De NIS2-richtlijn is een veelbesproken verandering binnen de wereld van cybersecurity. Met de toenemende afhankelijkheid van digitale systemen en de groeiende dreiging van cyberaanvallen heeft de Europese Unie deze richtlijn ingevoerd om de digitale weerbaarheid van lidstaten te versterken. In Nederland wordt NIS2 vertaald naar de Cyberbeveiligingswet, die organisaties verplicht tot strengere beveiligingsmaatregelen en een proactieve aanpak van cyberrisico’s. Vanaf 17 oktober 2024 trad de NIS2-richtlijn in werking, maar de Nederlandse wetgeving volgt pas in Q3 van 2025. Het niet voldoen aan deze richtlijn kan resulteren in zware sancties. Wat betekent dit voor jouw organisatie?
Wat is NIS2?
De Cyberbeveiligingswet/NIS2 vervangt de Wet beveiliging netwerk- en informatiesystemen (Wbni) en brengt strengere regels voor digitale weerbaarheid. Dit geldt voor organisaties in kritieke sectoren zoals energie, transport, financiën, zorg en ICT-dienstverleners.
De wet introduceert onder andere:
✔️ Zorgplicht: Organisaties moeten hun cyberrisico’s analyseren en passende beveiligingsmaatregelen treffen.
✔️ Meldplicht: Significante cyberincidenten moeten binnen 24-72 uur worden gemeld aan het Computer Security Incident Response Team (CSIRT).
✔️ Registratieplicht: Organisaties moeten zich registreren in een nationaal register.
✔️ Toezicht en sancties: Niet-naleving kan leiden tot boetes of zelfs persoonlijke aansprakelijkheid voor bestuurders.
Valt jouw organisatie onder de Cyberbeveiligingswet?
De wet is van toepassing op essentiële entiteiten, zoals grote organisaties in sectoren zoals energie, drinkwater, zorg en overheid. Daarnaast geldt de wet voor belangrijke entiteiten, waaronder middelgrote en grote organisaties in sectoren zoals digitale aanbieders, afvalbeheer en de chemische industrie. Tot slot is de wet van toepassing op specifieke dienstverleners van kritieke digitale infrastructuur, zoals domeinnaamregistratiebedrijven.
Niet zeker of jouw organisatie onder de wet valt? Doe de zelfevaluatie via:
Hoe bereid je je voor?
● Uitvoeren van een risicoanalyse en het beveiligen van informatiesystemen
● Beheer van personeel, toegangsrechten en bedrijfsmiddelen met aandacht voor beveiliging en
● Implementeren van maatregelen voor bedrijfscontinuïteit, zoals back-ups en noodplannen
● Effectieve aanpak en afhandeling van beveiligingsincidenten
● Beveiliging tijdens de verwerking, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, inclusief het melden en aanpakken van kwetsbaarheden
● Versterken van de beveiliging binnen de toeleveringsketen
● Opstellen en naleven van beleid rondom cryptografie en encryptie
● Toepassen van multifactorauthenticatie en het beveiligen van spraak-, video- en tekstcommunicatie, evenals noodcommunicatiesystemen
● Beleid en procedures ontwikkelen om de effectiviteit van cyberbeveiligingsmaatregelen te evalueren en verbeteren
Wat als de wet nog niet in werking is?
Hoewel de wet pas in het derde kwartaal van 2025 officieel van kracht wordt, kunnen organisaties zich nu al voorbereiden. Zo kunnen ze zich vrijwillig registreren bij het NCSC om vroegtijdige waarschuwingen en updates over cyberdreigingen te ontvangen. Daarnaast is het mogelijk om cyberincidenten te melden, al is dit in deze periode nog niet verplicht. Ook kunnen organisaties nu al ondersteuning krijgen van het CSIRT bij het voorkomen en bestrijden van cyberdreigingen, zodat ze goed voorbereid zijn op de nieuwe regelgeving.
Conclusie
De Cyberbeveiligingswet (NIS2) stelt organisaties verplicht om strengere beveiligingsmaatregelen te nemen en cyberrisico’s actief te beheren. Organisaties moeten hun cyberrisico’s analyseren en passende maatregelen treffen om deze te beheersen. Daarnaast geldt een meldplicht: significante cyberincidenten moeten binnen 24-72 uur worden gemeld aan het Computer Security Incident Response Team (CSIRT). Organisaties moeten zich ook registreren in een nationaal register, zodat ze zichtbaar en traceerbaar zijn. Niet-naleving van deze verplichtingen kan leiden tot zware boetes of zelfs persoonlijke aansprakelijkheid voor bestuurders.
Het is van cruciaal belang om nu al te beginnen met de voorbereidingen om compliant te zijn en je organisatie te beschermen tegen toekomstige cyberdreigingen.
🔗 Meer weten? Bezoek NCSC voor updates en richtlijnen.