NIS2: Wat betekent de nieuwe cybersecuritywetgeving voor jouw organisatie?

De Europese NIS2-richtlijn (Network and Information Security Directive 2) heeft vanaf 2025 grote impact op Nederlandse organisaties. Waar eerdere wetgeving vooral gericht was op grote vitale bedrijven, richt NIS2 zich ook op kleinere organisaties én hun leveranciers. In dit artikel legt Samir Kadri uit wat NIS2 inhoudt, wie ermee te maken krijgt en hoe je je als organisatie kunt voorbereiden.

Van richtlijn naar verplichte wetgeving

NIS2 is een Europese richtlijn die lidstaten verplicht om nieuwe cybersecuritywetgeving op te stellen. Nederland werkt momenteel aan de omzetting naar nationale wetgeving. De oorspronkelijke deadline van oktober 2024 is verschoven naar oktober 2025. Waar de oorspronkelijke NIS-richtlijn niet werd gehandhaafd, brengt NIS2 boetes, sancties en zelfs mogelijke schorsing van bestuurders met zich mee.

Voor wie geldt NIS2?

De richtlijn maakt onderscheid tussen twee soorten organisaties:

  • Essentiële entiteiten, zoals energiebedrijven, ziekenhuizen, datacenters en overheidsdiensten.
  • Belangrijke entiteiten, waaronder voedselproducenten, postbedrijven, afvalverwerking en digitale dienstverleners.

Valt je organisatie binnen één van deze sectoren én heb je meer dan 50 medewerkers? Dan moet je straks voldoen aan de wetgeving. Maar ook als je leverancier bent van zo’n organisatie, kun je te maken krijgen met eisen vanuit NIS2.

Volgens Samir Kadri: “Een gemeente of zorginstelling mag straks alleen samenwerken met leveranciers die hun cyberbeveiliging aantoonbaar op orde hebben.”

Onze partner Hands on ICT

Advies op maat voor de complete werkplek? Neem contact op met Hands on ICT voor een vrijblijvend advies.
Bekijk partner
Bel ons direct

De drie verplichtingen onder NIS2

Organisaties die onder de NIS2-wetgeving vallen, moeten aan drie belangrijke verplichtingen voldoen:

  1. Registratieplicht: Meld je organisatie bij het Nationaal Cyber Security Centrum (NCSC) via een officieel registratieproces.
  2. Zorgplicht: Implementeer minimaal tien beveiligingsmaatregelen. Denk aan:
    1. Een risicoanalyse van je belangrijkste bedrijfsprocessen.
    2. Beleid voor personeelsveiligheid en toegangsbeheer.
    3. Technische maatregelen zoals multifactor-authenticatie.
    4. Back-up en herstelstrategieën.
      Trainingen voor medewerkers én bestuur.
  3. Meldplicht: Ernstige cyberincidenten moeten binnen 24 uur worden gemeld bij de toezichthouder. Binnen 72 uur volgt een volledige rapportage.

Toeleveranciers en NIS2: meer impact dan gedacht

Ook als jouw organisatie niet direct onder NIS2 valt, kun je indirect verplicht worden tot actie. Lever je diensten of software aan een NIS2-organisatie? Dan moeten zij jouw cyberbeveiligingsmaatregelen controleren. Is die niet op orde, dan kunnen ze besluiten geen zaken meer met je te doen.

Samir Kadri noemt het voorbeeld van de gemeente Buren, die gehackt werd via een leverancier zonder multifactor-authenticatie. “De schade lag uiteindelijk bij de gemeente, maar had voorkomen kunnen worden als de leverancier aan de basisvoorwaarden voldeed.”

Waarom veel organisaties nog niet klaar zijn

Veel organisaties voelen zich relatief veilig, maar missen formeel beleid of documentatie. In de praktijk:

  • Is er geen vastgelegd beleid voor cybersecurity.
  • Worden risicoanalyses niet uitgevoerd.
  • Vindt er geen jaarlijkse toetsing van maatregelen plaats.

Samir Kadri: “Cybersecurity mag niet afhankelijk zijn van het gevoel van veiligheid. Het moet aantoonbaar en meetbaar zijn.”

Wat kun je nu al doen?

  1. Bepaal of je onder NIS2 valt: 
    Kijk of je tot een essentiële of belangrijke sector behoort, of leverancier bent van een partij die dat doet.
  2. Start met een risicoanalyse:
    Breng in kaart welke systemen en processen cruciaal zijn voor je bedrijfsvoering en welke risico’s daarbij horen.
  3. Documenteer je beleid en maatregelen:
    Van onboardingprocedures tot toegangsbeheer en incidentrespons – het moet zwart-op-wit staan.
  4. Zorg voor training en bewustwording:
    Medewerkers zijn een belangrijke schakel. Awareness-trainingen en phishing-simulaties zijn essentieel.
  5. Laat je begeleiden door experts:
    Hands-On ICT helpt organisaties met een scan of audit om te bepalen waar ze staan ten opzichte van NIS2. Vervolgens krijg je advies over benodigde maatregelen en vervolgstappen.

NIS2 komt eraan – ben jij voorbereid?

Met NIS2 wordt cybersecurity wettelijk verplicht voor veel organisaties én hun leveranciers. De eisen zijn streng en oktober 2025 komt snel dichterbij. Weet je al of NIS2 op jouw organisatie van toepassing is? Dan is dit hét moment om in actie te komen.

Hands on ICT helpt je met een NIS2 Gap Analyse: inzicht in je risico’s én een concreet actieplan.

Meer weten over de NIS2 en wat jouw organisatie te wachten staat?

Meer weten of direct starten? Vul het formulier in voor een vrijblijvende intake.

Naam(Vereist)
E-mail(Vereist)
Opt-in

Gerelateerde blogs

Bekijk alle artikelen

De migratie naar Windows 11: belangrijker dan je denkt

Op 14 oktober 2025 stopt Microsoft met de ondersteuning van Windows 10. Dat lijkt nog ver weg, maar in IT-termen is dat morgen. Voor mkb-organisaties is dit hét...

Lees verder

Efficiënt Hybride Werken

Hybride werken heeft de afgelopen jaren een enorme groei doorgemaakt. Waar het aanvankelijk een noodoplossing was, is het nu voor veel bedrijven de standaard geworden. Medewerkers waarderen de...

Lees verder

Datawiping: Wat is het en waarom is het essentieel?

In een tijd waarin digitale gegevens goud waard zijn, is het veilig verwijderen van data van oude apparaten cruciaal. Datawiping, oftewel het volledig en onomkeerbaar wissen van data...

Lees verder

Heb je interesse in een webinar, live event of lezing over hybride werken, cybersecurity en/of AI?