De Europese NIS2-richtlijn wordt in Nederland omgezet naar de Cyberbeveiligingswet. Wat betekent dit voor uw bedrijf? Valt u eronder? En wat moet u nu al doen?
NIS2 staat voor Network and Information Security directive 2 — de Europese wet die de digitale weerbaarheid van organisaties in kritieke sectoren versterkt.
De NIS2-richtlijn is op 16 januari 2023 in werking getreden voor de Europese Unie en geldt voor alle lidstaten. In Nederland wordt deze richtlijn vertaald naar de Cyberbeveiligingswet (Cbw), die de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangt.
Het doel van NIS2 is het vergroten van de digitale en economische weerbaarheid van Europese lidstaten door strengere eisen te stellen aan cybersecurity bij organisaties die essentiële of belangrijke diensten leveren.
De NIS2 gaat verder dan haar voorganger: meer sectoren, hogere boetes, en ook persoonlijke aansprakelijkheid voor bestuurders. Maar ook indirect: wie als MKB-leverancier zaken doet met NIS2-plichtige organisaties, krijgt er onvermijdelijk mee te maken.
De wet maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. Micro- en kleinbedrijven zijn in principe uitgezonderd, tenzij actief in specifieke sectoren.
≥ 50 werknemers of ≥ €10M omzet/balanstotaal, actief in een van de aangewezen sectoren (bijlage I of II NIS2-richtlijn). U valt automatisch onder de Cyberbeveiligingswet.
Verleners van domeinnaamregistratie, TLD-registers en bepaalde digitale infrastructuurdiensten vallen ook als klein bedrijf direct onder de NIS2, ongeacht omvang.
U valt niet zelf direct onder de wet, maar uw klant is wettelijk verplicht om uw cyberveiligheid te controleren. Zonder aantoonbare beveiliging riskeert u uw contract te verliezen.
Micro- en kleinbedrijven (<50 werknemers, <€10M) buiten de kritieke sectoren vallen in principe niet onder de wet. De overheid behoudt zich wel het recht voor om individuele bedrijven aan te wijzen.
De Nederlandse overheid heeft een zelfevaluatietool ontwikkeld waarmee u kunt bepalen of uw organisatie onder de Cyberbeveiligingswet valt. CyberSprinkler helpt u daarna met de volgende stap.
NIS2 onderscheidt twee bijlagen. Bijlage I bevat essentiële sectoren met de zwaarste verplichtingen. Bijlage II zijn de belangrijke sectoren.
ⓘ Werkt u in ICT, software, SaaS, cloud of hosting en heeft u klanten in bovenstaande sectoren? Dan bent u als leverancier hoogstwaarschijnlijk betrokken via de ketenzorgplicht.
Organisaties die direct onder de Cyberbeveiligingswet vallen hebben drie wettelijke verplichtingen.
U bent verplicht een risicoanalyse uit te voeren en op basis daarvan passende beveiligingsmaatregelen te treffen — zowel voor uw eigen systemen als voor uw leveringsketen.
Essentiële en belangrijke entiteiten zijn verplicht zich te registreren bij de toezichthouder. Zo ontstaat een Europees totaaloverzicht van alle NIS2-organisaties.
Significante incidenten — aanvallen die uw dienstverlening ernstig kunnen verstoren — moeten snel gemeld worden bij de bevoegde toezichthouder.
De Cyberbeveiligingswet schrijft minimaal tien concrete maatregelen voor waaraan NIS2-organisaties moeten voldoen.
Systematisch in kaart brengen van risico's voor netwerk- en informatiesystemen en vastleggen in beleid.
Procedures voor detectie, melding en afhandeling van beveiligingsincidenten — inclusief 24/72-uurs meldplicht.
Back-upbeheer, noodherstelplannen en zorgen dat kritieke diensten door kunnen draaien na een aanval.
Contractuele afspraken en risicobeoordelingen voor directe leveranciers en dienstverleners.
Technische maatregelen voor veilige netwerken, patchbeheer en toegangscontrole op systemen.
Periodiek testen van maatregelen en verifiëren of de beveiliging in de praktijk werkt zoals bedoeld.
Bewustzijnstraining voor medewerkers én verplichte cybersecurity-training voor bestuurders.
Gebruik van encryptie voor gevoelige data, zowel in transit als in opslag — waar van toepassing.
Multi-factor authenticatie, strikte toegangsrechten en beleid voor identiteits- en wachtwoordbeheer.
Gebruik van veilige communicatiekanalen (waaronder spraak en video) voor kritieke bedrijfscommunicatie.
Niet voldoen aan de Cyberbeveiligingswet kan leiden tot forse boetes. Nieuw: ook bestuurders kunnen persoonlijk aansprakelijk worden gesteld.
Wat het hoogste is, geldt als maximumboete
Wat het hoogste is, geldt als maximumboete
NIS2 introduceert persoonlijke aansprakelijkheid voor bestuurders bij grove nalatigheid. Een bestuurder kan worden vervolgd, een boete krijgen of aansprakelijk worden gesteld voor geleden schade. Dit geldt ook als de organisatie zelf al is beboet. De wet verplicht bestuurders bovendien een cybersecurity-training te volgen — zij moeten voldoende kennis hebben om weloverwogen beslissingen te nemen over informatiebeveiliging.
Afhankelijk van uw rol — directe NIS2-entiteit of leverancier — verschilt de impact. Kies hieronder uw situatie.
Zodra de Cyberbeveiligingswet van kracht is, bent u verplicht zich te registreren bij de bevoegde toezichthouder. Wacht hier niet mee — begin nu met de voorbereiding.
Breng de digitale risico's voor uw organisatie in kaart. Dit is de basis voor alle verplichte maatregelen. CyberSprinkler biedt 24/7 monitoring en detectie als onderdeel hiervan.
U heeft een wettelijke zorgplicht voor uw directe leveringsketen. Maak contractuele afspraken en vraag bewijs van beveiliging aan uw toeleveranciers.
Zorg dat uw team weet hoe incidenten herkend en gemeld worden. De 24-uurs meldplicht vereist voorbereide procedures — geen reactie achteraf.
De wet verplicht bestuurders een cybersecurity-training. Zij zijn eindverantwoordelijk en kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid.
Toezichthouders kunnen audits uitvoeren. Zorg dat alle maatregelen, risicoanalyses en incidentlogs goed gedocumenteerd zijn.
NIS2-organisaties zijn wettelijk verplicht hun leveranciers te toetsen op cyberveiligheid. U kunt gevraagd worden bewijs te leveren van uw beveiligingsniveau.
Bedrijven die aantoonbaar veilig zijn — door certificering zoals het NIS2 Supply Chain certificaat — behouden klanten en winnen vertrouwen van nieuwe opdrachtgevers.
Grote klanten zullen cybersecurity-eisen opnemen in contracten en leveranciersovereenkomsten. Bereid u voor door uw beveiliging nu al op orde te brengen.
Zorg minimaal voor: sterke wachtwoorden + MFA, actuele software-updates, back-ups, medewerkerstraining en een basisplan voor incidenten.
Onze Start- en Standaard-pakketten geven u de 24/7 monitoring en automatische bescherming die u nodig heeft om als leverancier aan NIS2-eisen te kunnen voldoen.
De risico's zijn er nu al. De Rijksoverheid adviseert nadrukkelijk: wacht niet op inwerkingtreding van de Cyberbeveiligingswet. Start vandaag met uw voorbereiding.
Overzicht van de belangrijkste momenten in de NIS2-implementatie voor Nederland.
De Rijksoverheid adviseert nadrukkelijk niet te wachten. De risico's zijn er nu al — en voorbereiding kost tijd.
Of u nu direct onder de Cyberbeveiligingswet valt of als MKB-leverancier aan de keteneisen moet voldoen — CyberSprinkler biedt 24/7 monitoring, automatische bescherming en de rapportage die u nodig heeft om aantoonbaar veilig te zijn.
Meer informatie: Digitale Overheid ↗ · Samen Digitaal Veilig ↗ · Ondernemersplein ↗