Wat betekent NIS2 voor jouw organisatie?
NIS2 compliance
Binnenkort treedt de Cyberbeveiligingswet (de Nederlandse vertaling van NIS2) in werking. Dit vraagt van organisaties niet alleen technische maatregelen, maar ook structurele risicobeheersing én aantoonbare bestuurlijke betrokkenheid.
Bij veel organisaties roept de NIS2 vragen op. Herken je dit?
- Waar beginnen we?
- Vallen wij onder de NIS2-richtlijn?
- Wat betekent de zorgplicht concreet?
- Wat wordt er verwacht van ons bestuur?
- Is ons bestaande ISO 27001 certificering voldoende?
Cuccibu begeleidt organisaties bij het gestructureerd en beheerst toewerken naar NIS2 compliance. Van bestuurderstraining en GAP-analyse tot volledige implementatie. Wacht niet tot de inwerkingtreding, maar zorg tijdig voor inzicht en regie.
Plan een vrijblijvend gesprek Ontdek hoe wij organisaties helpen
Wat betekent de NIS2-richtlijn concreet?
De NIS2-richtlijn versterkt de digitale weerbaarheid binnen de Europese Unie (EU) en legt duidelijke verplichtingen op aan essentiële en belangrijke entiteiten op het gebied van cyberbeveiliging.
Organisaties moeten onder andere voldoen aan:
- Zorgplicht. Het uitvoeren van een risicobeoordeling en het treffen van passende technische, organisatorische en operationele maatregelen.
- Meldplicht. Het melden van incidenten met aanzienlijke impact binnen 24 uur bij de toezichthouder en het CSIRT.
- Registratieplicht. Organisaties die onder NIS2 vallen moeten zich registreren.
Wat levert NIS2 compliance op?
Naast naleving van wetgeving biedt NIS2 ook strategische voordelen:
✓ Beter risico- en incidentenbeheer
✓ Versterkte bedrijfscontinuïteit
✓ Minder kans op succesvolle cyberincidenten
✓ Professionalisering van governance en toezicht
✓ Versterking van vertrouwen bij klanten en partners
Bestuurlijke verantwoordelijkheid en opleidingsplicht
NIS2 legt ook expliciete verantwoordelijkheid bij bestuur en directie. Cybersecurity is daarmee niet langer uitsluitend een technische aangelegenheid, maar een bestuurlijke verantwoordelijkheid.
Bestuurders moeten onder andere:
- Aantoonbare kennis hebben van cyberrisico’s.
- Toezicht houden op risicobeheersing.
- Actief betrokken zijn bij beleid en naleving.
- Voldoen aan de opleidingsplicht.
NIS2 bestuurderstraining
Tijdens de NIS2 bestuurderstraining van Cuccibu krijgen bestuurders de kennis en inzichten die nodig zijn om hun rol effectief te vervullen. De training is praktijkgericht en specifiek ontwikkeld voor bestuurders.
Twijfel je of jouw organisatie onder de NIS2 valt?
Een organisatie valt onder de NIS2 wanneer zij actief is in specifieke sectoren en voldoet aan bepaalde omvangscriteria. Doe de korte NIS2 check en ontvang direct inzicht.
Onze NIS2 diensten
NIS2 kan complex zijn, zeker wanneer informatiebeveiliging niet jullie kernactiviteit is. Wij helpen organisaties niet alleen om te voldoen aan wetgeving, maar vooral om structureel digitaal weerbaarder te worden.
Afhankelijk van jullie behoeften ondersteunen onze Information Security Consultants bij specifieke onderdelen of ontzorgen volledig.
NIS2 bestuurderstraining 🎓
Een compacte en praktijkgerichte training waarin bestuurders inzicht krijgen in:
✓ Het landschap van de NIS2.
✓ De impact op jouw organisatie.
✓ Hoe je in control blijft van cyberrisico’s.
Prijsindicatie: vanaf €895,-
NIS2 GAP-analyse 🔍
Inzicht in de huidige status van jouw organisatie ten opzichte van de NIS2:
✓ Overzicht van de risico’s.
✓ Belangrijkste GAPS.
✓ Concrete verbeteracties.
Prijsindicatie: vanaf €4.995,-
Implementatie en begeleiding 🚀
We vertalen de NIS2 eisen naar de praktijk. Van risicoanalyse tot implementatie van de beheersmaatregelen en incidentmanagement.
Beschikt jouw organisatie al over een ISO 27001 certificering? Dan heb je al een sterke basis. Wij zorgen voor een efficiënte vertaalslag naar NIS2.
Wij helpen je graag verder!
Wil je weten wat NIS2 compliance concreet betekent voor jouw organisatie? Tijdens een vrijblijvende kennismaking brengen we jouw situatie in kaart en adviseren wij over een passende vervolgstap.
✓ Meer dan 10 jaar ervaring in het beheersen van risico’s
✓ Gespecialiseerd in implementatie en compliance
✓ Praktische vertaalslag van wetgeving naar structurele beheersing
Wij helpen je graag verder!We nemen binnen één werkdag contact met je op.
Met trots werken wij onder andere voor
Eerst zelf wat meer informatie lezen over de NIS2?
Download onze gratis whitepaper: NIS2 in vogelvlucht – alles wat je moet weten over deze nieuwe richtlijn.
✓ Overzicht van de richtlijn en haar verplichtingen.
✓ De impact van NIS2 op jouw organisatie.
✓ De relatie met ISO 27001 en andere normenkaders.
Veel gestelde vragen NIS2-richtlijn
We zetten de meest gestelde vragen over de NIS2-richtlijn voor je op een rijtje.
In 2016 trad de eerste Network and Information Security directive (NIS) in werking, met als doel de digitale weerbaarheid in de Europese Unie te verbeteren. Door de snelle digitale transformatie is nu toegewerkt naar een nieuwe richtlijn. De NIS2 breidt de reikwijdte van de oorspronkelijke NIS-richtlijn uit door meer sectoren en organisaties te omvatten, waardoor een breder spectrum aan entiteiten verantwoordelijk is voor het handhaven van een hoog cybersecurityniveau. Met een focus op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s, streeft NIS2 naar Europese harmonisatie en een verhoogd niveau van cyberbeveiliging. Het is een antwoord op de groeiende cyberdreigingen en andere veiligheidsuitdagingen die onze maatschappij en economie beïnvloeden, en benadrukt het belang van proactieve bescherming en voorbereiding op incidenten die de continuïteit van belangrijke en essentiële diensten kunnen onderbreken.
Eind 2022 is de NIS2-richtlijn aangenomen door de Europese Unie. De deadline voor het omzetten naar nationale wetgeving was 17 oktober 2024. Nederland heeft dit niet gehaald. Naar verwachting treedt de Cyberbeveiligingswet in het tweede kwartaal van 2026 in werking.
Een organisatie valt onder de NIS2 wanneer zij actief is in een bepaalde sector en volgens bepaalde criteria gekenmerkt worden als essentiële of belangrijke entiteit. De sectoren die onder de NIS2-richtlijn vallen zijn als volgt verdeeld:
- Sectoren bijlage 1 (hoog kritieke sectoren): energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten en ruimtevaart.
- Sectoren bijlage 2 (andere kritieke sectoren): digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging/manufacturing.
Daarnaast bepaalt de omvang van een organisatie of zij een essentiële of belangrijke entiteit is. Bij essentiële entiteiten wordt pro-actief toezicht gehouden op de richtlijn, terwijl bij belangrijke entiteiten alleen toezicht plaatsvindt wanneer er aanwijzingen zijn voor het niet naleven van de richtlijn of wanneer er een incident heeft plaatsgevonden. Dit komt omdat het uitvallen van een essentiële entiteit over het algemeen een zwaardere impact heeft op de economie en samenleving, dan de uitval van een belangrijke entiteit.
- Essentiële entiteit: een organisatie is een essentiële entiteit wanneer zij werkzaam is binnen een sector genoemd in bijlage 1 van de NIS2-richtlijn en wordt aangemerkt als groot (minimaal 250 werknemers OF een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro).
- Belangrijke entiteit: een organisatie is een belangrijke entiteit wanneer zij werkzaam is binnen een sector genoemd in bijlage 1 en wordt aangemerkt als middelgroot (minimaal 50 werknemers OF een jaaromzet en balanstotaal van meer dan 10 miljoen euro). Of wanneer de organisatie actief is in een sector uit bijlage 2 en wordt aangemerkt als groot of middelgroot.
In principe vallen micro- en kleinbedrijven niet onder de NIS2-richtlijn. Een uitzondering zijn de bedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische communicatienetwerken of -diensten. Deze bedrijven vallen wel direct onder de NIS2-richtlijn. Daarnaast kan een minister, verantwoordelijk voor een bepaalde sector, micro- en kleinbedrijven aanwijzen te voldoen aan de NIS2-richtlijn. Bijvoorbeeld als uit de risicobeoordeling blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.
Tot slot kan het ook voorkomen dat je niet direct aan de NIS2-richtlijn hoeft te voldoen, maar wel indirect. Wanneer een organisatie in de toeleveringsketen van een essentiële of belangrijke entiteit opereert, kunnen door deze entiteit beveiligingseisen worden gesteld.
Een organisatie die onder de NIS2-richtlijn valt heeft een zorgplicht. In de zorgplicht worden de volgende beveiligingsmaatregelen genoemd:
- Een risicoanalyse en beveiliging van informatiesystemen;
- (Beleid en procedures over) incidentenbehandeling;
- Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
- Beveiliging van de toeleveranciersketen;
- Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
- Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen;
- Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
- Beleid en procedures over het gebruik van cryptografie en encryptie;
- Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa;
- Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekst-communicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
Bestuurders krijgen expliciete verantwoordelijkheid voor toezicht op risicobeheersing en moeten aantoonbare kennis hebben van cyberrisico’s. Daarnaast geldt een opleidingsplicht.
In Nederland zal de Rijksinspectie Digitale Infrastructuur (RDI) toezichthouder worden op de volgende sectoren: energie, digitale infrastructuur, ruimtevaart, vervaardiging/manufacturing, digitale aanbieders, overheidsdiensten, post- en koeriersdiensten, onderzoek en beheer van ICT-diensten. Organisaties die actief zijn in de andere sectoren die onder de NIS2-richtlijn vallen krijgen toezicht van de betreffende sectorale toezichthouder. De Nederlandsche Bank houdt bijvoorbeeld toezicht op de financiële sector en de Inspectie Gezondheidszorg en Jeugd op de gezondheidszorg.
Het voldoen aan bestaande normenkaders voor informatiebeveiliging vormt een goede basis om invulling te geven aan de NIS2-richtlijn. Voor de sector overheidsinstanties biedt bijvoorbeeld de Baseline Informatiebeveiliging Overheid een goed uitgangspunt voor de invulling van de zorgplicht. Voor niet-overheidsorganisaties is het raadzaam voorlopig de ISO 27001 te volgen, tenzij een branche-toezichthouder anders aanbeveelt. Zo kunnen zorgorganisaties de NEN 7510 aanhouden en onderwijsinstellingen het SURF-normenkader. Het voldoen aan een ander normenkader voor informatiebeveiliging betekent overigens niet dat jouw organisatie voldoet aan de NIS2. Het werken volgens de bestaande standaarden is mogelijk niet voldoende.
Benieuwd hoe de maatregelen van NIS2 verschillen van andere normenkaders voor informatiebeveiliging? Lees dan ons driedelige blogserie:
NIS2 complianc: versterk jouw digitale weerbaarheid met Cuccibu
Met de ondersteuning van Cuccibu krijg je inzicht in de cyberveiligheid van jouw organisatie en werk je aantoonbaar toe naar NIS2 compliance. Van bestuurderstraining en GAP-analyse tot ondersteuning bij volledige implementatie. Zo ben én blijf je in control!
"*" geeft vereiste velden aan