NIS2: Cybersecurity wordt verplicht, voor veel meer organisaties dan je denkt 

NIS2 (Network and Information Security Directive 2) is een Europese richtlijn die de cybersecurity-eisen voor organisaties in kritieke sectoren fors aanscherpt. NIS2 vervangt de oude NIS-richtlijn uit 2016 en breidt de reikwijdte uit: waar onder NIS1 enkele honderden organisaties vielen, zijn dat onder NIS2 vele duizenden, alleen al in Nederland. 

In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet (Cbw). De wet legt verplichtingen op rond risicomanagement, incidentmeldingen, bestuurlijke verantwoordelijkheid en toezicht. Toezichthouders krijgen ruime bevoegdheden, inclusief boetes die kunnen oplopen tot tientallen miljoenen euro's. 

Plan een kennismaking
Twee mannen in zakelijke kleding praten.

Voor wie is NIS2 relevant?

Veel organisaties weten nog niet of ze onder NIS2 vallen. Vaak vallen ook leveranciers binnen de keten onder de eisen, ook al staan ze niet rechtstreeks in de wettekst genoemd. 

NIS2 maakt onderscheid tussen 'essentiële' en 'belangrijke' entiteiten. Beide moeten aan de eisen voldoen; alleen het toezichtsregime verschilt. De richtlijn raakt onder andere: 

  • Energie, water, transport, banken, financiële infrastructuur. 

  • Zorgaanbieders, productie en distributie van geneesmiddelen, medische hulpmiddelen. 

  • Digitale infrastructuur: cloudleveranciers, datacenters, DNS-aanbieders, contentplatforms. 

  • Postdiensten, afvalbeheer, productie en distributie van chemische stoffen, levensmiddelen. 

  • Onderzoeksorganisaties en bepaalde delen van de overheid. 

  • Productie van elektronica, voertuigen, machines en meer. 

Waar moet je aan voldoen?

NIS2 stelt eisen op tien thema's, waaronder: 

  • Risicoanalyse en informatiebeveiligingsbeleid. 

  • Incidentbehandeling en -meldingen (binnen 24 uur een vroege waarschuwing, binnen 72 uur een melding, binnen een maand een eindrapport). 

  • Bedrijfscontinuïteit en crisisbeheer. 

  • Toeleveringsketenbeveiliging: je bent verantwoordelijk voor de cybersecurity van je leveranciers. 

  • Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen. 

  • Beleid voor beoordeling van de doeltreffendheid van cybersecuritymaatregelen. 

  • Cybersecurity-hygiëne en awareness-training. 

  • Cryptografie en encryptie. 

  • Personeelsbeveiliging en toegangsbeheer. 

  • Multi-factor authenticatie en versleutelde communicatie. 


Een specifiek onderdeel van NIS2 is de bestuurdersaansprakelijkheid: directie en bestuur worden persoonlijk verantwoordelijk gehouden voor het toezicht op de implementatie van de maatregelen. 

Hoe helpt Rethink bij NIS2 compliance?

We helpen organisaties bepalen of ze onder NIS2 vallen, een gap-analyse uitvoeren tegen de eisen, en de noodzakelijke maatregelen implementeren. Een goede basis is vaak een ISO 27001-managementsysteem; dat dekt een groot deel van de NIS2-eisen. Voor wat NIS2-specifiek toevoegt (incidentmeldingen, keten, bestuurlijke verantwoordelijkheid) zorgen we voor concrete inrichting. 

Voor doorlopend beheer kan onze CISO de rol oppakken, inclusief de bestuurlijke rapportage die NIS2 vraagt. 

Meer over Advies & Begeleiding
Meer over CISO as a Service 
Let op: Rethink Security geeft geen juridisch advies. Voor specifieke juridische vraagstukken rond NIS2 / Cyberbeveiligingswet werken we samen met gespecialiseerde juristen.
Twee mannen hebben een gesprek op een kantoor. Ze zitten aan een tafel met laptops voor zich. Een van hen gebruikt een laptop met een scherm dat een zakelijke presentatie toont.

Veelgestelde vragen

  • De Cyberbeveiligingswet, de Nederlandse implementatie van NIS2, was bij vaststelling van deze tekst nog in behandeling. De Europese richtlijn had per oktober 2024 omgezet moeten zijn; de Nederlandse implementatie is later in werking getreden. Check de actuele status bij de Rijksoverheid of vraag het ons. 

  • Dat hangt af van je sector, je grootte en je activiteiten. Sommige sectoren vallen er sowieso onder; andere alleen als je een bepaalde omvang hebt. Een NIS2-scan brengt dat snel in kaart. Wij voeren die scans uit als onderdeel van onze advisering. 

  • Ja, in grote mate. Een goed werkend ISO 27001-managementsysteem dekt een aanzienlijk deel van de NIS2-eisen rond risicomanagement, beleid, beveiligingsmaatregelen en continu verbeteren. NIS2 voegt daar wel eisen aan toe, met name rond incidentmelding, keten en bestuurlijke verantwoordelijkheid. 

  • Ja, als je je zorgplicht niet naleeft. NIS2 legt de verantwoordelijkheid voor cybersecurity expliciet bij het bestuur. Heb je geen passende maatregelen getroffen, geen risicobeheersing ingericht, geen incidenten gemeld of geen zicht op je leveranciersketen? Dan kan de toezichthouder jou als bestuurder persoonlijk aanspreken. Op organisatieniveau lopen de boetes daarnaast op tot 10 miljoen euro of 2% van de wereldwijde omzet voor essentiële entiteiten, en tot 7 miljoen euro of 1,4% voor belangrijke entiteiten. 

Drie mensen in een gesprek in een kantoorruimte, twee mannen en een vrouw, met laptops en kopjes koffie op de tafel.

10+ Jaar
ervaring

Expertise

Menselijk &
pragmatisch

Geperfectioneerde aanpak

Bij 100+
organisaties

Bewezen succes

Klaar voor de NIS2?

In een eerste gesprek bepalen we samen of je onder NIS2 valt en wat de logische volgende stap is. Geen verkooppraatje, gewoon een open gesprek.  

Man in een blauw geruit pak en witte shirt die belt op een mobieltje, zittend achter een houten tafel met een open laptop, in een kantoorinterieur.
Man in een blauw geruit pak en witte shirt die belt op een mobieltje, zittend achter een houten tafel met een open laptop, in een kantoorinterieur.