Wat is NIS2?

NIS2 is de vernieuwde Europese richtlijn voor netwerk- en informatiebeveiliging. Deze wet verplicht bedrijven en instellingen in vitale sectoren om hun digitale systemen beter te beveiligen tegen cyberaanvallen. De richtlijn is sinds oktober 2024 van kracht en geldt ook in Nederland.

NIS2 bouwt voort op de oorspronkelijke NIS-richtlijn (2016), maar breidt het bereik en de eisen aanzienlijk uit. Organisaties moeten actief cyberrisico’s beperken, incidenten snel melden en hun beveiligingsmaatregelen aantoonbaar op orde hebben.

Waarom is NIS2 belangrijk?

Onze economie en samenleving draaien op digitale infrastructuur. Denk aan energievoorziening, zorg, transport en online dienstverlening. Wanneer die systemen kwetsbaar zijn, kunnen cyberaanvallen grote schade veroorzaken – van datalekken tot verstoringen van essentiële processen.

Om de weerbaarheid van Europa te vergroten, stelt NIS2 strengere eisen aan beveiliging, incidentrespons, risicomanagement en bestuurdersverantwoordelijkheid. De richtlijn is niet vrijblijvend, maar wettelijk verplicht voor wie binnen de scope valt.

Meer weten? Lees de officiële toelichting van ENISA over de NIS2-richtlijn.

Voor wie geldt NIS2?

Organisaties zijn automatisch verplicht om te voldoen aan NIS2 wanneer zij:

  • Actief zijn in een aangewezen sector (zoals zorg, energie, digitale infrastructuur, transport, financiën, of ICT), en

  • Voldoen aan ten minste één van de volgende criteria:

    • Meer dan 50 medewerkers, of

    • Meer dan €10 miljoen jaaromzet of balanstotaal

Deze combinatie bepaalt of een organisatie als ‘essentieel’ of ‘belangrijk’ wordt aangemerkt onder NIS2. Denk aan:

  • Ziekenhuizen en zorginstellingen

  • Energiebedrijven en waterbedrijven

  • Banken en financiële dienstverleners

  • Vervoersbedrijven en logistieke dienstverleners

  • Internetproviders, hostingbedrijven en cloudaanbieders

Daarnaast kunnen ook kleinere bedrijven onder NIS2 vallen wanneer zij een kritieke functie vervullen in een vitale keten, bijvoorbeeld als onderaannemer of leverancier van IT-oplossingen.

Wat zijn de gevolgen van niet voldoen?

Organisaties die niet aan NIS2 voldoen, lopen aanzienlijke risico’s, waaronder:

  • Boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet (afhankelijk van wat hoger is)

  • Bestuurlijke aansprakelijkheid voor directies en toezichthouders

  • Dwangmaatregelen door toezichthouders

  • Reputatieschade, verlies van klantenvertrouwen en operationele schade

De richtlijn verplicht dus niet alleen tot actie, maar vraagt ook aantoonbaar beleid en documentatie van beveiligingsmaatregelen.

Wat moet je als organisatie doen?

Als jouw organisatie onder NIS2 valt, ben je verplicht om onder andere:

  • Risico’s op het gebied van cyberveiligheid te analyseren

  • Technische en organisatorische maatregelen te treffen

  • Incidenten tijdig te melden aan de bevoegde autoriteit

  • Medewerkers bewust te maken van digitale risico’s

  • Regelmatig te toetsen of je maatregelen nog effectief zijn

Hoe helpt Rosman Cybersecurity?

Wij begeleiden bedrijven bij het voldoen aan de NIS2-verplichtingen, gericht op het MKB en organisaties die praktische ondersteuning nodig hebben. Onze aanpak is helder, efficiënt en afgestemd op jouw organisatie.

Wat wij bieden:

  • Een gratis NIS2-scan: snelle risico-indicatie zonder verplichtingen

  • Een duidelijke gap-analyse en verbeteradvies

  • Ondersteuning bij implementatie en documentatie

  • Training en bewustwording binnen je organisatie

  • Begeleiding bij incidentmeldingen en audits

Bekijk onze diensten of neem direct contact op via onze contactpagina voor persoonlijk advies.

Vraag jouw gratis NIS2-scan aan

Weet je niet zeker of jouw organisatie onder NIS2 valt? Of wil je een helder beeld van de risico’s en verplichtingen?

Vraag dan vrijblijvend onze gratis NIS2-scan aan. Binnen één werkdag ontvang je een eerste beoordeling en duidelijk stappenplan.

Welkom bij de NIS2-verplichtingstest. Beantwoord een paar korte vragen om te zien of uw organisatie onder NIS2 valt.

In welke sector is uw organisatie actief?

Selecteer de sector(en) waar uw organisatie werkzaam is. Dit helpt te bepalen of u valt onder de NIS2-regelgeving, die geldt voor vitale en digitale sectoren.

Hoeveel medewerkers heeft uw organisatie?

Wat is de jaaromzet van uw organisatie?

Werkt uw organisatie regelmatig samen met partijen die onder NIS2 vallen?

Behandelt uw organisatie gevoelige of kritieke informatie?

Denk aan persoonsgegevens, financiële data of andere vertrouwelijke informatie die belangrijk is voor uw organisatie en klanten.