NIS2 voldoen vanaf 17 oktober 2024 als je organisatie valt onder de sectoren en drempelwaarden die de richtlijn definieert. Dit betekent dat middelgrote en grote organisaties in vitale sectoren zoals energie, transport, bankwezen, gezondheidszorg en digitale infrastructuur zich moeten voorbereiden op strengere cybersecurity-eisen. De NIS2-richtlijn vervangt de originele NIS-richtlijn en breidt het toepassingsgebied aanzienlijk uit, waardoor veel meer organisaties onder de verplichtingen vallen.
Wat is NIS2 en waarom is het belangrijk voor jouw organisatie?
NIS2 is de herziene Europese richtlijn voor netwerk- en informatiebeveiliging die organisaties verplicht om hun digitale weerbaarheid te versterken. De richtlijn introduceert uniforme cybersecurity-standaarden voor de hele EU en zorgt voor betere bescherming tegen cyberaanvallen. Het belangrijkste verschil met de originele NIS-richtlijn is dat NIS2 veel meer sectoren en organisaties omvat, strengere eisen stelt en hogere boetes kent bij niet-naleving.
De nieuwe wetgeving is nodig omdat cyberaanvallen steeds geavanceerder worden en de digitale afhankelijkheid van organisaties toeneemt. Waar de eerste NIS-richtlijn zich vooral richtte op een beperkt aantal vitale sectoren, erkent NIS2 dat veel meer organisaties belangrijk zijn voor de digitale infrastructuur van Europa. Dit betekent dat ook leveranciers van digitale diensten, productie-organisaties en zelfs bepaalde overheidsinstanties nu onder de regelgeving vallen.
Voor jouw organisatie betekent NIS2 dat je moet investeren in structureel risicomanagement en cybersecurity-maatregelen. Dit gaat verder dan alleen technische oplossingen – het vraagt om aanpassingen in je governance, processen en bedrijfscultuur. De richtlijn dwingt organisaties om cybersecurity serieus te nemen op bestuursniveau, met persoonlijke aansprakelijkheid voor het management bij nalatigheid.
Wanneer gaat NIS2 in en wat zijn de belangrijke deadlines?
De NIS2-richtlijn is officieel in werking getreden op 16 januari 2023, maar lidstaten hebben tijd gekregen om deze om te zetten in nationale wetgeving. De deadline voor implementatie in nationale wetgeving is 17 oktober 2024. Vanaf deze datum moeten organisaties voldoen aan alle NIS2-verplichtingen, zonder overgangsperiode. Dit betekent dat je organisatie op 17 oktober 2024 volledig compliant moet zijn met alle vereisten.
Voor organisaties die al onder de originele NIS-richtlijn vielen, geldt dat bestaande maatregelen moeten worden uitgebreid om aan de strengere NIS2-eisen te voldoen. Nieuwe organisaties die onder NIS2 vallen, hebben geen extra tijd en moeten direct vanaf 17 oktober 2024 aan alle eisen voldoen. Het is daarom belangrijk om nu al te beginnen met de voorbereidingen, aangezien implementatie van de vereiste maatregelen tijd kost.
Specifieke deadlines binnen NIS2 betreffen vooral de meldplicht voor incidenten. Organisaties moeten significante incidenten binnen 24 uur melden aan de bevoegde autoriteit, gevolgd door een uitgebreidere melding binnen 72 uur. Een eindrapport moet binnen een maand na het incident worden ingediend. Deze strikte tijdlijnen vereisen dat je organisatie vooraf processen heeft ingericht voor snelle detectie en melding.
Valt jouw organisatie onder NIS2-verplichtingen?
Je organisatie valt onder NIS2 als je actief bent in een van de aangewezen sectoren én voldoet aan bepaalde drempelwaarden. De richtlijn maakt onderscheid tussen essentiële entiteiten (grote organisaties in kritieke sectoren) en belangrijke entiteiten (middelgrote organisaties of organisaties in minder kritieke sectoren). Essentiële sectoren omvatten energie, transport, bankwezen, financiële marktinfrastructuren, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening, openbaar bestuur en ruimtevaart.
Voor de drempelwaarden geldt dat je als middelgroot of groot wordt beschouwd wanneer je organisatie minimaal 50 werknemers heeft óf een jaaromzet van meer dan 10 miljoen euro én een balanstotaal van meer dan 10 miljoen euro. Grote ondernemingen hebben 250 of meer werknemers óf een jaaromzet van meer dan 50 miljoen euro én een balanstotaal van meer dan 43 miljoen euro. Let op: sommige organisaties vallen ongeacht hun omvang onder NIS2 vanwege hun kritieke rol in de maatschappij.
Belangrijke entiteiten opereren in sectoren zoals post- en koeriersdiensten, afvalbeheer, productie van kritieke producten (chemicaliën, voedsel, medische hulpmiddelen), digitale dienstverlening en onderzoeksinstellingen. Ook als je organisatie niet direct in deze sectoren actief is maar wel belangrijke diensten levert aan essentiële of belangrijke entiteiten, kun je indirect onder NIS2-verplichtingen vallen. Het is daarom belangrijk om je hele waardeketen te analyseren.
Wat zijn de belangrijkste NIS2-eisen waar je aan moet voldoen?
NIS2 vereist dat organisaties tien basismaatregelen implementeren voor cybersecurity management. Deze omvatten risicoanalyse en beveiligingsbeleid, incidentafhandeling, bedrijfscontinuïteit en crisismanagement, supply chain security, beveiliging bij aankoop en ontwikkeling van systemen, beoordeling van de effectiviteit van maatregelen, cybersecurity-trainingen, cryptografie en encryptie, personeelsbeveiliging, en multi-factor authenticatie.
De meldplicht voor incidenten is een van de strengste eisen binnen NIS2. Organisaties moeten significante incidenten die impact hebben op dienstverlening binnen 24 uur melden bij de nationale autoriteit. Dit vereist niet alleen technische detectiecapaciteiten maar ook duidelijke escalatieprocedures en beslissingsbevoegdheden. Je moet kunnen bepalen wanneer een incident ‘significant’ is en wie binnen je organisatie de melding mag doen.
Op governance-niveau eist NIS2 dat het hoogste management direct verantwoordelijk is voor cybersecurity. Bestuurders moeten cybersecurity-risico’s goedkeuren en toezicht houden op de implementatie van maatregelen. Ze kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid. Dit betekent dat cybersecurity geen pure IT-aangelegenheid meer is, maar integraal onderdeel moet zijn van de bedrijfsstrategie en regelmatig op de bestuursagenda moet staan.
Hoe bereid je je organisatie voor op NIS2-compliance?
Begin met een gap-analyse om te bepalen waar je organisatie staat ten opzichte van de NIS2-vereisten. Inventariseer eerst of je onder de richtlijn valt en als welk type entiteit. Breng vervolgens in kaart welke van de tien basismaatregelen je al hebt geïmplementeerd en waar nog werk nodig is. Deze analyse vormt de basis voor je implementatieplan en helpt je prioriteiten te stellen.
Implementatie van beveiligingsmaatregelen vraagt om een gestructureerde aanpak. Start met het opzetten van een cybersecurity-governance structuur waarbij verantwoordelijkheden helder zijn belegd. Ontwikkel of update je informatiebeveiligingsbeleid zodat dit aansluit bij NIS2-eisen. Implementeer technische maatregelen zoals multi-factor authenticatie, encryptie en monitoring-systemen. Zorg ook voor organisatorische maatregelen zoals trainingen, awareness-programma’s en duidelijke procedures.
Documentatie is een belangrijk onderdeel van NIS2-compliance. Je moet kunnen aantonen dat je de vereiste maatregelen hebt geïmplementeerd en dat deze effectief zijn. Dit betekent dat je beleid, procedures, risicoanalyses, incidentrapportages en testresultaten goed moet documenteren en actueel moet houden. Stel ook processen op voor de verplichte incidentmelding, inclusief templates, contactgegevens van autoriteiten en escalatieschema’s. Test deze processen regelmatig zodat je zeker weet dat ze werken wanneer het nodig is.
Wat gebeurt er als je niet op tijd voldoet aan NIS2?
Non-compliance met NIS2 kan leiden tot boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt. Voor essentiële entiteiten kunnen deze boetes zelfs oplopen tot 7 miljoen euro of 1,4% van de wereldwijde omzet voor minder ernstige overtredingen. Naast financiële sancties kunnen toezichthouders ook andere maatregelen opleggen zoals het tijdelijk schorsen van certificeringen of het verbieden van bepaalde verwerkingsactiviteiten.
Toezichthouders krijgen uitgebreide bevoegdheden om naleving af te dwingen. Ze kunnen inspecties uitvoeren, informatie opvragen en bindende aanwijzingen geven. Bij ernstige tekortkomingen kunnen bestuurders persoonlijk verantwoordelijk worden gehouden en tijdelijk worden geschorst. Dit maakt NIS2-compliance tot een boardroom-issue waarbij het management direct betrokken moet zijn bij cybersecurity-beslissingen.
De impact van non-compliance gaat verder dan alleen boetes. Een cyberincident bij onvoldoende beveiliging kan leiden tot reputatieschade, verlies van klantvertrouwen en claims van gedupeerden. Daarnaast kan het operationele verstoringen veroorzaken die de bedrijfscontinuïteit in gevaar brengen. Met de verplichte meldingen wordt non-compliance ook publiekelijk zichtbaar, wat extra druk legt op organisaties om hun zaken op orde te hebben. Investeren in NIS2-compliance is daarom niet alleen een wettelijke verplichting maar ook belangrijk voor de continuïteit en reputatie van je organisatie.
Hoe IT Resource Company helpt met NIS2-compliance
NIS2-compliance vraagt om een grondige aanpak waarbij techniek, processen en governance samenkomen. Start vandaag nog met je voorbereidingen om op 17 oktober 2024 klaar te zijn. IT Resource Company begrijpt de complexiteit van deze transitie en ondersteunt je met de juiste cybersecurity-professionals die ervaring hebben met NIS2-implementaties en compliance-trajecten. Onze experts helpen je met:
• Uitvoeren van grondige gap-analyses om je huidige beveiligingsniveau te bepalen
• Ontwikkelen van implementatieplanen die aansluiten bij jouw organisatie en sector
• Inrichten van technische beveiligingsmaatregelen zoals monitoring en incident response
• Opstellen van beleid, procedures en documentatie voor NIS2-compliance
• Trainen van je team in cybersecurity awareness en incidentafhandeling
• Ondersteuning bij de inrichting van governance-structuren en management rapportage
Of je nu tijdelijk expertise nodig hebt voor je gap-analyse of permanente versterking zoekt voor je security-team, neem vandaag nog contact met ons op voor een vrijblijvend gesprek over hoe wij je helpen naar een veiligere digitale toekomst.
Veelgestelde vragen
Wat als mijn organisatie net onder de drempelwaarden valt - moet ik me dan ook voorbereiden op NIS2?
Ja, het is verstandig om je toch voor te bereiden. Ten eerste kunnen je omzet en personeelsbestand groeien waardoor je alsnog onder NIS2 valt. Ten tweede kunnen klanten in kritieke sectoren NIS2-achtige eisen aan hun leveranciers stellen. Bovendien zijn de NIS2-maatregelen goede cybersecurity-praktijken die je organisatie sowieso beschermen tegen cyberrisico's.
Hoe lang duurt een typisch NIS2-implementatietraject en wat kost het ongeveer?
Een volledig implementatietraject duurt gemiddeld 6-12 maanden, afhankelijk van je huidige volwassenheidsniveau en organisatiegrootte. De kosten variëren sterk maar reken voor een middelgrote organisatie op 100.000-500.000 euro voor consultancy, technische oplossingen, training en certificering. Begin daarom zo snel mogelijk met een gap-analyse om de exacte scope en kosten voor jouw situatie te bepalen.
Kan ik bestaande ISO 27001 of andere certificeringen gebruiken voor NIS2-compliance?
ISO 27001-certificering is een uitstekende basis maar dekt niet automatisch alle NIS2-eisen. NIS2 heeft specifieke vereisten zoals de 24-uurs meldplicht, supply chain security en bestuurdersaansprakelijkheid die verder gaan dan ISO 27001. Je kunt wel veel bestaande documentatie en processen hergebruiken, maar een aanvullende gap-analyse blijft noodzakelijk om de ontbrekende elementen te identificeren.
Wat gebeurt er als een cyberincident plaatsvindt tijdens de implementatie van NIS2-maatregelen?
Vanaf 17 oktober 2024 gelden de NIS2-verplichtingen volledig, ook als je implementatie nog loopt. Je moet het incident binnen 24 uur melden en kunt een boete krijgen als blijkt dat je onvoldoende maatregelen had getroffen. Documenteer daarom goed welke maatregelen je al hebt geïmplementeerd en welke gepland staan, zodat je kunt aantonen dat je actief bezig bent met compliance.
Hoe regel ik de 24-uurs incidentmelding praktisch als een incident in het weekend plaatsvindt?
Stel een 24/7 bereikbaarheidsdienst in met duidelijke escalatieprocedures en beslissingsbevoegdheden. Zorg dat meerdere personen geautoriseerd zijn om meldingen te doen en train hen in het herkennen van meldingsplichtige incidenten. Maak gebruik van templates en checklists zodat ook buiten kantooruren snel en correct gemeld kan worden. Test deze procedures regelmatig met oefenscenario's.
Moet elke medewerker cybersecurity-training volgen of alleen IT-personeel?
NIS2 vereist dat alle medewerkers passende cybersecurity-awareness training krijgen, niet alleen IT-personeel. De training moet zijn afgestemd op functie en risico's - een receptionist heeft andere training nodig dan een systeembeheerder. Zorg voor jaarlijkse herhaling en documenteer deelname. Management moet daarnaast specifieke training krijgen over hun verantwoordelijkheden onder NIS2.