NIS2

De NIS2-richtlijn is een nieuwe Europese wet die oorspronkelijk vanaf oktober 2024 van kracht zou worden, maar is uitgesteld tot het derde kwartaal van 2025. Deze richtlijn verplicht organisaties in essentiële én belangrijke sectoren om hun digitale weerbaarheid structureel te verbeteren. De impact is groot — ook voor bedrijven in het midden- en kleinbedrijf.

Wat is de NIS2-richtlijn?

De Cyberbeveiligingswet, officieel bekend als de Network and Information Security Directive (NIS2-richtlijn), is Europese wetgeving die is opgesteld om de digitale weerbaarheid binnen de EU te versterken. Het doel van deze richtlijn is om de cyberbeveiliging van essentiële en belangrijke diensten in Europa structureel te verbeteren.

NIS2 is een uitbreiding op de eerdere NIS-richtlijn en stelt strengere eisen aan een breder scala aan organisaties. Niet alleen overheden en grote infrastructuurbeheerders vallen eronder, maar ook bedrijven in sectoren zoals energie, gezondheidszorg, bouw, transport, digitale infrastructuur en andere essentiële diensten. Deze organisaties worden verplicht om passende technische en organisatorische maatregelen te nemen om hun systemen en gegevens te beschermen tegen cyberdreigingen.

Voor wie geldt de NIS2?

U valt mogelijk onder NIS2 als uw organisatie:

• Meer dan 50 medewerkers heeft
• Een jaaromzet of balanstotaal van meer dan €10 miljoen heeft
• Actief is in een sector die als essentieel of belangrijk is aangemerkt, zoals zorg, energie, financiën, transport, water, ICT of digitale dienstverlening

Let op: ook als kleinere organisatie kunt u onder NIS2 vallen, bijvoorbeeld als u toeleverancier bent van een grotere partij.

Wat vraagt NIS2 concreet van uw organisatie?

1. Regelmatige risicoanalyses en beveiligingsaudits

Uw organisatie moet periodiek onderzoeken waar kwetsbaarheden zitten en controleren of de beveiliging nog voldoet aan de laatste eisen.

2. Melding van ernstige cyberincidenten

Ernstige incidenten moeten binnen 24 uur worden gemeld bij het Nationaal Cyber Security Centrum (NCSC) of de toezichthouder.

3. Technische beveiligingsmaatregelen

NIS2 vereist dat uw IT-omgeving technisch goed is beveiligd. Dit gaat verder dan alleen een antivirusprogramma. Denk aan maatregelen die aanvallen voorkomen, detecteren én beperken. Bijvoorbeeld:

• Multi-factor authenticatie (MFA)
• Back-up- en herstelprocedures
• Monitoring en logging van netwerkverkeer
• Netwerksegmentatie
• Versleuteling van data
• Patchmanagement
• Endpoint security

4. Organisatorische maatregelen en bewustwording

Cybersecurity is niet alleen een IT-kwestie. Ook processen, beleid en gedrag van medewerkers spelen een cruciale rol. Deze maatregelen zorgen voor structuur, verantwoordelijkheid en bewustwording binnen uw organisatie. Bijvoorbeeld:

• Informatiebeveiligingsbeleid
• Medewerkerstraining en awareness
• Toegangsbeheer en rechtenstructuur
• Interne meldprocedures
• Leveranciersbeoordeling
• Aanstelling van security-verantwoordelijke

🔗 Let op: ook uw leveranciersketen moet aantoonbaar veilig zijn

Onder NIS2 bent u mede verantwoordelijk voor de digitale veiligheid van uw toeleveranciers. Zorg daarom voor duidelijke afspraken en toets hun beveiligingsniveau regelmatig.

Wat kunt u nu doen per maatregel?

1. Risicoanalyses en audits – begin klein, maar gestructureerd

Start met een eenvoudige risico-inventarisatie. Breng in kaart welke systemen u gebruikt, welke data gevoelig is en welke processen kritisch zijn. Gebruik bestaande formats zoals de gratis Cybersecurity Checklist voor het MKB om overzicht te krijgen en begin met een interne audit – bijvoorbeeld elk kwartaal.

2. Cyberincidenten melden – maak nu al een intern protocol

Ook zonder meldplicht is het verstandig om intern een procedure op te stellen voor het signaleren, registreren en opvolgen van incidenten. Wijs een verantwoordelijke aan en oefen het proces met een gesimuleerde aanval of phishingmailcampagne. Zo weet iedereen wat te doen bij een echt incident.

3. Technische maatregelen – breng basisbeveiliging op orde

Controleer of uw organisatie minimaal voldoet aan de basishygiëne op het gebied van IT-beveiliging. Denk aan:

• Multi-factor authenticatie (MFA) instellen op alle accounts
• Automatische updates inschakelen op alle apparaten
• Antivirus, firewall en Endpoint Detection & Response (EDR) op alle endpoints
• Gebruik maken van een professioneel e-mailfilter tegen phishing
• Regelmatige back-ups maken en herstel testen

Werk samen met uw cybersecurity-partner om te controleren of deze maatregelen correct zijn geïmplementeerd.

4. Organisatorische maatregelen – maak cybersecurity bespreekbaar

Veel incidenten beginnen bij menselijk handelen. Organiseer daarom minimaal één keer per jaar een bewustwordingssessie met uw team over cybersecurity. Stel een intern informatiebeveiligingsbeleid op (desnoods één A4) waarin staat wie waarvoor verantwoordelijk is. Begin klein, maar documenteer alles.

• Maak cybersecurity vast onderwerp van het MT-overleg
• Gebruik posters of e-learnings om awareness te vergroten
• Leg afspraken met leveranciers schriftelijk vast

Waarom nu starten belangrijk is

Hoewel NIS2 pas in Q3 2025 formeel van kracht wordt, is nú het moment om te beginnen. De implementatie kost tijd – zeker voor kleinere bedrijven met beperkte capaciteit. Door vandaag al te starten met overzicht, prioritering en actie, voorkomt u haastwerk en verhoogt u direct de weerbaarheid van uw organisatie.