Blog

Klanten kwijt door onvoldoende compliance aan de NIS2-richtlijn?

Sinds 17 oktober 2024 geldt de NIS2-richtlijn voor netwerk- en informatiebeveiliging in de Europese Unie. Vanaf het derde kwartaal van 2025 wordt deze richtlijn vertaald naar de Nederlandse wetgeving: de Cyberbeveiligingswet (Cbw/NIS2) en de Wet weerbaarheid kritieke entiteiten (Wwke/CER). Er is werk aan de winkel, want duizenden bedrijven dreigen klanten te verliezen door onvoldoende compliance aan deze belangrijke cyberrichtlijn. Wat houdt NIS2 in, wie valt eronder en hoe zorg je voor NIS2-compliance? Je leest het hier

Van NIS naar de nieuwe NIS2-richtlijn 

DDoS-aanvallen, ransomware en diefstal van belangrijke data: Europa wordt steeds vaker getroffen door cyberaanvallen. Deze cyberaanvallen worden ook gericht op maatschappelijk belangrijke instanties, zoals energiecentrales, ziekenhuizen en digitale infrastructuur. Om deze groeiende cyberdreiging in Europa te bestrijden, heeft de Europese Unie de NIS2-richtlijn opgesteld. Deze richtlijn verdiept de veiligheidsmaatregelen van de oude NIS-richtlijn en tilt de cyberbeveiliging van Europa naar een hoger niveau.  

NIS2: dit zijn de belangrijkste veranderingen 

De NIS2-richtlijn: 

  1. Richt zich op een breder aantal sectoren. Deze essentiële en belangrijke sectoren moeten zich zo snel mogelijk voorbereiden op de verplichtingen van deze nieuwe regelgeving. 
  2. Behandelt de complete toeleveringsketen. Organisaties die onder NIS2 vallen, moeten zorg dragen dat de diensten van hun zakenpartners de richtlijnen volgen. Ook als deze partners niet onder de richtlijn vallen. 
  3. Ziet strenger toe op het volgen van de maatregelen en stelt het bestuur van bedrijven aansprakelijk bij onvoldoende naleving.  

Wat zijn de NIS2-sectoren?  

De NIS2-richtlijn breidt de reikwijdte uit naar meer sectoren, door de richtlijn benoemd als ‘belangrijke’ en ‘essentiële’ sectoren. NIS2-sectoren zijn vooral aanbieders van essentiële en digitale diensten, zoals energie, transport, gezondheid, infrastructuur, maar bijvoorbeeld ook fabrikanten van digitale apparatuur. Valt jouw organisatie onder de Nederlandse NIS2-richtlijn? 

Deze sectoren vallen onder de NIS2-richtlijn  

Energie - levering, distributie, transmissie en verkoop van elektriciteit, gas, olie, verwarming/koeling, waterstof, exploitanten van EV-oplaadpunten 

          Essentieel 

Transport - via lucht, spoor, weg en water (inclusief rederijen en havenfaciliteiten) 

Essentieel 

Bankieren/financiën – krediet, handel, markt en infrastructuur 

Essentieel 

Gezondheid - zorgverleners, onderzoekslaboratoria, farmaceutica, productie van medische hulpmiddelen 

Essentieel 

Water - drinkwaterleveranciers en afvalwaterbeheerders 

Essentieel 

Digitale infrastructuur en IT-diensten - DNS, naamregisters, vertrouwensdiensten, datacenters, cloud computing, elektronische communicatiediensten, beheerde diensten en beheerde veiligheidsdiensten 

Essentieel 

Openbaar bestuur - (centraal, regio's + lokaal optioneel) 

Essentieel 

Space - exploitanten van infrastructuur op de grond 

Essentieel 

Post- en koeriersdiensten aanbieders 

Belangrijk 

Afvalbeheer 

Belangrijk 

Chemische producten - productie en distributie 

Belangrijk 

Voedsel - distributie en productie 

Belangrijk 

Fabrikanten -  medische/diagnostische apparaten, computers, elektronica, optica, machines, motorvoertuigen, aanhangwagens, opleggers, andere transportmiddelen 

Belangrijk 

Digitale aanbieders - online marktplaatsen, zoekmachines, sociale platforms 

Belangrijk 

Onderzoeksorganisaties 

Belangrijk 

Mijn organisatie valt onder de NIS2-richtlijn: waar moet ik aan voldoen? 

Valt jouw organisatie onder de NIS2-richtlijn of werk je samen met organisaties die onder de richtlijn vallen? Bereid je dan zo snel mogelijk voor op de verplichtingen van de nieuwe wetgeving. Zo is jouw organisatie weerbaar voor cyberaanvallen en riskeer je geen boetes en sancties. De verplichtingen van de NIS2-richtlijn worden samengevat in de volgende drie plichten: 

1. Registratieplicht 

Alle essentiële en belangrijke organisaties moeten zich verplicht registreren in het entiteiten register van het Nationaal Cyber Security Centrum (NSCS). 

2. Zorgplicht 

Organisaties moeten voldoen aan tien standaard veiligheidsmaatregelen en zijn verplicht een risicoanalyse uit te voeren. Daarmee breng je in kaart welke stappen jouw organisatie nog moet nemen om aan de verplichte veiligheidsmaatregelen te voldoen.  

3. Meldplicht 

Geregistreerde entiteiten moeten binnen 24 uur melding doen van ‘significante incidenten’ bij het Computer Security Incident Response Team (CSIRT). Dit zijn incidenten die een ernstige operationele verstoring veroorzaken of zorgen voor grote financiële verliezen van de organisatie. Organisaties zijn ook verplicht om deze incidenten naderhand te onderzoeken en te rapporteren.  

NIS2-compliance via ISO 27001-certificering  

De weg naar NIS2-compliance is voor elke organisatie verschillend. Waarschijnlijk loopt jouw organisatie ook op tegen specifieke uitdagingen rond informatiebeveiliging. Eén manier om je voor te bereiden op NIS2, is via ISO 27001-certificering. Veel procedures en processen die je doorloopt voor ISO 27001, zoals beveiligingsbeoordelingen, risicobeoordelingen en audits, zijn ook vereist voor NIS2. Een organisatie met een ISO 27001-certificaat hoeft dus nog maar enkele stappen te doorlopen voor NIS2-compliance! 

Hulp nodig bij de NIS2?

Heb je na het lezen van deze blog nog vragen over NIS2? Of wil je weten hoe jouw organisatie zich optimaal kan voorbereiden? Neem gerust contact met ons op. Wij ondersteunen je graag bij iedere stap!

Contact
Actueel

Onze nieuwste artikelen

Wat betekent de CO2-Prestatieladder 4.0 voor jou?

Lees verder

AKOR versterkt milieubeleid met ISO 14001-certificering

Lees verder

Due diligence en de CSRD

Lees verder

Persoonlijk

Innovatief

Pragmatisch

Vakkundig