Blog
schedule
25 okt 2023
person
Robin Vermeij

Updates & Tips: Bereid je voor op de NIS2-richtlijn

De datum voor de NIS2-richtlijn is vastgesteld op 17 oktober 2024. De EU-landen hebben tot dan om de richtlijn om te zetten in landelijke wet- en regelgeving. In andere woorden hebben organisaties dus ook tot dan om zich voor te bereiden. In deze blog zetten we graag de nieuwste updates en tips voor het voorbereiden op een rij.

Voor wie is NIS2? 

De NIS2-richtlijn, de nieuwe EU-wetgeving voor cyberbeveiliging, gaat in op 17 oktober 2024. De richtlijn is van toepassing op een breed scala aan organisaties, waaronder: 

  • Organisaties die kritieke diensten leveren, zoals energie, water en transport 
  • Organisaties die grote hoeveelheden persoonsgegevens verwerken 
  • Organisaties die online diensten leveren 


De organisaties worden opgedeeld in essentiële en belangrijke entiteiten. In ons eerdere blog ‘
De impact van de CER & IS2 richtlijn op jouw organisatie’ wordt uitgebreid toegelicht welke sectoren waaronder vallen. Zelfs als jouw organisatie niet voldoet aan de criteria van een essentiële of belangrijke entiteit, is het mogelijk dat je toch onder de richtlijn komt te vallen.  

Ook organisaties die onderdeel zijn van het kernproces van de toeleveringsketen van een essentiële of belangrijke organisatie, moeten voldoen aan de NIS2-richtlijn. Dit is om te voorkomen dat cyberaanvallen via ketenpartners een essentiële of belangrijke organisatie kunnen bereiken. 

Hoewel de NIS2-richtlijn zich voornamelijk richt op grote tot middelgrote organisaties, zijn er ook een aantal kleine en micro-ondernemingen die zich eraan zullen moeten houden. Dit zijn bedrijven die een belangrijke rol spelen in de infrastructuur van het internet en dus strategische doelwitten zijn voor cyberaanvallen. Verder kan een organisatie ook aangewezen worden door het ministerie van hun sector om aan de NIS2-richtlijn te voldoen, zelfs als ze niet aan de bovengenoemde criteria voldoen.  

Bij de eerste NIS-richtlijn werd er specifiek medegedeeld door het ministerie van de sector of een organisatie hieronder viel. Bij de NIS2-richtlijn zal dit, op de enkele uitzondering na, niet gebeuren. Het is daarom belangrijk vooraf duidelijk te hebben of je organisatie de richtlijn en bijpassende wet- en regelgeving zal moeten gaan volgen. Het is de eigen verantwoordelijkheid van de organisatie om aan de richtlijn te voldoen.  

Twijfel je of jouw bedrijf onder de nieuwe regelgeving valt? Via de NIS2 Zelfevaluatie NL van Rijksoverheid kun je controleren of de richtlijn op jouw bedrijf van toepassing is: NIS 2 Zelfevaluatie NL (regelhulpenvoorbedrijven.nl) 

Wat betekent NIS2 voor een organisatie? 

De NIS2-richtlijn stelt deze bedrijven verplicht om een aantal maatregelen te nemen om hun cyberbeveiliging te verbeteren. Deze maatregelen omvatten: 

  • Het implementeren van een risicobeheerproces 
  • Het opstellen van een plan voor incidentresponse 
  • Het delen van informatie over cyberbeveiligingsincidenten 


Organisaties die niet voldoen aan de NIS2-richtlijn, kunnen hoge boetes krijgen. Deze boetes kunnen in ernstige gevallen minimaal 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële organisaties en minimaal 7 miljoen euro of 1,4% van de wereldwijde omzet voor belangrijke organisaties omvatten. 
 

De overgang van NIS naar NIS2 heeft ook belangrijke gevolgen voor bestuurders. Zij zijn nu persoonlijk aansprakelijk voor alle schade die wordt veroorzaakt door een cyberincident als gevolg van een schending van de NIS2-richtlijn. Het is de taak van bestuurders om de maatregelen in hun organisatie door te voeren. 

Een verschil met de eerste NIS-richtlijn zijn proactieve controles. Essentiële organisaties moeten zich voorbereiden op proactieve controles, waarbij gecheckt zal worden of zij voldoen aan de richtlijn. Belangrijke organisaties zullen gecontroleerd worden als hier een duidelijke aanleiding voor is, zoals na een ernstig cyberincident.  

De organisaties onder de NIS2-richtlijn kunnen op verschillende vlakken ondersteuning verwachten vanuit de overheid. De richtlijn schrijft voor dat de EU-lidstaten organisaties advies en ondersteuning van een Computer Security Incident Response Team (CSIRT) moet bieden. Verder kan dit ook bestaan uit informatie-uitwisseling en richtlijnen.  

Mijn Cyberweerbare Zaak 

Het Digital Trust Center is een initiatief van het ministerie van Economische Zaken en Klimaat. Het is opgeroepen om Nederlandse bedrijven doormiddel van advies en tools te helpen met veilig digitaal ondernemen. Het Digital Trust Center heeft een tool om uit te vinden waar jouw organisatie staat op het vlak van cybersecurity, de Cyberveilig Check. Hier kan je makkelijk uitzoeken wat actiepunten voor jouw organisatie zijn. Het Digital Trust Center heeft ook de subsidieregeling ‘’Mijn Cyberweerbare Zaak’’ gecreëerd om kleine en micro-ondernemingen te ondersteunen bij het verbeteren van hun online veiligheid. Je kan tot 1 november (of tot het maximale bedrag verdeeld is) je aanmelden voor deze subsidie via: Subsidieregeling voor kleine bedrijven | Digital Trust Center (Min. van EZK)

Internetconsultatie  

Eind 2023 of begin 2024 wordt er een internetconsultatie gestart omtrent de NIS2-regelgeving. Organisaties krijgen de kans om te reageren op concept wetteksten, zodat meningen en ideeën nog meegenomen kunnen worden voor de wetgeving definitief geformuleerd wordt. Dit is ook een goede kans voor organisaties om meer inzicht te krijgen over de uiteindelijke regelgeving waar zij aan moeten gaan voldoen. De exacte datum van de internetconsultatie moet nog door Rijksoverheid aangekondigd worden, waarbij ook meer informatie en voorbereidingen bekend gemaakt zullen worden. Zodra de datum bekend is zal de internetconsultatie verlopen via: Overheid.nl | Consultatie, open consultaties (internetconsultatie.nl) 

Wat kan je nu al doen? 

De NIS2-richtlijn is een belangrijke ontwikkeling op het gebied van cyberbeveiliging. Om aan de richtlijn te voldoen, is het belangrijk om nu al te beginnen met de voorbereiding. Vooral omdat organisaties automatisch geregistreerd worden onder de NIS2-richtlijn, en niet meer expliciet aangewezen worden door een ministerie zoals bij de eerste NIS-richtlijn.  

Risicoanalyse  

Het is handig om te beginnen met het inventariseren en beoordelen van de bestaande risico’s. Dit helpt om inzicht te krijgen in de kwetsbaarheden van de organisatie en passende maatregelen te nemen. Een risicoanalyse bestaat uit drie stappen:  

Stap 1: Identificeer je risico’s  

Een risicoanalyse begint met het identificeren van alle risico’s in de organisatie. Houdt hier rekening met zowel interne als externe factoren, zoals de kans op een datalek maar ook mogelijke problemen bij een leverancier. Betrek medewerkers van verschillende afdelingen voor een compleet beeld.  

Stap 2: Evalueer je risico’s  

De tweede stap is het evalueren van de waarschijnlijkheid en de impact van elk risico. Dit kan op basis van twee factoren: 

  1. De kans dat het risico zich voordoet; 
  2. De impact van het risico als het zich voordoet. 

Stap 3: Beheer je risico’s 

De derde stap is het beheer van de risico’s. Maak een actieplan om de maatregelen en hulpmiddelen van de risico’s te beheersen. Denk hierbij aan organisatorische, technische en menselijke maatregelen. Een voorbeeld van een organisatorische maatregel is het instellen van sterke wachtwoorden en dubbele authenticatie. Technische maatregelen hebben betrekking tot de beveiligingen van IT-systemen en de infrastructuur. Menselijke maatregelen zijn bijvoorbeeld trainingen van medewerkers.  

Voorkomen is beter dan verhelpen, maar bereid je ook voor op wat er moet gebeuren als een risico zich toch voordoet. Het kan helpen om scenario’s uit te werken zodat duidelijk wordt welke stappen genomen moeten worden en wie waarvoor verantwoordelijk is.  

Andere mogelijkheden 

Andere stappen die nu al gezet kunnen worden zijn: 

  • Budgetteren voor de mogelijke maatregelen die genomen moeten worden; 
  • Inventariseren welke netwerk- en informatiesystemen allemaal gebruikt worden; 
  • Het verhogen van de cyberbewustwording bij personeel, bijvoorbeeld door een workshop over phishing of tips delen voor cybersecure gedrag. 

INBISCO helpt met de voorbereiding 

Een gedegen Information Security systeem helpt jou om aan de richtlijn te voldoen. Het ISMS van INBISCO kan helpen met risico’s in kaart te brengen, maatregelen implementeren en compliance te borgen.  

Klanten van INBISCO gebruiken het ISMS onder anderen voor: 

  • Bescherming van informatie; 
  • Naleving regelgeving; 
  • Risicobeheer; 
  • Verbeteren bedrijfsreputatie; 
  • Continuïteit bedrijfsvoering; 
  • Efficiëntie. 

In het ISMS worden werkwijzen en processen in combinatie met relevante documenten vastgelegd. De volgende stap is om deze werkwijze vervolgens te managen. Dit gaat doormiddel van het verzamelen van data over de mogelijke aanwezige gevaren en de consequenties hiervan. De geregistreerde data kan vervolgens omgezet worden in acties die toegewezen en uitgevoerd worden door medewerkers. De data kan ook omgezet worden in rapportages en grafieken zodat deze eenvoudig beoordeeld en geanalyseerd kunnen worden.  

Wil je weten hoe INBISCO jou kan helpen om aan de NIS2-richtlijn te voldoen? Vraag dan een vrijblijvend één-op-één gesprek aan met onze Security Officer, Maureen de Raad. In een halfuur tijd kan zij jou helpen om de beste stappen voor jouw organisatie te identificeren op het gebied van cybersecurity en het voorbereiden op de richtlijn.