Bestuurders kunnen onder NIS2 persoonlijk aansprakelijk gesteld worden bij aantoonbare nalatigheid op cybersecuritygebied.

Vanaf oktober 2024 geldt de Europese NIS 2-richtlijn (Network and Information Security Directive 2) ook in Nederland. Deze richtlijn heeft als doel om de digitale weerbaarheid van bedrijven en instellingen te verbeteren en cybersecurity binnen de EU te versterken. Maar wat houdt NIS2 precies in, en welke gevolgen heeft het concreet voor jouw organisatie?

Wat is de NIS2-richtlijn?

NIS 2 is een aangescherpte opvolger van de eerdere NIS-richtlijn uit 2016. Door toenemende cyberincidenten en dreigingen bleek die oude regelgeving onvoldoende effectief. De nieuwe richtlijn vergroot daarom sterk de reikwijdte. Bedrijven vanaf 50 medewerkers of met een omzet vanaf €10 miljoen per jaar in bepaalde sectoren worden nu expliciet verplicht om aan strengere cybersecurity-eisen te voldoen.

Daarnaast stelt NIS 2 ook strengere eisen aan het cybersecuritybeleid van organisaties. Bedrijven moeten aantoonbaar investeren in preventie, detectie en respons op cyberincidenten. Ook krijgen bestuurders expliciet meer verantwoordelijkheid: zij kunnen persoonlijk aansprakelijk gesteld worden bij nalatigheid.

Voor welke organisaties geldt NIS 2 direct?

De NIS 2-richtlijn geldt direct voor middelgrote en grotere bedrijven in sectoren die essentieel of belangrijk zijn voor de samenleving, waaronder:

• Energiebedrijven

• Gezondheidszorginstellingen

• Drinkwaterbedrijven

• Digitale infrastructuur (zoals ICT-dienstverleners, datacenters, cloudproviders)

• Financiële instellingen

• Transport en logistiek

• Productiebedrijven en industrie

• Voedselvoorziening

NIS 2 is toch alleen voor (middel)grote bedrijven?

Het klopt inderdaad dat NIS2 zich vooral richt op middelgrote en grote organisaties binnen genoemde sectoren. Toch zullen steeds meer kleinere bedrijven indirect te maken krijgen met de richtlijn, ook als zij niet direct onder deze wetgeving vallen.

Dit komt doordat grotere bedrijven verantwoordelijk worden gesteld voor cybersecurity binnen hun volledige toeleveringsketen. Hierdoor zullen zij steeds vaker van hun kleinere leveranciers en partners eisen dat ook zij hun cybersecurity verbeteren. Voor kleinere bedrijven betekent dit dat goede cybersecurity steeds vaker een voorwaarde wordt om te blijven samenwerken met grotere bedrijven.

In de praktijk betekent dit dat ook kleinere bedrijven in de toekomst waarschijnlijk met hogere cybersecurity-eisen te maken krijgen, zelfs al vallen ze formeel (nog) niet direct onder NIS 2.

Wat betekent dit concreet voor jouw organisatie?

Bedrijven die onder NIS2 vallen (of indirect ermee te maken krijgen via opdrachtgevers), hebben duidelijke verplichtingen. Zij moeten bijvoorbeeld cybersecurity-risico’s actief in kaart brengen, passende beveiligingsmaatregelen implementeren en zorgen dat medewerkers goed getraind worden op cybersecurity-awareness.

Incidenten moeten snel en duidelijk gemeld worden aan de autoriteiten. De overheid voert actief toezicht uit op naleving. Bij tekortkomingen kunnen sancties volgen, zoals waarschuwingen of hoge boetes (tot 2% van de jaarlijkse omzet).

Wat kun je nu al doen?

Het is verstandig om nu al voorbereidende stappen te zetten:

• Breng cyberrisico’s binnen je organisatie helder in kaart.

• Zorg voor structurele cybersecurity-awareness trainingen voor je medewerkers.

• Zet cybersecurity regelmatig op de agenda van je directie of management.

• Stel een helder incidentresponseplan op en test dit periodiek.

Hulp nodig bij de voorbereiding?

Wil je zeker weten of je organisatie klaar is voor NIS2? Bij Mindgame ondersteunen we organisaties met innovatieve, gamified cybersecurity-awareness programma’s zoals Cyberwise. Zo verbeter je niet alleen je cyberweerbaarheid, maar voldoe je ook effectief aan de vereisten van NIS2.

👉 Lees in deze blog hoe CyberWise hierbij kan helpen: [Unlock Cybersecurity Awareness with CyberWise: The Game That Secures Your Organization] 

Of ontdek zelf hoe CyberWise werkt met een gratis demo.

🔗 Interesse? Bekijk hier onze site