Skip to content

Zorgeloos en op tijd voldoen aan NIS2 / Cyberbeveiligingswet

Van risico naar grip: stap voor stap naar compliance

Wat is NIS2?

Om digitale en economische weerbaarheid te vergroten en maatschappelijke ontwrichting te voorkomen, heeft de EU de NIS2-richtlijn aangenomen. Deze stelt strengere eisen dan haar voorganger NIS (in Nederland geïmplementeerd als Wbni) en geldt voor meer sectoren. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet (Cbw). De overheid adviseert om niet te wachten tot de wet ingaat (verwacht: Q3 2026), maar om nu al aan de slag te gaan zodat je op tijd bent voorbereid.

Voor wie geldt NIS2?

NIS2 breidt de groep ‘essentiële entiteiten’ uit en voegt de groep ‘belangrijke entiteiten’ toe.

Het verschil zit vooral in het type toezicht: essentiële entiteiten vallen onder proactief toezicht, terwijl belangrijke entiteiten alleen onder reactief toezicht vallen (als daar aanleiding voor is). Ook gelden voor hen lagere financiële sancties.

Val je zelf niet onder de wet, maar je klanten wel? Dan krijg je er alsnog mee te maken via ketenverplichtingen. Sterke ketens bestaan alleen uit betrouwbare schakels.  

Check direct of jouw organisatie aan de NIS2-richtlijn moet voldoen

Je ontvangt de uitslag via het e-mailadres dat je hebt opgegeven

De uitkomst van de NIS2-checker is gebaseerd op de door jou ingevulde informatie en daaraan kunnen geen rechten worden ontleend. De melding ‘Jouw organisatie hoeft niet te voldoen aan de NIS2-richtlijn’ sluit betrokkenheid niet uit. Ook als toeleverancier van NIS2-plichtige organisaties kun je ermee te maken krijgen. De uiteindelijke verplichtingen hangen af van bedrijfskenmerken en de interpretatie van de wet. De toezichthoudende autoriteit bepaalt uiteindelijk of jouw organisatie onder NIS2 valt.

Welke verplichtingen brengt de Cyber beveiligingswet?

NIS2/Cbw brengt de volgende verplichtingen en verantwoordelijkheden met zich mee:

  • Registratieplicht
  • Zorgplicht
  • Meldplicht

Ook maakt de regeling bestuurders aansprakelijk en geldt er een opleidingsplicht, zodat genomen maatregelen goedgekeurd kunnen worden en er effectief toezicht op gehouden kan worden

In vier stappen voldoen aan NIS2 met Legian

Legian begeleidt je in vier stappen om te voldoen aan NIS2. Hoewel het stappenplan voor elke organisatie hetzelfde is, hangt de specifieke invulling en de benodigde inspanning af van meerdere factoren, zoals het volwassenheidsniveau van de informatiebeveiliging. 

Normenkaders zoals ISO 27001 en NEN 7510 bieden een stevige basis en inzicht in de te nemen maatregelen. Daarnaast richten we ons ook op een ander belangrijk aspect: OT-security.

Met deze aanpak begeleiden en ondersteunen we organisaties succesvol bij het voorbereiden op, implementeren van en naleven van NIS2. Plan vandaag nog een vrijblijvend gesprek en zorg ervoor dat jouw organisatie op tijd aan de eisen voldoet.

Waarom Legian?

Bij Legian krijg je onafhankelijk advies en een persoonlijke benadering. Onze NIS2 gecertificeerde specialisten bepalen samen met jou een passende route naar NIS2-compliance.

Gecertificeerde

Specialisten

Maatwerk

Oplossingen

25+ jaar

Ervaring

NIS2 vragen beantwoord

Algemeen

De NIS2 is de tweede Europese richtlijn voor netwerk- en informatiebeveiliging, die lidstaten verplicht om strengere eisen te stellen aan de cybersecurity van essentiële en belangrijke organisaties

Het doel is om de digitale- en economische weerbaarheid van Europese lidstaten te verbeteren en zo maatschappelijke ontwrichting te voorkomen.

De Cyberbeveiligingswet (Cbw) is de Nederlandse vertaling van de NIS2-richtlijn, oftewel de nationale wet waarmee Nederland de NIS2 omzet in eigen wetgeving.

De NIS2 verplicht bedrijven en organisaties die actief zijn in kritieke sectoren én een bepaalde omvang hebben (of via ministeriële aanwijzing worden aangewezen) om hun digitale weerbaarheid te versterken. Met onze NIS2-check ontdek je gratis en direct of jouw organisatie moet voldoen aan de NIS2/Cyberbeveiligingswet.

Op 16 januari 2023 is de NIS2-richtlijn officieel in werking getreden op EU-niveau. Sindsdien loopt er een implementatietermijn van 21 maanden. Dit betekent dat de NIS2-implementatiewet in de EU-landen uiterlijk op 17 oktober 2024 van kracht had moeten zijn. In Nederland wordt deze richtlijn omgezet in de Cyberbeveiligingswet (Cbw), die naar verwachting medio Q3 2026 in werking treedt.

Zodra de Cyberbeveiligingswet van kracht wordt en jouw organisatie onder de reikwijdte valt, geldt de verplichting om direct aan de gestelde eisen te voldoen. Als je hier niet op voorbereid bent, kun je direct te maken krijgen met sancties.
 
 

Inhoud

Zorgplicht: Entiteiten zijn verplicht een risicobeoordeling uit te voeren en passende maatregelen te nemen voor de beveiliging van hun netwerk- en informatiesystemen, evenals het zorgdragen voor de leveranciersketen.

Registratieplicht: Entiteiten zijn verplicht zich te registreren in het entiteitenregister, waarmee een Europees overzicht van het aantal entiteiten onder NIS2 wordt gecreëerd.

Meldplicht: Entiteiten moeten significante incidenten binnen 24 uur melden aan het Computer Security Incident Response Team (CSIRT) en de toezichthouder via een centraal meldpunt van het NCSC.

Daarnaast is er de verplichting voor bestuurders om trainingen te volgen om de genomen maatregelen goed te keuren en toezicht te houden.

BCM: Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upmanagement en beheer van noodvoorzieningsprocessen.
Incident Response: Beleid en procedures om incidenten te voorkomen, en indien deze zich voordoen, zo adequaat mogelijk te reageren en de impact voor de afnemers te beperken.

Toeleveranciers: Zorgdragen voor de informatiebeveiliging van de toeleveranciersketen en, in geval van een incident, dit bij de toeleverancier(s)
te melden (meldplicht).

Toegangsbeleid: Maatregelen met betrekking tot de rollen en rechten van medewerkers (zowel voor assets als fysiek).
Cryptografie: Maatregelen die (de informatie van) data verbergen/codeeren, zodat het enkel gelezen kan worden door de ontvanger.

Multifactorauthenticatie: Maatregel waarbij meerdere verificatiefactoren worden gebruikt om de identiteit van een gebruiker te bevestigen.

Indien een organisatie niet voldoet aan de NIS2-richtlijn of de Cyberbeveiligingswet, kunnen toezichthouders ingrijpen met zware sancties. Mogelijke gevolgen zijn:

  • Boetes
    – Tot 10 miljoen euro of 2% van de wereldwijde jaaromzet (het hoogste bedrag geldt) voor essentiële entiteiten.
    – Tot 7 miljoen euro of 2% van de wereldwijde jaaromzet (het hoogste bedrag geldt) voor belangrijke entiteiten.

  • Hoofdelijke aansprakelijkheid van bestuurders

  • Bestuurlijke maatregelen

  • Reputatieschade

Zeker. Sterker nog, de overheid adviseert organisaties om niet te wachten tot de wet daadwerkelijk van kracht wordt, maar nu al aan de slag te gaan.

Ook als je niet onder de NIS2-richtlijn valt, blijft digitale weerbaarheid essentieel. Cyberdreigingen stoppen niet bij de wettelijke grens. Legian raadt daarom aan om minimaal de maatregelen uit de Baseline Informatiebeveiliging of het Cybersecurity Implementation Guide (CIS IG1) toe te passen.

Oplossing

Onze dienstverlening is gebaseerd op marktstandaarden en best practices, zoals NIST, ISO 27001 en de CIS Controls. Welke standaard het best past, hangt af van de huidige situatie en de specifieke behoeften van jouw organisatie. Zo kunnen we een aanpak bieden die standaard is in opzet, maar maatwerk in toepassing.

De kosten hangen af van factoren zoals de omvang van je organisatie, beschikbaarheid van resources, het risicoprofiel en de reeds genomen maatregelen. Tijdens een intake brengen we samen in kaart welke ondersteuning nodig is. Dit gaat van advies tot volledige implementatie, afgestemd op jouw organisatie.

De doorlooptijd hangt af van factoren zoals de omvang van je organisatie, de beschikbaarheid van resources, het risicoprofiel en de al genomen maatregelen. Na een intake en nulmeting geven we een inschatting van de benodigde inspanning, afhankelijk van de scope en complexiteit.

Op basis van de ingevulde wensen, nemen wij contact met je op om de aanvraag compleet te maken.