De NIS2‑richtlijn is een Europese cybersecurityrichtlijn die is ontworpen om de digitale weerbaarheid van essentiële en belangrijke diensten in de EU aanzienlijk te versterken. Deze richtlijn bouwt voort op de eerdere NIS‑richtlijn en breidt het toepassingsgebied uit naar meer sectoren en organisaties die van cruciaal belang zijn voor de maatschappij en economie.
Het doel van NIS2 is om gemeenschappelijke cyberbeveiligingsnormen vast te stellen, risico’s te beperken en incidenten op tijd te melden. Dit zorgt voor meer bescherming tegen cyberdreigingen én een hogere continuïteit van diensten.
NIS2 is onderverdeeld in twee belangrijke categorieën: essentiële sectoren en belangrijke sectoren, beide met specifieke eisen voor cybersecurity en compliance.
Essentiële sectoren zijn die sectoren waarvan de diensten cruciaal zijn voor de samenleving en de economie. Ontbreekt de continuïteit hiervan, dan kan dat grote maatschappelijke gevolgen hebben. Belangrijke sectoren leveren waardevolle diensten die essentieel zijn voor economie en maatschappij, maar niet hetzelfde kritieke niveau hebben als de essentiële sectoren.
Of jouw organisatie daadwerkelijk onder de NIS2‑richtlijn (via de Cyberbeveiligingswet) valt, hangt niet alleen af van de sector waarin je actief bent, maar ook van de omvang van jouw organisatie. Het herkennen van deze omvangscriteria is essentieel om te weten of je verplichtingen uit de richtlijn op jou van toepassing zijn.
Organisaties worden daarom aangeraden eerst te controleren:
Of je actief bent in een sector die onder de richtlijn valt.
Of je organisatie voldoet aan de omvangscriteria om te kwalificeren als een essentiële of belangrijke entiteit.
Deze omvangscriteria kijken onder andere naar:
Aantal medewerkers
Jaaromzet
Balanstotaal
Pas als jouw organisatie aan deze criteria voldoet, moet je voldoen aan de verplichtingen uit de NIS2‑richtlijn. Dit wordt ook wel de “size cap” genoemd.
Vooral voor middelgrote en grote bedrijven is dit relevant, omdat zij sneller als belangrijke of essentiële entiteit worden gezien. Maar ook kleine organisaties kunnen onder de richtlijn vallen als zij diensten leveren die cruciaal zijn voor een keten of sector die onder NIS2 valt.
Voor bedrijven betekent NIS2 dat zij moeten investeren in cybersecurity‑maatregelen en een proactieve houding moeten aannemen. De belangrijkste gevolgen zijn:
Verhoogde cybersecurity‑eisen
Organisaties moeten een adequaat risicobeheer instellen om digitale dreigingen te identificeren en te mitigeren.
Incidentmelding binnen 24 uur
Significante cyberincidenten moeten binnen een korte termijn gemeld worden aan de bevoegde autoriteiten.
Monitoring en toezicht
Essentiële entiteiten krijgen proactief toezicht, terwijl belangrijke entiteiten reactiever toezicht kunnen ontvangen.
Bereid je organisatie voor met onze NIS2‑checklist
ontdek wat je moet vastleggen, waar je bewijs van moet hebben en hoe je risico’s verkleint.
De NIS2‑richtlijn stelt strenge eisen aan organisaties in uiteenlopende sectoren die essentieel of belangrijk zijn voor de Europese samenleving. Door je te richten op risicobeheer, incidentmelding en governance kan jouw organisatie niet alleen voldoen aan wet‑ en regelgeving, maar ook haar cybersecurity‑weerbaarheid vergroten.
Tip: Gebruik de NIS2 Zelfevaluatie‑tool om stap voor stap te bepalen of jouw organisatie onder de Cyberbeveiligingswet/NIS2 valt.
Vragen? Bel gerust naar 0348 796 146
