Wat is de NIS2-richtlijn en wat betekent die voor jouw organisatie?
De NIS2-richtlijn is Europese wetgeving die organisaties verplicht om hun cybersecurity serieus op orde te hebben. De richtlijn geldt voor publieke én private organisaties in sectoren waar uitval grote maatschappelijke of economische gevolgen kan hebben zoals zorg, energie, digitale diensten en IT.
NIS2 wordt in Nederland omgezet in de Cyberbeveiligingswet. Zodra die van kracht is, gelden er strengere eisen rond risicobeheersing, incidentmelding en bestuurdersverantwoordelijkheid.
Lever je diensten aan vitale sectoren? Dan is de kans groot dat NIS2 ook op jouw organisatie (in)direct van toepassing is.
Wanneer geldt NIS2 in Nederland?
De NIS2-richtlijn is op 16 januari 2023 op EU-niveau in werking getreden, met als doel dat alle lidstaten deze uiterlijk 17 oktober 2024 omzetten in nationale wetgeving. In Nederland loopt die omzetting vertraging op. De verwachting is dat de nieuwe Cyberbeveiligingswet – waarin NIS2 wordt opgenomen – pas eind 2025 of begin 2026 van kracht wordt.
Tot die tijd hoeven organisaties de richtlijn nog niet na te leven. Wel blijft de huidige Wbni (Wet beveiliging netwerk- en informatiesystemen) gelden voor organisaties die daar al onder vallen.
Moet mijn organisatie aan NIS2 voldoen?
Dat is de eerste – en misschien wel belangrijkste – vraag om te beantwoorden. De nieuwe Cyberbeveiligingswet, waarmee de Europese NIS2-richtlijn in Nederland wordt omgezet, raakt namelijk veel meer organisaties dan je op het eerste gezicht zou denken. Het gaat allang niet meer alleen om grote nutsbedrijven of overheidsinstanties.
Werk je in een sector zoals zorg, onderwijs, IT, digitale infrastructuur, SaaS, cloud, hosting of transport? Dan is de kans groot dat jouw organisatie binnen de reikwijdte van de wet valt. En zelfs als je organisatie klein is – bijvoorbeeld een startup of MKB-onderneming – ben je niet automatisch uitgesloten. De wet richt zich namelijk ook op de gehele toeleveringsketen. Dus lever jij software of digitale diensten aan een partij die wél als ‘essentieel’ of ‘belangrijk’ wordt gezien? Dan kun je indirect alsnog te maken krijgen met de verplichtingen van NIS2.
Voldoe je straks aan de Cyberbeveiligingswet, dan moet je kunnen aantonen dat je voldoet aan eisen op het gebied van cybersecurity, risicobeheersing, incidentrespons, meldplichten én bestuurdersverantwoordelijkheid. De impact is dus aanzienlijk.
Onze juristen kunnen je helpen bepalen of de NIS2 van toepassing is op jouw organisatie. Is dat het geval, dan begeleiden we je vanaf de eerste risicoanalyse tot en met implementatie van passende maatregelen. Zo zorg je ervoor dat jouw organisatie op tijd en goed voorbereid aan de eisen voldoet: ook als je (nog) geen ‘essentiële entiteit’ bent, maar wel in de keten opereert.
Twijfel je of jouw organisatie überhaupt onder de NIS2-richtlijn valt? Dan is dit een goed moment om duidelijkheid te krijgen en je organisatie daarop voor te bereiden. Met onze juridische NIS2 Quickscan krijg je snel duidelijkheid over de toepasselijkheid en de gevolgen.
Wat zijn de verplichtingen onder NIS2?
Valt jouw organisatie onder de NIS2-richtlijn? Dan krijg je te maken met een aantal stevige verplichtingen. De kern daarvan: je moet aantoonbaar grip hebben op je digitale risico’s.
NIS2 schrijft voor dat organisaties passende technische, operationele en organisatorische maatregelen nemen om hun netwerk- en informatiesystemen te beveiligen. Denk aan risicoanalyses, beleid voor incidentrespons, back-upprocedures en leveranciersmanagement. Ook moet je duidelijke afspraken maken met derden (zoals IT-leveranciers) over hun verantwoordelijkheden op het gebied van beveiliging.
Daarnaast moet je significante incidenten tijdig melden bij de toezichthouder. In de praktijk betekent dit: binnen 24 uur een eerste melding doen, en daarna volgen updates en een eindrapport.
Nieuw is ook de nadruk op governance: het bestuur of de directie van de organisatie is nadrukkelijk verantwoordelijk voor naleving. Zij moeten dus actief betrokken zijn bij het cybersecuritybeleid en kunnen in sommige gevallen zelfs persoonlijk aansprakelijk worden gesteld als de regels niet worden nageleefd.
Kort gezegd: het is niet meer voldoende om ‘iets’ aan IT-beveiliging te doen. Je moet als organisatie kunnen laten zien dat je structureel werk maakt van risicobeheersing, incidentmanagement en verantwoorde digitale bedrijfsvoering.
Bestuurdersaansprakelijkheid onder NIS2
De NIS2-richtlijn maakt één ding helder: cybersecurity is niet langer alleen een technisch vraagstuk, het is ook een bestuurlijke verantwoordelijkheid.
Bestuurders en eindverantwoordelijken binnen organisaties die onder NIS2 vallen, krijgen expliciete plichten. Zij moeten toezien op de implementatie van passende beveiligingsmaatregelen en zorgen voor een gedegen risicobeheerbeleid. NIS2 vereist dat het bestuur actief betrokken is bij cybersecurity: geen symbolische rol, maar aantoonbare betrokkenheid.
Komt een organisatie haar verplichtingen niet na? Dan kunnen bestuurders in bepaalde gevallen persoonlijk aansprakelijk worden gesteld. Bijvoorbeeld wanneer nalatigheid leidt tot ernstige incidenten, schade of het niet-naleven van meldplichten.
Voor veel organisaties betekent dit: check je governance. Zorg dat cybersecurity standaard op de agenda van de directie staat, dat risico’s structureel worden besproken, en dat verantwoordelijkheden helder zijn vastgelegd.
Bestuurders spelen onder NIS2 een actieve rol bij het waarborgen van cybersecurity. Niet voldoen kan in sommige gevallen leiden tot persoonlijke aansprakelijkheid. Wil je weten wat dit juridisch betekent voor jouw organisatie? Neem gerust contact met ons op. We helpen je graag.
Als organisatie je voorbereiden op de NIS2-richtlijn
Ook al is de Nederlandse wet (de Cyberbeveiligingswet) nog niet van kracht, de voorbereiding op NIS2 begint nu. Want als je straks onder de richtlijn valt, moet je kunnen aantonen dat je grip hebt op je digitale risico’s en dat vergt toch best wat tijd.
De eerste stap is in ieder geval het creëren van duidelijkheid: valt jouw organisatie onder NIS2? Als dat zo is, dan loont het om nu al te investeren in inzicht. Wat zijn je kwetsbaarheden? Zijn de juiste processen, afspraken en verantwoordelijkheden op orde? En welke risico’s neem je (nu nog) zonder dat je het misschien weet?
Hoe kunnen onze juristen helpen bij NIS2-compliance?
De NIS2-richtlijn stelt stevige eisen aan organisaties die onder de nieuwe Cyberbeveiligingswet gaan vallen. Maar waar begin je en wat betekent dit juridisch gezien concreet voor jouw organisatie?
Onze IT-juristen helpen je de juiste stappen te zetten, afgestemd op jouw praktijk. Dat begint met het helder krijgen of de NIS2 op jouw organisatie van toepassing is. Is dat het geval, dan zorgen wij dat je juridisch goed voorbereid bent. Bijvoorbeeld door je risicoanalyse juridisch te kaderen, governance en interne verantwoordelijkheden vast te leggen, en contracten met leveranciers (zoals verwerkersovereenkomsten en SLA’s) te toetsen op NIS2-compliance.
Ook de meldplicht en de zorgplicht onder de wet brengen juridische verplichtingen met zich mee. Zo moeten procedures op orde zijn voor het melden van incidenten binnen 24 uur, en moeten afspraken met partners en IT-dienstverleners sluitend zijn.
Behoefte aan een juridische partner met het oog op NIS2-compliance? Onze IT-juristen denken mee over governance, meldprocedures en contractuele verplichtingen. Praktisch, zorgvuldig en afgestemd op jouw organisatie. Neem vrijblijvend contact met ons op.
FAQ over NIS2 (cybersecuritywetgeving)
