De NIS2-richtlijn is op 17 oktober 2024 van kracht geworden in alle EU-lidstaten. Ze verplicht organisaties in achttien sectoren om serieuze cybersecuritymaatregelen te nemen. Wat onderscheidt haar van eerdere regelgeving: bestuurders zijn persoonlijk aansprakelijk als de organisatie tekortschiet.
Veel ondernemers denken dat NIS2 alleen voor grote bedrijven en overheidsinstanties is. Dat klopt niet, en de reden is eenvoudig: de wet werkt door in de toeleveringsketen.
Voor wie geldt NIS2?
NIS2 onderscheidt twee categorieën. De indeling bepaalt de intensiteit van het toezicht — niet de verplichtingen zelf.
Essentiële entiteiten zijn organisaties in sectoren als energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur en overheid. Belangrijke entiteiten omvatten post- en koeriersdiensten, chemische productie, voedingsindustrie, digitale marktplaatsen en onderzoeksinstellingen.
De drempelwaarden: middelgrote ondernemingen (50–249 medewerkers, of €10–50 miljoen omzet) en grote ondernemingen (250+ medewerkers, of €50+ miljoen omzet). Kleine organisaties zijn in principe vrijgesteld — maar niet altijd.
Aanbieders van elektronische communicatienetwerken, vertrouwensdienstverleners en bepaalde DNS-aanbieders vallen ongeacht hun grootte onder NIS2.
De keteneis — waarom u er toch mee te maken heeft
Artikel 21 van NIS2 verplicht essentiële en belangrijke entiteiten om ook de beveiliging van hun toeleveringsketen te beheren. Dat betekent: uw klanten die onder NIS2 vallen, zijn verplicht uw cybersecuritypraktijken te beoordelen en te documenteren.
Een accountantskantoor van acht personen valt misschien niet rechtstreeks onder NIS2. Maar als hun klanten in de financiële sector wel onder de wet vallen, zullen die klanten de beveiliging van hun accountant controleren. Een huisartsenpraktijk in de zorgsector: gezondheidszorg staat in Bijlage I van NIS2. Via de keteneis sijpelen de verplichtingen dus door naar kleinere leveranciers en partners.
"Ik val zelf niet onder NIS2" is niet het einde van het verhaal. Het is het begin van een andere vraag: vallen mijn klanten eronder?
De tien verplichte maatregelgebieden
Artikel 21 van NIS2 somt tien maatregelgebieden op die elke entiteit onder de wet moet invullen. In gewone taal:
- Risicoanalyse: documenteer uw digitale risico’s en stel beleid op. Niet als eenmalig document, maar als levend systeem.
- Incidentenbehandeling: weet wat u doet als er iets misgaat. Wie belt wie? Wat wordt afgesloten? Wie informeert de toezichthouder?
- Bedrijfscontinuïteit: back-ups zijn niet optioneel. Ze moeten ook getest worden. Zorg dat u kunt doorwerken na een incident.
- Beveiliging van de toeleveringsketen: de cybersecuritypraktijken van uw leveranciers zijn uw verantwoordelijkheid om te kennen en te beoordelen.
- Beveiliging van systemen: hoe koopt u software aan? Hoe reageert u als een leverancier een beveiligingslek meldt?
- Effectiviteitsbeoordeling: meet of uw maatregelen werken. Instellen en vergeten volstaat niet.
- Cyberhygiëne en opleiding: medewerkers herkennen phishing. Updates worden geïnstalleerd. Wachtwoordbeleid bestaat en wordt nageleefd.
- Encryptie: gevoelige data wordt versleuteld — zowel onderweg als opgeslagen.
- Toegangsbeheer: wie heeft toegang tot wat? Toegangsrechten worden actief beheerd en geauditeerd.
- Multifactorauthenticatie: twee-factor authenticatie is geen optie meer — het is een verplichting.
De meldingsplicht: 24 uur
Bij een significant incident — een cyberaanval, datalek of uitval van kritieke systemen — gelden strakke termijnen. Artikel 23 van NIS2 schrijft voor:
- 24 uur: eerste waarschuwing aan de bevoegde autoriteit of het CSIRT
- 72 uur: volledige incidentmelding
- 1 maand: eindrapport
"Significant" betekent: ernstige operationele verstoring, aanzienlijke financiële schade, of impact op andere organisaties.
Een praktisch probleem bij cloud AI-diensten: als de provider pas na 48 uur communiceert over het incident, heeft u al een probleem met uw meldplicht. Uw klok begint te lopen op het moment dat u het weet — niet op het moment dat de provider het u vertelt. Bij een lokale AI-oplossing bent u zelf in de omgeving, heeft u de logs, en kunt u onmiddellijk handelen.
Persoonlijke aansprakelijkheid van bestuurders
Dit is het artikel dat NIS2 onderscheidt van eerdere cybersecuritywetgeving. Artikel 20 bepaalt dat leidinggevende organen — raad van bestuur, directeur, zaakvoerder — de cybersecuritymaatregelen moeten goedkeuren, het toezicht erover houden, en persoonlijk aansprakelijk kunnen worden gesteld als de organisatie de verplichtingen niet naleeft.
In de praktijk betekent "aansprakelijk worden gesteld": een tijdelijk verbod op leidinggevende functies bij nalatigheid na een significant incident. De IT-afdeling is niet verantwoordelijk. U bent verantwoordelijk.
Hetzelfde artikel verplicht bestuurders aan cybersecurityopleiding deel te nemen — en verplicht hen dat ook voor hun medewerkers aan te bieden.
Drie stappen die u nu kunt zetten
1. Bepaal uw positie
Valt uw organisatie direct onder NIS2 via sectorcriteria en drempelwaarden? Of valt u er indirect onder via uw klanten? Beide vragen verdienen een eerlijk antwoord.
2. Breng uw ICT-leveranciers in kaart
Welke externe softwaretools, cloudproviders en diensten gebruikt u? De keteneis begint met weten van wie u afhankelijk bent — en welke afspraken er contractueel zijn over incidenten en meldingen.
3. Leg de basis voor incidentrespons
Heeft u een procedure voor als er iets misgaat? Wie beslist wat? Wie meldt aan wie? Het is niet nodig om vandaag een volledig SOC te hebben. Maar een basisprocedure — op papier, getest, gekend door de juiste mensen — is het minimum.
NIS2 is geen papieren wet. Ze heeft boetes tot €10 miljoen of 2% van de jaaromzet voor essentiële entiteiten, en tot €7 miljoen of 1,4% voor belangrijke entiteiten. En ze heeft iets zeldzamers: ze legt de verantwoordelijkheid expliciet bij de mensen aan de top.