Stuur een bericht naar security@secnova.nl

Stuur een bericht naar contact@secnova.nl

Vul uw e-mailadres in om het e-book direct te downloaden.

Wat is NIS2 en welke organisaties vallen onder de richtlijn?

De Europese NIS2-richtlijn (Network and Information Security Directive 2) is een nieuwe cybersecuritywet die organisaties verplicht hun digitale weerbaarheid aanzienlijk te verbeteren. De richtlijn vervangt de oorspronkelijke NIS-richtlijn uit 2016 en breidt de verplichtingen voor cybersecurity governance en risicobeheer aanzienlijk uit.

Voor veel organisaties betekent NIS2 dat cybersecurity niet langer alleen een technisch onderwerp is, maar een bestuurlijke verantwoordelijkheid.

Waarom NIS2 is ingevoerd

Cyberaanvallen op bedrijven, infrastructuur en overheden nemen wereldwijd toe. Ransomware, datalekken en supply-chain aanvallen kunnen grote economische schade veroorzaken en zelfs vitale infrastructuur ontwrichten.

De Europese Unie heeft daarom NIS2 ingevoerd om:

  • de cyberweerbaarheid van organisaties te vergroten
  • betere samenwerking tussen EU-lidstaten te creëren
  • strengere eisen te stellen aan cybersecurity governance
  • organisaties verantwoordelijk te maken voor hun cyberrisico's

NIS2 legt daarbij meer nadruk op risicomanagement, governance en accountability van bestuurders.

Welke organisaties vallen onder NIS2?

De NIS2-richtlijn geldt voor organisaties die actief zijn in sectoren die essentieel of belangrijk zijn voor de samenleving.

Voorbeelden van sectoren die onder NIS2 vallen zijn:

Essentiële sectoren

  • energie
  • transport
  • bankwezen
  • financiële marktinfrastructuur
  • gezondheidszorg
  • drinkwater
  • digitale infrastructuur

Belangrijke sectoren

  • digitale dienstverleners
  • cloudproviders
  • datacenters
  • managed service providers
  • ICT-dienstverleners
  • publieke administratie
  • productie van kritieke goederen

Over het algemeen vallen organisaties onder NIS2 wanneer zij minimaal 50 medewerkers hebben of een omzet hebben van meer dan €10 miljoen. In sommige sectoren kan de richtlijn ook gelden voor kleinere organisaties wanneer zij een belangrijke rol spelen in de supply chain.

Belangrijkste verplichtingen onder NIS2

Organisaties die onder NIS2 vallen moeten aantoonbaar maatregelen nemen om cyberrisico's te beheersen.

  • implementatie van cybersecurity risicomanagement
  • incident response procedures
  • meldplicht voor cyberincidenten
  • beveiliging van leveranciers en supply chain
  • governance en toezicht door bestuur

Bestuurders kunnen bovendien persoonlijk aansprakelijk worden gesteld wanneer zij nalaten adequate cybersecurity maatregelen te nemen.

NIS2 en cybersecurity governance

Een belangrijk element van NIS2 is dat cybersecurity niet alleen een IT-vraagstuk is, maar een onderdeel van organisatorische governance. Organisaties moeten onder andere duidelijke verantwoordelijkheden vastleggen, beleid en procedures ontwikkelen, cyberrisico's structureel monitoren en rapporteren aan het bestuur.

Veel organisaties kiezen daarom voor CISO as a Service of een Fractional CISO om deze governance professioneel te organiseren.

Hoe organisaties zich kunnen voorbereiden op NIS2

  1. NIS2 impactanalyse
  2. cybersecurity maturity assessment
  3. gap-analyse ten opzichte van regelgeving
  4. implementatie van security controls
  5. governance en rapportage

Door deze stappen te volgen kunnen organisaties hun cybersecurityprogramma verbeteren en aantoonbaar voldoen aan NIS2-verplichtingen.

Conclusie. De NIS2-richtlijn verandert de manier waarop organisaties met cybersecurity omgaan. Bedrijven moeten cyberrisico's structureel beheren en aantoonbaar voldoen aan strengere regelgeving. Organisaties die tijdig investeren in cybersecurity governance, risicomanagement en compliance zijn beter voorbereid op cyberdreigingen en regelgeving.

← Terug naar Insights