De NIS2-richtlijn verplicht bedrijven om cybersecurity structureel te organiseren op directieniveau. Dit betekent dat IT-beveiliging een kernverantwoordelijkheid van het management wordt.

Op welke bedrijven is NIS2 van toepassing?

NIS2 is van toepassing op bedrijven in kritieke sectoren, bedrijven met meer dan 50 medewerkers of een omzet van meer dan 10 miljoen euro. Ook kleinere bedrijven en leveranciers van NIS2-plichtige organisaties kunnen te maken krijgen met de richtlijn.

Wat zijn de belangrijkste verplichtingen onder NIS2?

De belangrijkste verplichtingen omvatten risicobeheer, meldplicht bij incidenten, verantwoordelijkheid van bestuurders en het voldoen aan sancties. Dit vereist onder meer een formele risicoanalyse en een incident response plan.

Welke sancties kunnen worden opgelegd bij niet-naleving van NIS2?

Toezichthouders kunnen audits uitvoeren en sancties opleggen. De boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet voor essentiële entiteiten, en 7 miljoen euro of 1,4% van de omzet voor belangrijke entiteiten.

Hoe kan mijn bedrijf zich voorbereiden op NIS2?

Begin met het invoeren van formele governance, het uitschrijven van securitybeleid, het screenen van leveranciers, het testen van incidentprocedures en het actief betrekken van de directie. Een gap-analyse kan helpen de verschillen in kaart te brengen.

Ga terug

NIS2: wat betekent dit concreet voor jouw onderneming?

Wat is NIS2?

De NIS2-richtlijn verplicht bedrijven om cybersecurity structureel te organiseren op directieniveau. IT-beveiliging wordt dus niet langer gezien als een technische bijzaak, maar als een kernverantwoordelijkheid van het management.

Bestuurders moeten actief toezicht houden, risico’s begrijpen en kunnen aantonen dat er passende maatregelen genomen zijn.

Wanneer is NIS2 voor jou van toepassing?

Je onderneming valt onder NIS2 wanneer:

Je actief bent in één van de volgende kritieke sectoren waar uitval directe maatschappelijke ontwrichting kan veroorzaken: energie, vervoer, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheidsdiensten, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemische industrie, voedselproductie en -distributie, productie van kritieke goederen, digitale platformdiensten of onderzoeksorganisaties.
Je meer dan 50 medewerkers hebt of
Je meer dan 10 miljoen euro omzet draait

Ook kleinere bedrijven kunnen onder NIS2 vallen wanneer ze een sleutelrol spelen binnen een kritieke keten.

Daarnaast kan je indirect verplichtingen krijgen wanneer je leverancier bent van een NIS2-plichtige organisatie. Klanten zullen dan strengere beveiligingsclausules opnemen in contracten.

Wat moet je concreet in orde brengen?

1. Risicobeheer

Je moet kunnen aantonen dat je cyberrisico’s systematisch beheerst.

Dat houdt onder meer in:

Formele risicoanalyse (jaarlijkse beoordeling van cyberrisico’s met impact, kans en actieplan)
Duidelijk cybersecuritybeleid (vastgelegd document met rollen, verantwoordelijkheden en beveiligingsregels)
Incident response plan (stappenplan met duidelijke rollen en meldprocedures bij cyberincidenten)
Back-up en herstelprocedures (automatische back-ups met periodieke hersteltests)
Toegangsbeheer met MFA (rolgebaseerde toegang en multi-factor authenticatie voor alle gebruikers)
Patch- en updatebeheer (gestructureerd proces om beveiligingsupdates tijdig te installeren)
Logging en monitoring (centrale registratie en opvolging van verdachte activiteiten)
Opleiding van medewerkers (regelmatige security awareness training en phishing-simulaties)
Evaluatie van leveranciers (screening en contractuele afspraken rond cybersecurity bij externe partners)

Je moet kunnen aantonen wat je doet, hoe je het doet en wie verantwoordelijk is, zodat processen op dezelfde manier opnieuw kunnen worden uitgevoerd en gecontroleerd.

2. Meldplicht bij incidenten

Bij een ernstig incident gelden vaste termijnen:

Binnen 24 uur: eerste waarschuwing
Binnen 72 uur: volledige melding
Binnen 1 maand: eindrapport

Daarvoor zijn vooraf vastgelegde procedures, rollen en communicatiestromen nodig.

3. Verantwoordelijkheid van bestuurders

De directie:

Houdt toezicht op cybersecurity
Volgt opleiding rond cyberrisico’s
Kan persoonlijk aansprakelijk gesteld worden bij zware nalatigheid

Cybersecurity komt daarvoor structureel op de agenda van het bestuur en maakt deel uit van de algemene bedrijfsstrategie en risicobeheersing.

4. Sancties

Toezichthouders kunnen audits uitvoeren en sancties opleggen.

Boetes kunnen oplopen tot:

10 miljoen euro of 2% van de wereldwijde omzet (essentiële entiteiten)
7 miljoen euro of 1,4% van de omzet (belangrijke entiteiten)

Wat betekent dit praktisch?

Voor veel ondernemingen betekent NIS2:

Formele governance invoeren (rollen, verantwoordelijkheden en rapporteringslijnen rond cybersecurity duidelijk vastleggen)
Securitybeleid uitschrijven (concrete richtlijnen en procedures documenteren voor beveiliging van systemen en data)
Leveranciers screenen (beoordelen van IT- en andere partners op hun beveiligingsmaatregelen en contractuele afspraken vastleggen)
Incidentprocedures testen (oefeningen en simulaties uitvoeren om te controleren of het responsplan werkt in de praktijk)
Directie actief betrekken (regelmatige rapportering aan het management en formeel toezicht op cyberrisico’s organiseren)

Een goede aanpak versterkt dus niet alleen de naleving van de regelgeving, maar verhoogt ook de weerbaarheid van je organisatie en het vertrouwen van klanten en partners.

Twijfel je of jouw onderneming onder NIS2 valt en waar de grootste risico’s zitten? Dan begin je best met een gerichte gap-analyse.

Een gap-analyse is een praktische doorlichting waarbij we vergelijken wat NIS2 verwacht met wat vandaag al aanwezig is in je organisatie. We brengen de verschillen in kaart en maken duidelijk waar de grootste risico’s en prioriteiten liggen.

Benieuwd hoe we dat aanpakken? Hier vind je meer info over onze security audit:
https://www.canyonclan.com/security-audit

Gerelateerde artikels

Wie kijkt er mee? Wat jouw bedrijf kan leren van AI-toezicht bij inlichtingendiensten

Lees het artikel

Waarom een AI-managementsysteem het nieuwe minimum wordt