NIS2-richtlijn: wat betekent dit voor jouw organisatie?

Cyberaanvallen zijn allang niet meer alleen een probleem voor grote organisaties. Ook middelgrote bedrijven en leveranciers worden steeds vaker doelwit. Daarom heeft de Europese Unie de NIS2-richtlijn opgesteld. Deze wetgeving stelt hogere eisen aan cybersecurity en legt meer verantwoordelijkheid bij organisaties én hun bestuur.

Misschien valt jouw organisatie direct onder de NIS2-richtlijn. Maar ook als dat niet zo is, kun je er alsnog mee te maken krijgen. Steeds vaker vragen klanten, leveranciers en opdrachtgevers namelijk om aantoonbaar veilige IT-processen. Cybersecurity wordt daarmee niet alleen een wettelijke verplichting, maar ook een belangrijke voorwaarde om zaken te blijven doen.

Bij STH helpen we organisaties om hun IT-omgeving veilig, beheersbaar en toekomstbestendig in te richten. Niet alleen om aan wetgeving te voldoen, maar vooral om de continuïteit van jouw organisatie te beschermen.

Wat is de NIS2-richtlijn?

De NIS2-richtlijn (Network and Information Security 2) is de opvolger van de oorspronkelijke Europese NIS-richtlijn. Het doel is om de digitale weerbaarheid van Europa te vergroten door organisaties beter te beschermen tegen cyberincidenten.

In Nederland wordt de richtlijn omgezet in de Cyberbeveiligingswet. De verwachting is dat deze wet in werking treedt zodra de nationale implementatie is afgerond. Organisaties doen er verstandig aan nu al maatregelen te nemen. Wachten tot de wet definitief van kracht is, betekent vaak dat er onvoldoende tijd is om alles goed in te richten.

Waar de oorspronkelijke NIS-richtlijn vooral gericht was op een beperkt aantal vitale organisaties, geldt NIS2 voor aanzienlijk meer sectoren én wordt er nadrukkelijk gekeken naar de beveiliging van de hele toeleveringsketen.

Voor welke bedrijven geldt NIS2?

NIS2 is van toepassing op organisaties die actief zijn binnen essentiële en belangrijke sectoren. Denk onder andere aan:

  • Energie
  • Zorg
  • Transport en logistiek
  • Drinkwater
  • Digitale infrastructuur
  • IT- en cloudproviders
  • Productiebedrijven
  • Financiële instellingen
  • Overheidsorganisaties
  • Telecom

Daarnaast krijgen ook veel leveranciers met NIS2 te maken. Organisaties die onder de richtlijn vallen, zijn namelijk verplicht om kritisch te kijken naar de cybersecurity van hun leveranciers. Daardoor kunnen ook mkb-bedrijven die zelf niet onder de wet vallen toch gevraagd worden om aan te tonen dat hun beveiliging op orde is.

Valt jouw bedrijf onder NIS2?

Check direct of jouw organisatie onder de NIS2-richtlijn valt. Doe de zelfevaluatie via de speciale pagina van de Rijksoverheid.

Doe de zelf test

Waarom raakt NIS2 ook jouw organisatie?

Veel ondernemers denken dat NIS2 alleen geldt voor grote bedrijven. In de praktijk zien we iets anders.

Werk je voor een ziekenhuis, gemeente, productiebedrijf, zorginstelling of andere organisatie die onder NIS2 valt? Dan is de kans groot dat je vragen krijgt over jouw informatiebeveiliging.

Denk bijvoorbeeld aan:

  • beveiligingsmaatregelen die je hebt getroffen;
  • hoe je omgaat met back-ups;
  • welke leveranciers je gebruikt;
  • hoe incidenten worden afgehandeld;
  • of je voldoet aan een erkende beveiligingsnorm.

Steeds vaker wordt cybersecurity daarmee onderdeel van offertes, aanbestedingen en contracten.

Welke verplichtingen brengt NIS2 met zich mee?

NIS2 schrijft geen vaste checklist voor. Organisaties moeten passende maatregelen nemen die aansluiten bij hun risico’s. Wel zijn er een aantal duidelijke onderdelen die vrijwel iedere organisatie terugziet.

Risico’s in kaart brengen

Je moet inzicht hebben in de risico’s binnen jouw organisatie. Daarbij kijk je niet alleen naar je eigen systemen, maar ook naar leveranciers, cloudoplossingen en andere partijen waarvan je afhankelijk bent.

Passende beveiligings maatregelen nemen

Op basis van deze risicoanalyse moeten technische én organisatorische maatregelen worden genomen. Denk aan: multi-factor authenticatie (MFA); patch- en updatebeheer; back-up- en herstelprocedures; netwerkbeveiliging; toegangsbeheer; logging en monitoring; beveiligingsbeleid; bewustwording en training van medewerkers.

Incidenten melden

Organisaties die onder NIS2 vallen, krijgen een meldplicht. Ernstige cyberincidenten moeten snel worden gemeld bij de bevoegde toezichthouder. Daarna volgt een uitgebreidere rapportage. Ook interne procedures hiervoor moeten zijn vastgelegd.

Bestuur draagt verantwoordelijkheid

Een belangrijk verschil met de oude richtlijn is dat cybersecurity nadrukkelijk een verantwoordelijkheid van bestuur en directie wordt. Zij moeten kunnen aantonen dat zij passende maatregelen hebben genomen en voldoende toezicht houden op informatiebeveiliging.

Ketenzorgplicht: ook jouw leveranciers tellen mee

Eén van de grootste veranderingen binnen NIS2 is de ketenzorgplicht.

Dat betekent dat organisaties niet alleen verantwoordelijk zijn voor hun eigen beveiliging, maar ook voor de risico’s bij leveranciers en partners.

Een zwakke schakel binnen de keten kan immers leiden tot een incident bij meerdere organisaties. Daarom verwachten steeds meer bedrijven bewijs dat leveranciers veilig werken.

Wat gebeurt er als je niet voldoet?

Niet voldoen aan de NIS2-richtlijn kan verschillende gevolgen hebben.

Financieel kunnen organisaties hoge boetes opgelegd krijgen. Daarnaast kunnen toezichthouders maatregelen opleggen wanneer onvoldoende aan de wettelijke eisen wordt voldaan.

Maar voor veel organisaties zijn de indirecte gevolgen minstens zo groot:

  • verlies van klanten;
  • uitsluiting bij aanbestedingen;
  • reputatieschade;
  • hogere kans op succesvolle cyberaanvallen;
  • stilstand van bedrijfsprocessen.

Voorkomen is daarom vrijwel altijd goedkoper dan herstellen.

Hoe bereid je jouw organisatie voor?

Een goede voorbereiding begint met inzicht.

Breng eerst de huidige situatie in kaart. Welke systemen zijn kritisch? Welke beveiligingsmaatregelen zijn al aanwezig? Waar zitten nog risico’s?

Van daaruit kun je stap voor stap verbeteringen doorvoeren. Denk aan het opstellen van beleid, het verbeteren van technische beveiliging, het trainen van medewerkers en het vastleggen van procedures.

Voor veel mkb-organisaties is ook een certificering of erkend kwaliteitsniveau een goede manier om aantoonbaar te maken dat informatiebeveiliging serieus wordt genomen. Het NIS2 Quality Mark en de verschillende Supply Chain-niveaus (SC10, SC20 en SC30) bieden hiervoor een praktisch groeimodel.

Klaar om NIS2 serieus aan te pakken?

Of jouw organisatie nu rechtstreeks onder NIS2 valt of niet, digitale weerbaarheid wordt steeds belangrijker.

Wil je weten waar jouw organisatie staat of welke maatregelen verstandig zijn? Onze IT-adviseurs denken graag met je mee en helpen je om stap voor stap een veilige en toekomstbestendige IT-omgeving op te bouwen.

Contact opnemen

Veelgestelde vragen

Is NIS2 al verplicht?

De Europese richtlijn is vastgesteld. In Nederland wordt deze geïmplementeerd via de Cyberbeveiligingswet. Organisaties doen er verstandig aan nu al voorbereidingen te treffen, omdat de benodigde maatregelen vaak tijd kosten.

Ja. Sommige mkb-bedrijven vallen rechtstreeks onder de wet. Daarnaast krijgen veel mkb-bedrijven indirect met NIS2 te maken doordat klanten of opdrachtgevers eisen stellen aan hun cybersecurity.

Dat hangt af van de sector waarin je actief bent, de omvang van je organisatie en de rol die je speelt binnen de keten. Ook wanneer je niet rechtstreeks onder de wet valt, kan een opdrachtgever alsnog eisen stellen aan jouw informatiebeveiliging.

Nee. NIS2 kijkt naar de volledige organisatie. Naast technische beveiliging zijn ook beleid, processen, monitoring, back-ups, leveranciersbeheer, toegangsbeheer en bewustwording van medewerkers belangrijke onderdelen.

Samen kijken wat past bij jouw organisatie

Ben je benieuwd hoe slimme IT-oplossingen en persoonlijke ondersteuning jouw organisatie verder kunnen helpen?
Plan gerust een vrijblijvend gesprek in. Dan kijken we samen wat nodig is en wat werkt.

Neem contact op