Is NIS2 van toepassing op mijn organisatie?

NIS2 is van toepassing op essentiële en belangrijke entiteiten in 18 sectoren die in de EU actief zijn. Essentiële entiteiten omvatten operators in energie, transport, bankwezen, financiële marktinfrastructuur, gezondheid, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening, openbaar bestuur en ruimtevaart. Belangrijke entiteiten omvatten post- en koeriersdiensten, afvalbeheer, vervaardiging van kritieke producten, voeding, chemische stoffen en digitale diensten. Er gelden ook drempelwaarden: middelgrote bedrijven (50 of meer werknemers of meer dan €10 miljoen omzet) in gedekte sectoren vallen doorgaans onder de scope. We kunnen de toepasselijkheid bevestigen door uw sector, omvang en rol in de toeleveringsketen te beoordelen.

Wat vereist de NIS2-meldplicht in de praktijk?

NIS2 Artikel 23 vereist een drietrapsprocedure. Binnen 24 uur na bewustwording: een vroege waarschuwing aan uw nationaal CSIRT of bevoegde autoriteit ter bevestiging van het incident en of een cyberaanval wordt vermoed. Binnen 72 uur: een formele incidentmelding met ernstsschatting, getroffen systemen en verwacht aantal getroffen gebruikers. Binnen één maand: een eindrapport met grondoorzaak, genomen en geplande maatregelen en eventuele grensoverschrijdende implicaties. We helpen u de processen en documentatiestructuren opzetten om alle drie de deadlines te halen.

Is het management persoonlijk aansprakelijk onder NIS2?

Ja. NIS2 Artikel 20 houdt managementorganen direct verantwoordelijk voor cybersecuritycompliance. Bestuursleden moeten de cybersecuritymaatregelen van de organisatie goedkeuren en actief toezien op de implementatie. Bij ernstige overtredingen kunnen nationale autoriteiten specifieke personen tijdelijk verbieden managementfuncties uit te oefenen. Dit maakt NIS2-compliance een bestuursverplichting, niet alleen een IT-verantwoordelijkheid.

Welke autoriteit houdt toezicht op NIS2-naleving in België en Nederland?

In België is het Centre for Cybersecurity Belgium (CCB) de nationale bevoegde autoriteit voor de meeste sectoren onder NIS2. In Nederland coördineert het NCSC (Nationaal Cyber Security Centrum) het nationale toezicht, maar sectorspecifieke toezichthouders hebben ook bevoegdheid: bijvoorbeeld de DNB voor financiële instellingen en de RDI voor digitale infrastructuur. We houden bij welke autoriteit voor uw specifieke sector geldt en helpen u uw compliancedocumentatie dienovereenkomstig in te richten.

Hoe lang duurt het om NIS2-compliant te worden?

Voor de meeste organisaties duurt een eerste NIS2-gereedheidsproces tussen 4 en 12 weken, afhankelijk van uw huidige beveiligingsmaturiteit, de omvang van uw organisatie en de complexiteit van uw toeleveringsketen. Dit omvat gap-analyse, beleidsontwikkeling, implementatie van technische maatregelen en incident response planning. Organisaties die al over ISO 27001 of een vergelijkbaar kader beschikken gaan doorgaans sneller omdat de basisinfrastructuur al bestaat.

Compliance

NIS2 Compliance

NIS2 is de EU-richtlijn die essentiële en belangrijke organisaties in 18 sectoren verplicht om gestructureerde cybersecuritymaatregelen te implementeren, incidenten te melden binnen 72 uur en aan te tonen dat hun beveiliging in de praktijk werkt.

Navigeer de vernieuwde Europese cybersecurityrichtlijn met vertrouwen. We helpen u NIS2-compliant te worden en te blijven via praktische, risicogebaseerde beveiligingsmaatregelen.

NIS2 Snelle Compliancecheck Adviesdiensten

NIS2 Richtlijn Overzicht

ToepassingsgebiedEU-BREED

Sectoren

€10M

Max. Boete

Van toepassing op essentiële en belangrijke entiteiten in kritieke infrastructuursectoren

Kernvereisten van NIS2

Risicobeheer

Implementeer duidelijke en gestructureerde maatregelen om cyberrisico's in uw organisatie te identificeren, beoordelen en beheersen.

Incidentmelding

Meld significante beveiligingsincidenten bij de bevoegde autoriteiten binnen de vereiste termijn van 24 tot 72 uur.

Supply chain beveiliging

Identificeer en beheers cybersecurityrisico's geïntroduceerd door leveranciers, dienstverleners en partners.

Continue monitoring

Bewaak continu systemen en omgevingen om dreigingen en verdachte activiteiten tijdig te detecteren.

Toegangscontrole

Dwing sterke authenticatie af en beheer gebruikersaccounts, rollen en toegangsrechten correct.

Documentatie

Onderhoud duidelijke beleidslijnen, procedures en bewijs om compliance aan te tonen en audits te ondersteunen.

Management is persoonlijk aansprakelijk onder NIS2

NIS2 Artikel 20 is een van de meest ingrijpende wijzigingen ten opzichte van zijn voorganger. Cybersecurity is niet langer volledig delegeerbaar aan IT.

Management moet goedkeuren en toezien

Artikel 20 van NIS2 (Richtlijn EU 2022/2555) verplicht management om cybersecurity maatregelen goed te keuren en actief toe te zien op de implementatie ervan. Cybersecurity volledig delegeren aan IT zonder betrokkenheid op bestuursniveau voldoet niet langer aan de richtlijn.

Persoonlijke aansprakelijkheid voor bestuurders

Management kan persoonlijk aansprakelijk worden gesteld voor niet-naleving van NIS2-verplichtingen. Nationale toezichthoudende autoriteiten hebben de bevoegdheid om personen tijdelijk te verbieden management functies uit te oefenen bij ernstige overtredingen. Dit geldt voor directeuren en bestuursleden rechtstreeks.

Beveiligingstraining voor management is verplicht

Artikel 20 vereist ook dat leden van het management voldoende training ontvangen in cybersecurityrisicobeheer. De bedoeling is dat besturen weloverwogen beslissingen nemen over beveiligingsinvesteringen en prioriteiten op basis van werkelijk begrip, niet alleen hoog-over briefings.

Boetes en handhaving: Artikel 34

NIS2 Artikel 34 introduceert een tweelaagse boetestructuur gekoppeld aan uw entiteitsclassificatie. Beide drempels liggen aanzienlijk hoger dan NIS1.

Essentiële entiteiten

Bestuurlijke boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welke het hoogst is. Essentiële entiteiten zijn onderworpen aan proactief toezicht waaronder regelmatige audits, beveiligingsbeoordelingen en inspecties ter plaatse. Niet-naleving kan handhaving uitlokken vóór een incident plaatsvindt.

Belangrijke entiteiten

Bestuurlijke boetes tot €7 miljoen of 1,4% van de wereldwijde jaaromzet, afhankelijk van welke het hoogst is. Belangrijke entiteiten zijn onderworpen aan reactief toezicht: handhaving wordt getriggerd na een klacht of bewijs van niet-naleving, niet proactief.

Incidentmelding: drie deadlines, niet één

NIS2 Artikel 23 introduceert een gestructureerd drietraps meldingsproces. Elke fase heeft een ander doel en een ander publiek.

Binnen 24 uur: vroege waarschuwing

Zodra u zich bewust wordt van een significant incident, stuurt u een vroege waarschuwing naar uw nationaal CSIRT of bevoegde autoriteit. U bevestigt dat het incident plaatsvond, noteert of een cyberaanval wordt vermoed en meldt eventuele grensoverschrijdende impact. Het doel is autoriteiten in staat te stellen te helpen of beschermende maatregelen te nemen.

Binnen 72 uur: incidentmelding

Binnen 72 uur na bewustwording dient u een volledigere incidentmelding in. Dit omvat een eerste beoordeling van ernst, getroffen systemen of diensten en een schatting van het aantal getroffen gebruikers. Als uw eerste melding dit al bevatte, werkt u die bij.

Binnen 1 maand: eindrapport

Binnen één maand na de incidentmelding is een volledig rapport vereist. Dit moet een beschrijving van het incident, de grondoorzaak, de genomen en geplande maatregelen, en een beoordeling van grensoverschrijdende impact bevatten. Dit rapport bepaalt het regulatoire vervolg.

Hoe wij helpen

NIS2 gap-analyse en gereedheidsassessment

Beveiligingsbeleid ontwikkelen en documenteren

Technische maatregelen implementeren

Incident response planning

Supply chain risicobeoordeling

Rapportage voor management en bestuur

Penetratietesten RedSOC PTaaS Platform

Compleet

NIS2 complianceprogramma

4-12

Weken naar gereedheid

100%

Auditondersteuning

Veelgestelde vragen

Begin uw NIS2-compliance traject

Krijg een gap-analyse en roadmap naar compliance.

NIS2 Snelle Compliancecheck Neem Contact Op