NIS2 is de Europese richtlijn voor cyberbeveiliging die NIS uit 2016 vervangt. Veel meer sectoren vallen er nu onder, en de eisen zijn strikter, met persoonlijke aansprakelijkheid van bestuurders. Voor de meeste organisaties is de slimste route: NIS2-vereisten integreren in een bestaand of nieuw ISO 27001-managementsysteem.
Of je onder NIS2 valt, hangt af van twee dingen: in welke sector je actief bent, én of je voldoet aan de omvang-criteria (medewerkers + omzet). De zwaarte van het toezicht verschilt per categorie.
Hogere drempel: ≥250 medewerkers of ≥€50M omzet. Onder pro-actief toezicht, auditbevoegdheid en hoogste sanctieniveau (€10M of 2% van wereldwijde omzet).
Lagere drempel: ≥50 medewerkers of ≥€10M omzet. Re-actief toezicht, alleen na een incident of klacht. Lager sanctieniveau (€7M of 1,4% van wereldwijde omzet).
NIS2 verplicht een set van risico-managementmaatregelen plus meld- en governanceverplichtingen. Bijna alle eisen zijn al onderdeel van een ISO 27001-managementsysteem, wat de geïntegreerde route zo aantrekkelijk maakt.
Een werkend ISMS (ISO 27001 voldoet ruimschoots): risicoanalyse, maatregelen, evaluatie, continue verbetering.
Significante incidenten binnen 24 uur signaleren aan de toezichthouder, binnen 72 uur initiële melding, binnen 1 maand eindrapport.
Ketenrisico's in kaart, contractuele eisen aan leveranciers, periodieke beoordelingen, vooral kritieke ICT-leveranciers.
Personeel én bestuur moet aantoonbaar getraind zijn in cyberbeveiliging. Bestuur is persoonlijk aansprakelijk bij nalatigheid.
BCP, DR-procedures, getest en geactualiseerd. Crisismanagement en herstelvermogen aantoonbaar.
Verplichte registratie bij NCSC (NL). Aanwijzen van een aanspreekpunt (bv. CISO) en jaarlijkse rapportageverplichting.
Twee toetsen: (1) val je in een van de aangewezen sectoren? (2) Voldoe je aan de omvang-criteria (≥50 medewerkers óf ≥€10M omzet)? Plus enkele uitzonderingen voor kritieke kleinere partijen. In de kennismaking doen we de check voor jouw situatie.
Voor ~70% wel. Resterende ~30%: specifieke NIS2-meldverplichtingen (24/72 uur), expliciete bestuursaansprakelijkheid, registratie bij NCSC, en bepaalde leveranciers- en ketensaspecten. Wij vullen dat aan op je bestaande ISO 27001-systeem.
Essentiële entiteiten: tot €10M of 2% van wereldwijde jaaromzet. Belangrijke entiteiten: tot €7M of 1,4%. Daarnaast persoonlijke bestuurdersaansprakelijkheid bij gebrek aan zorgvuldigheid. Toezichthouders kunnen ook activiteiten tijdelijk opschorten.
De EU-deadline was 17 oktober 2024. Nederland implementeert via de Cyberbeveiligingswet, verwacht in 2026. Voor essentiële entiteiten raden we directe actie aan: een traject duurt 6–9 maanden en het toezicht treedt direct in werking na publicatie.
Nee, NIS2 kent geen certificaat. Wel een formele registratie bij de toezichthouder (NCSC) en een audit-plicht voor essentiële entiteiten. Een geldig ISO 27001-certificaat is echter de beste manier om compliance aantoonbaar te maken aan klanten en toezicht.
Plan een kennismaking. We doen de NIS2-scope-check en stellen een passende, geïntegreerde aanpak voor.