Veelgestelde vragen NIS2 richtlijn cybersecurity
Meer weten?
Hier vindt u per onderwerp veelgestelde vragen over NIS2. Meer weten? Neem contact met ons op via e-mail (cybersecurity@kiwa.com) of bel direct (+31 (0)88 998 49 00).
Wat is NIS2?
NIS2 is de tweede versie van de Europese Network and Information Security Directive (de oorspronkelijke richtlijn is uit 2016). NIS2 verplicht organisaties in essentiële en belangrijke sectoren om hun cybersecurity en digitale weerbaarheid te versterken, met strengere eisen en betere handhaving dan de oorspronkelijke richtlijn.
Is NIS2 gelijk aan de Cyberbeveiligingswet?
NIS2 is een Europese richtlijn, terwijl de Cyberbeveiligingswet (Cbw) de Nederlandse wet is die deze richtlijn omzet in nationale regels. De Cbw is dus de Nederlandse uitwerking van NIS2, met specifieke verplichtingen voor organisaties in Nederland.
Waarom is NIS2 ingevoerd?
De EU constateerde dat de eerste NIS‑richtlijn leidde tot ongelijke cyberweerbaarheid tussen lidstaten en sectoren. Door de toegenomen dreigingen waren sterkere, uniformere regels nodig.
Voor wie geldt NIS2?
NIS2 geldt voor essentiële en belangrijke entiteiten, waaronder energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur, postdiensten, afvalbeheer, voedselproductie en digitale aanbieders. Ook leveranciers in de keten vallen onder de strengere eisen.
Hoe bepaal ik of mijn organisatie onder NIS2 valt?
Lidstaten bieden scope-tests en sectoroverzichten aan. In Nederland publiceert het NCSC sectorinformatie en een doorverwijsboom.
Wat zijn de voordelen van NIS2-compliance?
Met NIS2-compliance toont u aan dat uw organisatie cybersecurity structureel heeft ingericht volgens erkende Europese normen. Ontdek de belangrijkste voordelen van NIS2-compliance voor uw organisatie op onze website.
Wat moet een NIS2-organisatie verplicht doen?
- Risicobeheermaatregelen invoeren
- Incidentmeldingen doen binnen strikte termijnen
- Beveiligingsbeleid opstellen en onderhouden
- Continuïteitsplannen en crisismanagement inrichten
- Toezicht en audits toestaan
- Registratieplicht naleven
Wat zijn de meldplichten?
- Vroege waarschuwing (binnen 24 uur)
- Incidentmelding binnen 72 uur
- Eindrapport binnen één maand
Welke beveiligingsmaatregelen verwacht NIS2?
NIS2 vereist onder andere risicobeoordelingen, incidentdetectie, back-ups, toegangsbeheer, supply‑chain‑beveiliging, versleuteling en training.
Hoe zit het met leveranciers en ketenpartners?
Organisaties moeten ketenrisico’s actief beheren. Leveranciers moeten mogelijk aantonen dat zij voldoen aan minimale cybersecurity‑normen.
Is er een verplicht NIS2-keurmerk?
De NIS2‑richtlijn (en straks de Nederlandse Cyberbeveiligingswet (Cbw) schrijft géén officieel keurmerk, certificaat of label voor dat organisaties moeten behalen.
Wanneer moet ik voldoen?
De NIS2-richtlijn is eind 2022 aangenomen. Lidstaten implementeren deze momenteel in nationale wetgeving. Organisaties moeten tijdig voorbereid zijn. De belangrijkste deadline voor NIS2 in Nederland is verschoven. Nederland heeft de oorspronkelijke EU-deadline van 17 oktober 2024 niet gehaald. Naar verwachting zal eind Q2 2026 de NIS2 (Cbw) van kracht worden voor Nederland.
Wat kunt u alvast doen om straks aan de NIS2 (Cbw) te voldoen?
- Vaststellen of uw organisatie onder NIS2 valt
- Een gap‑analyse uitvoeren
- Risico’s en processen in kaart brengen
- Basisbeveiliging op orde brengen
- Incidentrespons voorbereiden
- Leveranciers beoordelen
- Bestuurders trainen
- Bewustwording vergroten
- Documentatie opzetten
Ik ben ISO 27001/ NEN 7510-gecertificeerd. Voldoe ik dan aan de NIS2?
ISO 27001 en/of NEN 7510 certificering helpt enorm, maar organisaties voldoen daarmee niet automatisch aan NIS2. In onderstaand schema ziet u welke aspecten worden afgedekt door ISO 27001/NEN 7510 en welke door NIS2.
Wie kan binnen een organisatie het beste de NIS2 eisen beoordelen?
Doorgaans is daarvoor de CISO/informatiebeveiligingsmanager de aangewezen persoon. Deze heeft:
- Overzicht over risico’s, processen en beveiligingsmaatregelen
- Kennis van ISO 27001 en/of NEN 7510 (die veel overlap hebben met NIS2)
- Kennis over het uitvoeren van gap‑analyses
- Kennis van technische én organisatorische maatregelen
Kun je een boete krijgen als je niet voldoet?
Ja, zodra de Nederlandse Cyberbeveiligingswet (Cbw) in werking treedt (verwacht in 2026), kunnen toezichthouders:
- Boetes opleggen
- Bindende aanwijzingen geven
- Audits afdwingen
- Bestuurders persoonlijk aansprakelijk stellen
De boetes zijn vergelijkbaar met de AVG, maar in sommige gevallen zelfs strenger.
Hoe hoog zijn boetes in het kader van de Cyberbeveiligingswet?
Voor essentiële entiteiten (bijvoorbeeld energie, zorg, telecom, water):
- Tot € 10 miljoen of
- 2% van de wereldwijde jaaromzet (het hoogste bedrag telt)
Voor belangrijke entiteiten (bijvoorbeeld IT‑dienstverleners, post, afval, voedsel, digitale diensten):
- Tot € 7 miljoen of
- 1,4% van de wereldwijde jaaromzet
Kunnen bestuurders persoonlijk aansprakelijk worden gesteld?
Ja, dit is een van de grootste veranderingen in de nieuwe wetgeving.
Bestuurders kunnen:
- Persoonlijk verantwoordelijk worden gehouden voor nalatigheid
- Verplicht worden om cybersecuritytraining te volgen
- Tijdelijk geschorst worden in extreme gevallen
ISO‑normen kennen dit soort juridische verplichtingen niet, NIS2 wel.
Moet je op de eerste ingangsdag van NIS2 volledig voldoen?
Wettelijk gezien wel! De Cyberbeveiligingswet bevat géén overgangsperiode. Dat betekent dat organisaties vanaf de ingangsdatum verplicht zijn om aan alle eisen te voldoen.
Meer weten?
Wilt u meer weten over dit onderwerp? Bel ons op +31 (0)88 998 33 70 of vul het contactformulier in. Onze experts helpen u graag verder!
Voordelen van NIS2-compliance
Waarom kiezen voor Kiwa als uw NIS2-compliancepartner?
Hoe bent u als organisatie cyberweerbaar en voldoet u aan NIS 2?
Hoe bereidt u uw organisatie voor op de Cyberbeveiligingswet (NIS2)?
Wat NIS2 betekent voor de zorg
Wat betekent de nieuwe NEN 7510:2024 voor certificaathouders?
