De NIS2-richtlijn is de opvolger van de oorspronkelijke NIS richtlijn uit 2016. Deze nieuwe versie is strenger en uitgebreider. Het doel: de digitale weerbaarheid in de EU verhogen. In Nederland wordt de richtlijn omgezet in nationale wetgeving door middel van de Cyberbeveiligingswet, die binnenkort van kracht wordt.
Wil je eerst weten wat de NIS2-richtlijn precies inhoudt en wat de impact is? Lees dan de pagina Wat is de NIS2-richtlijn & wat is de impact? voor een overzicht van de verplichtingen en gevolgen voor jouw organisatie.
De richtlijn maakt onderscheid tussen twee typen organisaties:
Beide categorieën hebben te maken met dezelfde verplichtingen, waaronder de zorgplicht, meldplicht en mogelijk een registratieplicht. Het verschil zit vooral in actief of reactief toezicht.
De NIS2-richtlijn is van toepassing op middelgrote en grote organisaties. In de meeste gevallen betekent dit: meer dan 50 medewerkers en een jaaromzet of balanstotaal van meer dan 10 miljoen euro. Toch zijn er uitzonderingen, bijvoorbeeld voor DNS-dienstverleners of overheden, waar ook kleinere partijen onder de wet vallen.
Om te bepalen of je onder de richtlijn valt, moet je kijken naar de sector waarin je actief bent. Hieronder zie je in welke sectoren je als NIS2-plichtige organisatie kunt worden aangemerkt:
Sectoren met NIS2-plicht (selectie)
Acteer je binnen een van deze sectoren? Dan is de kans groot dat jij onder de NIS2 valt. Twijfel je? Gebruik de zelf-evaluatie test!
Wij maken organisaties al 10 jaar weerbaar tegen risico's
Ook als je zelf niet rechtstreeks onder de NIS2 valt, kun je indirect te maken krijgen met de richtlijn. Veel organisaties die wél onder NIS2 vallen, zijn verplicht om de digitale veiligheid in hun toeleveringsketen te borgen. Dit betekent dat jij als leverancier verplicht kunt worden om aan aanvullende eisen te voldoen, bijvoorbeeld via contractuele afspraken of security-audits.
In “NIS2 implementeren in je organisatie” lees je wat dit concreet betekent voor je interne processen, je contractbeheer en je samenwerking met partners.
In principe vallen micro- en kleine bedrijven niet onder de NIS2-richtlijn. Maar let op: als jouw dienstverlening cruciaal is voor de maatschappij of economie, kan er alsnog een aanwijzing volgen. Bijvoorbeeld als je diensten levert aan huisartsenpraktijken.
Val je onder de NIS2-richtlijn, dan moet je voldoen aan een aantal verplichtingen. Denk aan het uitvoeren van risicoanalyses, het treffen van beveiligingsmaatregelen, het inrichten van een meldprocedure bij incidenten en mogelijk het registreren bij een toezichthouder.
De gevolgen van niet voldoen kunnen stevig zijn. Bij aantoonbare tekortkomingen en daaropvolgende incidenten kunnen de boetes oplopen tot miljoenen euro's en bestuurders kunnen aansprakelijk worden gesteld.
Schakel binnen 24 uur met onze consultants.
