De NIS2-richtlijn: wat betekent dit voor jouw organisatie?

Nieuwsbrief lokale economie - december 2025

De laatste jaren zien we in Europa een flinke stijging van het aantal cyberaanvallen en -incidenten. Met name phishing, malware en ransomware vormen een groot probleem. Cyberaanvallen kunnen een flinke impact hebben op samenlevingen, aangezien we zowel op zakelijk als persoonlijk vlak sterk afhankelijk zijn van een goed functionerende digitale infrastructuur. Nu we met z'n allen vooral digitaal werken, is cybersecurity een basisvoorwaarde in plaats van een optie.

Om de cybersecurity in heel Europa aan te scherpen, heeft het Europees Parlement gestemd voor de goedkeuring van de herziene Netwerk en Informatiesystemen Directive 2022/0383, beter bekend als 'NIS2'. NIS2 is bedoeld om de uitvoering van het bestaande cybersecuritykader van de EU uit te breiden, te versterken en te harmoniseren. Het vormt een belangrijk onderdeel van de cybersecuritystrategie van de EU en sluit aan bij de prioriteit van de Europese Commissie om Europa klaar te maken voor het digitale tijdperk.

De belangrijkste onderdelen van de NIS2

• Er zijn meer sectoren opgenomen in de nieuwe richtlijn, waarbij middelgrote en grote bedrijven in sommige sectoren verplicht worden om beveiligingsmaatregelen te nemen. Lidstaten kunnen ook kleinere bedrijven identificeren met een hoog risico.
• De NIS2 vraagt om meer aandacht voor de bestuursorganen van bedrijven die onder de richtlijn vallen, zodat ze verantwoordelijk kunnen worden gesteld als er iets misgaat.
• De richtlijn verscherpt de securityeisen voor bedrijven, met een aanpak voor risicobeheersing en de belangrijkste cybersecuritymaatregelen.
• De NIS2 maakt geen onderscheid meer tussen verschillende soorten diensten, maar classificeert organisaties op basis van hun belang en onderverdeelt ze in essentiële en belangrijke categorieën.
• Bedrijven moeten nu incidenten melden en er zijn strengere sancties voor bedrijven die zich niet aan de regels houden.
• Bedrijven moeten ook de beveiligingsrisico's in hun toeleveringsketens en leveranciersrelaties aanpakken.
• Nationale autoriteiten krijgen strengere toezichtsmaatregelen en er komt meer samenwerking tussen de lidstaten om de veiligheid te verbeteren.

Op wie is de NIS2 van toepassing?

De NIS2 geldt voor elke organisatie die in de EU actief is en belangrijke diensten aan consumenten levert. Dit geldt voor organisaties in verschillende sectoren, zoals internetproviders, energieleveranciers, drinkwaterbedrijven, afvalverwerkers, banken, vervoerders, zorginstellingen en fabrieken die voedsel of belangrijke huishoudelijke artikelen produceren. Er zijn echter uitzonderingen voor kleinere bedrijven die ook als belangrijk kunnen worden beschouwd, maar niet aan bepaalde omvangvereisten voldoen (zoals maximaal 10 miljoen euro aan jaarinkomsten en minder dan 50 personeelsleden). Ook kunnen sommige entiteiten expliciet door lidstaten worden uitgesloten van de NIS2.

Met de NIS2 kunnen organisaties worden aangemerkt als essentieel of belangrijk, waarbij dezelfde eisen voor cybersecuritymanagement en meldingsplicht gelden. Het belangrijkste verschil tussen de twee is de mate van toezicht op het naleven van de regels. Voor essentiële aanbieders, voornamelijk uit de vitale sectoren, moet het toezicht streng proactief zijn en duidelijk zichtbaar zijn in hun processen. Dit betekent dat toezichthouders controleren of deze organisaties de regels correct toepassen en naleven. Voor belangrijke aanbieders vindt het toezicht plaats achteraf, als er aanwijzingen zijn voor een cyberincident.

Wat is de impact van de nieuwe wetgeving?

Is jouw organisatie aangemerkt als essentieel? En voldoe je niet aan de eisen die de NIS2 stelt? Dan kun je te maken krijgen met boetes van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet. Personen met een relevante autoriteit of (management)rol op het gebied van cybersecurity kunnen persoonlijk verantwoordelijk worden gehouden voor het niet naleven van de regelgeving.

Belangrijke timings

• 18 april 2026: Deadline voor 'Essentiële' en 'belangrijke' entiteiten om hun cyberbeveiliging zelfevaluaties te laten verifiëren door een vertrouwde provider.
• 18 april 2027: Deadline voor essentiële entiteiten om volledige certificering te behalen.