Cyberbeveiligingswet (NIS2)

GS ICT | Wat is NIS2? | Voor wie is NIS2? | Verplichtingen onder NIS2 | Conclusie
GS ICT | Wat is NIS2? | Voor wie is NIS2? | Verplichtingen onder NIS2 | Conclusie

Wat is NIS2?

NIS2 is de opvolger van de oorspronkelijke NIS-richtlijn (Network and Information Security) en heeft als doel om de digitale weerbaarheid van organisaties binnen de Europese Unie te vergroten. De richtlijn stelt strengere en uitgebreidere eisen aan de beveiliging van netwerk- en informatiesystemen dan haar voorganger.

De nieuwe wetgeving zal naar verwachting in het tweede kwartaal van 2026 van kracht worden. NIS2 brengt een aantal verplichtingen met zich mee voor organisaties die onder deze wetgeving vallen. In dit artikel hebben wij de vaak onduidelijke “overheidstaal” vertaald naar helder Nederlands en praktische acties, zodat duidelijk wordt wat er concreet van jouw organisatie wordt verwacht en hoe je je hierop kunt voorbereiden.

Wil je zeker weten dat jouw bedrijf volledig voorbereid is op NIS2? Neem vandaag nog contact op met GS ICT. Wij helpen je met advies, implementatie en praktische oplossingen zodat je zonder zorgen voldoet aan de nieuwe wetgeving.

Stijn achter zijn werkplek - zakelijk internet

Voor wie is NIS2?

NIS2 is van toepassing op organisaties die een belangrijke rol spelen in de maatschappij en economie en waarvan een cyberincident grote gevolgen kan hebben. Of jouw organisatie onder NIS2 valt, hangt af van de sector waarin je actief bent en de omvang van je organisatie.

Een organisatie die actief is in één van de onderstaande sectoren en die in haar laatste twee boekjaren meer dan 50 medewerkers had of een jaaromzet van meer dan €10 miljoen realiseerde, moet voldoen aan de voorschriften van NIS2.

Essentiële en belangrijke entiteiten

NIS2 maakt onderscheid tussen twee categorieën:

  • Essentiële sectoren: organisaties die cruciaal zijn voor het functioneren van de samenleving. Op deze sectoren wordt proactief toezicht uitgeoefend.
  • Belangrijke sectoren: organisaties die een grote economische of maatschappelijke rol spelen. Hier wordt reactief toezicht gehouden, vaak na incidenten of signalen van tekortkomingen.

Hieronder zie je een overzicht van de essentiële- en belangrijke entiteiten:

Lijst met belangrijke en essentiële entiteiten

Uitzonderingen

Naast de essentiële en belangrijke sectoren zijn er organisaties die altijd onder NIS2 vallen, ongeacht hun omvang. Dit zijn onder andere:

  • Aanbieders van openbare elektronische communicatienetwerken.
  • Aanbieders van openbare elektronische communicatiediensten.
  • (Gekwalificeerde) verleners van vertrouwensdiensten.
  • Aanbieders van registers voor topleveldomeinnamen.
  • DNS-dienstverleners.
  • Verleners van domeinnaamregistratiediensten.
  • Overheidsorganisaties.

Deze organisaties moeten altijd voldoen aan de verplichtingen van de Cyberbeveiligingswet, ongeacht het aantal medewerkers of de jaaromzet.

Als jouw bedrijf onder één van deze entiteiten (of uitzonderingen) valt, dan zal je onder de NIS2-wetgeving vallen.
Lees hieronder verder om te zien wat dit precies voor jouw organisatie betekent.

Guido en Stijn bij het koffiezetapparaat

Verplichtingen voor bedrijven onder NIS2

Valt jouw organisatie onder de NIS2-wetgeving? Dan krijg je te maken met een aantal wettelijke verplichtingen op het gebied van cybersecurity. Deze verplichtingen zijn bedoeld om organisaties beter te beschermen tegen digitale incidenten en om de impact ervan te beperken.

Onder NIS2 gelden vier hoofdverplichtingen:

  1. Zorgplicht – je beveiliging op orde hebben
  2. Meldplicht – cyberincidenten snel melden
  3. Registratieplicht – aanmelden bij het NCSC
  4. Toezicht – controle op naleving

1. Zorgplicht

De NIS2-wetgeving schrijft voor dát organisaties hun digitale beveiliging op orde moeten hebben, maar geeft niet exact aan welke maatregelen je moet nemen. De wet werkt risicogebaseerd: je bent verplicht om je risico’s te kennen en hier passende beveiligingsmaatregelen tegenover te zetten.

Wat “passend” is, verschilt per organisatie. Daarom vertalen wij deze zorgplichten als ICT-specialist naar concrete en praktische maatregelen die in de praktijk werken. Hiermee helpen wij organisaties zich goed voor te bereiden op NIS2.

Wat vraagt de wet?
  • Voer een risicoanalyse uit.
  • Breng kritieke systemen en data in kaart.
  • Neem beveiligingsmaatregelen die passen bij jouw risico’s.
  • Actualiseer dit bij veranderingen in de organisatie.
Wat betekent dit concreet?

Volgens ons begint dit met een sterke basis:

  • Maak een volledig overzicht van: servers, laptops, netwerkapparatuur, telefoons en software.
  • Inventariseer: versienummers, end-of-life, garanties, licenties, gebruikers en actualiseer deze minstenst elke 6 maanden.
  • Zorg voor een noodplan en bellijst.
Technische beveiliging
  • Installeer updates tijdig en gestructureerd.
  • Gebruik een firewall en antivirus.
  • Beveilig mobiele en slimme apparaten.
  • Versleutel data (bijv. BitLocker).
Toegangsbeveiliging
  • Gebruik sterke en unieke wachtwoorden.
  • Schakel MFA / 2FA in.
  • Werk met persoonsgebonden accounts.
  • Gebruik en onderhoud een rechtenmatrix.
  • Vergrendel werkplekken en systemen automatisch.

2. Meldplicht

De meldplicht verplicht organisaties om ernstige cyberincidenten snel te melden.

Wat vraagt de wet?
  • Meld significante incidenten binnen 24 uur bij het CSIRT en de toezichthouder.
    Zie het document doorverwijsboom.
Wat betekent dit concreet?
  • Definieer wat binnen jouw organisatie een meldplichtig incident is.
  • Leg vast: wie de incidenten beoordeelt, deze meldt en wie contact heeft met externe partijen.
  • Zorg dat incidenten herkend en geregistreerd worden.
Ons advies:
  • Stel een incident-responseplan op.
  • Train medewerkers in het herkennen van incidenten.
  • Test het proces minstens ieder jaar.

3. Registratieplicht

Organisaties die onder NIS2 vallen, moeten zich registreren in het entiteitenregister.

Wat vraagt de wet?
  • Registratie bij het Nationaal Cyber Security Centrum (NCSC).
    Via: mijn.ncsc.nl
Wat betekent dit concreet?
  • Vaststellen of je organisatie registratieplichtig is.
  • Correct en volledig registreren.
  • Contactgegevens actueel houden.
Ons advies:
  • Wijs één verantwoordelijke aan.
  • Controleer jaarlijks of de gegevens nog kloppen.

4. Toezicht

Organisaties onder NIS2 vallen onder toezicht. Dit betekent dat je moet kunnen laten zien dat je voldoet aan de wet.

Wat vraagt de wet?
  • Aantoonbare naleving van: de zorgplicht en de meldplicht.
  • Inzicht in beleid, processen en maatregelen.
Wat betekent dit concreet?
  • Documenteer: de risicoanalyses, beveiligingsmaatregelen en incidenten / meldingen.
  • Zorg dat verantwoordelijkheden duidelijk zijn.
  • Houd documentatie minstens elke 6 maanden actueel.
Ons advies:
  • Werk met vaste processen.
  • Zorg voor duidelijke documentatie.

Conclusie - GS ICT helpt je klaar te zijn voor NIS2

NIS2 kan ingewikkeld lijken en de regels zijn bewust niet heel concreet, waardoor veel organisaties niet precies weten wat er van hen wordt verwacht. Dit kan zorgen voor onzekerheid over hoe je je organisatie goed beschermt en aantoonbaar voldoet aan de verplichtingen.

Daarom helpen wij bij GS ICT organisaties stap voor stap om NIS2-proof te worden. Wij vertalen de wet naar concreet uitvoerbare acties die passen bij jouw organisatie.

Door met ons samen te werken weet je zeker dat:

  • Je voldoet aan de wettelijke verplichtingen.
  • Je organisatie beter beschermd is tegen cyberrisico’s.
  • Je medewerkers bewust en veilig met systemen omgaan.
  • Je systemen, data en applicaties goed zijn beveiligd.

Met onze begeleiding maak je van NIS2 geen last, maar een structurele verbetering van je bedrijf.
Neem vandaag nog contact met ons op om te bespreken hoe we jouw organisatie kunnen voorbereiden op NIS2.

Stijn voor het GS ICT logo

Bekijk ook:

Meer informatie nodig?

Staat er iets niet tussen of heeft u vragen over een product of dienst?
Neem vrijblijvend contact met ons op.

Bellen
Bellen
Scroll naar boven