Wat is NIS2?

De NIS2-richtlijn (“Network and Information Security Directive 2”) is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016 en heeft als voornaamste doel het verhogen van het beveiligingsniveau van netwerk- en informatiesystemen bij vitale en essentiële organisaties. Waar de eerste NIS-richtlijn vooral gericht was op een beperkt aantal sectoren, worden met NIS2 meer sectoren en organisaties onder de reikwijdte van de richtlijn gebracht, en is er meer aandacht voor ketenbeveiliging, rapportageverplichtingen en bestuurlijke aansprakelijkheid.

In Nederland wordt de NIS2-richtlijn geïmplementeerd in de vorm van de Cyberbeveiligingswet (Cbw). Volgens de huidige regeringsplannen zal deze wet in het tweede kwartaal van 2026 in werking treden.

Impact op organisaties

De impact van NIS2 is groot. Veel van de vereiste cybersecurity maatregelen bestonden al, via bestaande wetgeving en sectorale richtlijnen. Het verschil is dat NIS2 deze eisen nu breder en strenger oplegt:

• Meer sectoren en organisaties vallen onder de wetgeving.
• Bestuurders dragen directe verantwoordelijkheid.
• Audits en toezicht worden intensiever.
• Boetes kunnen oplopen tot miljoenen euro’s.

Organisaties zullen hun procedures en systemen deels moeten herzien om te voldoen aan de nieuwe eisen. Dit betreft niet alleen technische maatregelen, zoals het toepassen van encryptie en monitoring, maar ook organisatorische stappen zoals het opstellen van incidentrespons plannen en het trainen van personeel.

Cybersecurity wordt niet langer gezien als een IT probleem, maar als een strategisch vraagstuk dat raakt aan alle lagen van de organisatie. Het bestuur moet de leiding nemen en zorgen dat cybersecurity structureel op de agenda staat.

NIS2 is van toepassing op uw organisatie indien deze:

• Actief is in een kritieke sector
• Volgens bepaalde criteria gekenmerkt wordt als ‘essentieel’ of ‘belangrijk’
• Een minimale grootte heeft qua personeel, jaaromzet of balans

Twijfelt u of NIS2 op u van toepassing is? U kan een NIS2 zelfevaluatie doen, bijvoorbeeld op: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/#step/4c49fd7a-6aec-45be-9d40-3f52a5c77c21

Wat kan Cyber Security Challengers doen voor uw organisatie

Indien u tot de conclusie komt – of een sterk vermoeden heeft – dat uw organisatie onder de NIS2-richtlijn valt, biedt Cyber Security Challengers een praktische, heldere aanpak om uw bedrijf of (semi-) overheidsorganisatie te ondersteunen bij het voorbereiden op, en het implementeren van de eisen die NIS2 stelt.

Cyber Security Challengers biedt een methodologie in 4 stappen, die we in nauwe samenwerking met uw organisatie kunnen uitvoeren. U bepaalt hierbij het samenwerkingsmodel. CSC kan support bieden bij specifieke stappen, of meer een regiefunctie invullen om deze stappen in te vullen.

1. Intake

• Wat is de huidige status van de organisatie ten aanzien van de eisen in de NIS2-richtlijn.
• Wat zijn de functies en rollen van alle medewerkers die onder deze richtlijn vallen, met hun taken en verantwoordelijkheden (high level).
• Wat is de strategie / toekomstvisie van de organisatie en de bestaande programma’s / roadmaps die hieraan gerelateerd zijn.
• Wat zijn momenteel de meest urgente cybersecurity risico’s en kwetsbaarheden (bijvoorbeeld naar aanleiding van een cybersecurity incident of resultaten van een kwetsbaarheidsonderzoek of penetratietest).

2. Evaluatie huidige status en “gap analyse” ten aanzien van de eisen van NIS2

• Huidige status ten opzichte van NIS2.
• Gap analyse. Indien er binnen uw organisatie reeds een ISO 27001 of vergelijkbaar compliance traject bestaat, kan dit in de gap analyse meegenomen worden.
• Breng in kaart welke aanvullingen qua kennis en/of opleiding vereist zijn voor de diverse medewerkers.
• Risico’s bij non-compliance op het moment dat de Cyberbeveiligingswet in werking treedt.

3. Uitwerken van een voorstel (high-level) voor een implementatie roadmap om te voldoen aan de NIS2-richtlijn

• Definiëren van prioriteiten.
• Stappenplan: scope, roadmap, tijdslijn, kennisopbouw en opleidingstrajecten.
• Change Management plan gericht op cultuurverandering indien nodig om aan de eisen van NIS2 te voldoen. Dit kan in aanvulling op bestaande of nieuwe awareness campagnes.
• Opzetten van een programma governance.

Bedenk dat NIS2 compliance niet de waterdichte garantie is tegen mogelijke cybersecurity gevaren zoals gegevensdiefstal, ransomware, enz. Ga uit van uw eigen cybersecurity prioriteiten en maak gebruik van NIS2 om u hierbij te helpen!

4. Implementatie van NIS2 compliance

• Begeleiden van de organisatie bij het implementeren van de benodigde stappen en het toezicht op het gehele proces.
• Organiseren van kennisopbouw en opleidingstrajecten.
• Voorbereiden op toekomstige NIS2 audits die na in werking treden van de Cyberbeveiligingswet kunnen of zullen volgen. Laat u niet verassen door een onverwachte aankondiging van een NIS2 audit.

Achtergrond van de richtlijn

De wereld is in de afgelopen decennia geconfronteerd met een explosieve toename van digitale diensten en innovatieve technologieën, zoals Cloud, AI, enz. Hoewel deze ontwikkelingen veel kansen bieden, brengen ze ook nieuwe risico’s met zich mee. Steeds vaker zijn overheden, bedrijven en kritieke infrastructuren doelwit van cyberaanvallen, variërend van ransomware tot geavanceerde spionagetechnieken.

De oorspronkelijke NIS-richtlijn was een belangrijke eerste stap om een gemeenschappelijk niveau van beveiliging te realiseren. Echter, de snelle evolutie van digitale dreigingen bleek te vragen om een herziening van deze regelgeving. Met NIS2 wordt de lat aanzienlijk hoger gelegd. Zo worden meer sectoren en organisaties onder de reikwijdte van de richtlijn gebracht, en is er meer aandacht voor ketenbeveiliging, rapportageverplichtingen en bestuurlijke aansprakelijkheid.

Toekomstperspectief

NIS2 geeft een stevige impuls aan de professionalisering van cybersecurity in Europa. De richtlijn is geen eindpunt, maar een vertrekpunt voor voortdurende verbetering. Naar verwachting zullen de eisen in de toekomst verder worden aangescherpt, mede door technologische ontwikkelingen en veranderende dreigingsbeelden.

Voor organisaties biedt NIS2 naast verplichtingen ook kansen. Investeren in cybersecurity levert niet alleen bescherming tegen aanvallen op, maar versterkt ook het vertrouwen van klanten en partners. Het is een kans om als organisatie te groeien en te innoveren, met digitale veiligheid als fundament.

Conclusie

Met de invoering van NIS2 zet de Europese Unie een grote stap richting een veiliger digitaal landschap. De richtlijn vraagt om meer bewustzijn, samenwerking en verantwoordelijkheid bij organisaties en hun bestuurders. Voor Nederlandse bedrijven betekent dit werk aan de winkel: een robuust cybersecuritybeleid wordt niet alleen wettelijk verplicht, maar is ook essentieel om de digitale uitdagingen van vandaag en morgen het hoofd te bieden. Wie nu investeert in cyberweerbaarheid, is klaar voor de toekomst.

Handige links

NIS2 zelfevaluatie: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

NIS2 Directive (EU): https://digital-strategy.ec.europa.eu/en/policies/nis2-directive

NCSC: https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/

NCTV: https://www.nctv.nl/onderwerpen/c/cer–en-nis2-richtlijnen/hoe-kan-uw-organisatie-zich-voorbereiden-op-de-cer–en-nis2-richtlijnen

Digital Trust Center: https://www.digitaltrustcenter.nl/nieuws/nieuw-cbw-nis2-control-framework-helpt-organisaties-cyberweerbaarheid-te-versterken

Wetsvoorstel Cyberbeveiligingswet: https://www.tweedekamer.nl/kamerstukken/wetsvoorstellen/detail?cfg=wetsvoorsteldetails&qry=wetsvoorstel%3A36764#wetgevingsproces