Van NIS1 naar NIS2: dit zijn de zes belangrijkste veranderingen

1. Reikwijdte: van beperkt naar breed toepassingsgebied 

NIS1 

De oorspronkelijke richtlijn was van toepassing op een relatief beperkte groep: 

• aanbieders van essentiële diensten (zoals energie en transport).
• enkele digitale dienstverleners.

De selectie van organisaties verschilde bovendien per lidstaat. 

NIS2 

NIS2 breidt de reikwijdte aanzienlijk uit: 

• Meer sectoren vallen onder de wetgeving (zoals productie, afvalbeheer, digitale infrastructuur, voedselvoorziening).
• Er geldt een duidelijke omvangsgrens (≥50 medewerkers of ≥ €10 miljoen omzet).
• De aanpak is meer geharmoniseerd binnen de EU.  

Conclusie: veel meer organisaties vallen nu rechtstreeks onder de wetgeving - niet alleen traditionele vitale aanbieders. 

2. Strengere beveiligingsverplichtingen 

NIS1 

Onder NIS1 moesten organisaties “passende en evenredige” technische en organisatorische maatregelen nemen. De formulering was relatief open. 

NIS2 

De NIS2-richtlijn maakt een stuk duidelijker wat er wordt verwacht, onder meer: 

• risicomanagementmaatregelen.
• incidentrespons.
• continuïteitsbeheer.
• beveiliging van de toeleveringsketen.
• beleid en governance. 

De nadruk verschuift van losse maatregelen naar structurele beheersing en aantoonbaarheid. Cybersecurity moet integraal onderdeel worden van de bedrijfsvoering, niet alleen van IT. 

3. Bestuurlijke verantwoordelijkheid wordt expliciet 

NIS1 

De verantwoordelijkheid van het management was minder concreet vastgelegd. 

NIS2 

NIS2 legt expliciet (persoonlijke) verantwoordelijkheid bij bestuurders en directie: 

• zij moeten toezicht houden op cybersecuritymaatregelen
• zij moeten zich actief laten informeren.
• zij kunnen worden aangesproken bij nalatigheid. 

Door het nadrukkelijk benoemen van deze verantwoordelijk wordt cybersecurity geen puur operationeel onderwerp meer, maar een strategisch thema van de directie. 

4. Zwaardere sancties en handhaving 

NIS1 

Handhaving verschilde sterk per lidstaat en sancties waren beperkt op elkaar afgestemd. 

NIS2 

Onder NIS2: 

• krijgen toezichthouders ruimere bevoegdheden.
• kunnen hoge bestuurlijke boetes worden opgelegd.
• is toezicht actiever en consistenter binnen de EU. 

Voldoe je niet aan de NIS2-richtlijn vanaf het moment dat deze geldt? Dan zijn de juridische en financiële gevolgen groot. 

5. Meer aandacht voor ketenbeveiliging 

NIS1 

Beveiliging van leveranciers werd minder expliciet benoemd. 

NIS2 

De nieuwe richtlijn benadrukt: 

• risico’s in de toeleveringsketen.
• afhankelijkheden van externe IT- en cloudproviders.
• contractuele beveiligingseisen richting leveranciers. 

Wat betekent dit?

Met NIS2 ben je als organisaties ook medeverantwoordelijk voor de digitale weerbaarheid binnen de keten. 

6. Betere Europese samenwerking 

NIS2 versterkt de samenwerking tussen lidstaten via: 

• verbeterde informatie-uitwisseling.
• gezamenlijke aanpak bij grootschalige incidenten.
• meer uniforme toepassing van regels. 

Dit vergroot de consistentie binnen de Europese interne markt. 

Overzicht: de verschillen in één oogopslag 

Conclusie: NIS2 is een fundamentele aanscherping 

Waar NIS1 vooral een eerste stap was richting Europese cybersecuritywetgeving, is NIS2 duidelijk verder geprofessionaliseerd. De richtlijn vergroot de reikwijdte, verscherpt de eisen en legt meer verantwoordelijkheid bij het bestuur. 

Voor organisaties betekent dit dat je cybersecurity niet langer kunt zien als een IT-project, maar als een integraal onderdeel van risicomanagement en governance.