Wat is NIS2 en welke organisaties vallen daaronder?

De NIS2-richtlijn is een Europese cybersecuritywetgeving die organisaties in kritieke sectoren verplicht om hun digitale beveiliging naar een hoger niveau te brengen. De richtlijn is in 2023 van kracht geworden en moest in Nederland uiterlijk in oktober 2024 worden omgezet in nationale wetgeving. In 2026 zijn organisaties die onder de richtlijn vallen volop bezig met het aantonen van NIS2-compliance. Dit artikel beantwoordt de meest gestelde vragen over NIS2, welke organisaties eronder vallen en wat de richtlijn concreet betekent voor uw organisatie.

Welke sectoren en organisaties vallen onder NIS2?

De NIS2-richtlijn is van toepassing op middelgrote en grote organisaties in sectoren die als kritiek worden beschouwd voor de samenleving en economie. De richtlijn onderscheidt twee categorieën: sectoren met een hoge kritikaliteit en andere kritieke sectoren. Organisaties met minimaal 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro in deze sectoren vallen in beginsel onder NIS2.

Sectoren met een hoge kritikaliteit zijn onder andere:

  • Energie (elektriciteit, gas, olie, waterstof)
  • Transport (luchtvaart, spoor, wegvervoer, scheepvaart)
  • Bankwezen en financiële marktinfrastructuur
  • Gezondheidszorg en farmacie
  • Drinkwater en afvalwater
  • Digitale infrastructuur (datacenters, clouddiensten, internetknooppunten)
  • Overheidsdiensten op nationaal en regionaal niveau
  • Ruimtevaart

Andere kritieke sectoren die eveneens onder NIS2 vallen, zijn post- en koeriersdiensten, afvalstoffenbeheer, chemische industrie, voedselproductie, maakindustrie en digitale aanbieders zoals online marktplaatsen en zoekmachines. Kleine organisaties zijn in principe uitgezonderd, tenzij ze een bijzondere rol spelen in de nationale infrastructuur.

Wat is het verschil tussen essentiële en belangrijke entiteiten?

NIS2 maakt een onderscheid tussen essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten zijn grote organisaties in de meest kritieke sectoren, terwijl belangrijke entiteiten middelgrote organisaties zijn in kritieke sectoren of grote organisaties in minder kritieke sectoren. Dit onderscheid bepaalt hoe streng het toezicht is en welke sancties van toepassing zijn.

Essentiële entiteiten

Essentiële entiteiten zijn grote organisaties (meer dan 250 medewerkers of een omzet boven 50 miljoen euro) die actief zijn in de sectoren met de hoogste kritikaliteit. Zij vallen onder proactief toezicht: toezichthouders kunnen ook zonder aanleiding controles uitvoeren. De maximale boete voor essentiële entiteiten bedraagt 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Belangrijke entiteiten

Belangrijke entiteiten zijn middelgrote organisaties in kritieke sectoren of grote organisaties in de minder kritieke categorieën. Zij vallen onder reactief toezicht, wat betekent dat toezichthouders alleen optreden na een melding of incident. De maximale boete voor belangrijke entiteiten bedraagt 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Welke verplichtingen legt NIS2 op aan organisaties?

NIS2 legt organisaties een reeks concrete verplichtingen op het gebied van risicobeheer, incidentmelding en beveiliging van de toeleveringsketen. Organisaties moeten passende en evenredige technische en organisatorische maatregelen nemen om de risico’s voor hun netwerk- en informatiesystemen te beheersen.

De belangrijkste verplichtingen zijn:

  • Risicoanalyse en beveiligingsbeleid: Organisaties moeten aantoonbaar risico’s in kaart brengen en een gedocumenteerd beveiligingsbeleid voeren.
  • Incidentrespons: Er moet een plan zijn voor het detecteren, melden en afhandelen van beveiligingsincidenten.
  • Meldplicht: Significante incidenten moeten binnen 24 uur worden gemeld bij de bevoegde autoriteit, met een volledig rapport binnen 72 uur.
  • Beveiliging van de toeleveringsketen: Organisaties zijn verantwoordelijk voor de cybersecurity van hun leveranciers en partners.
  • Toegangsbeheer en authenticatie: Sterke authenticatiemethoden en strikte toegangscontrole zijn verplicht.
  • Encryptie: Gevoelige gegevens moeten adequaat worden versleuteld.
  • Betrokkenheid van bestuurders: Het management is persoonlijk verantwoordelijk voor naleving van de NIS2-verplichtingen.

Hoe verschilt NIS2 van de oorspronkelijke NIS-richtlijn?

NIS2 is een ingrijpende uitbreiding van de oorspronkelijke NIS-richtlijn uit 2016. De belangrijkste verschillen zijn een bredere reikwijdte, strengere eisen, hogere boetes en een expliciete verantwoordelijkheid voor het management. Waar de eerste NIS-richtlijn slechts een beperkt aantal sectoren omvatte, trekt NIS2 het toepassingsgebied aanzienlijk breder.

Concrete verschillen ten opzichte van de oorspronkelijke NIS-richtlijn:

  • Meer sectoren: NIS2 voegt nieuwe sectoren toe zoals afvalstoffenbeheer, ruimtevaart en voedselproductie.
  • Meer organisaties: Door drempelwaarden op basis van omvang en omzet vallen veel meer organisaties automatisch onder de richtlijn.
  • Strengere sancties: De boetes zijn aanzienlijk hoger dan onder de vorige richtlijn.
  • Persoonlijke aansprakelijkheid: Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij ernstige nalatigheid.
  • Geharmoniseerde eisen: NIS2 streeft naar meer uniformiteit in de uitvoering tussen EU-lidstaten.

Wat zijn de gevolgen als een organisatie niet voldoet aan NIS2?

Organisaties die niet voldoen aan de NIS2-richtlijn riskeren hoge boetes, reputatieschade en in ernstige gevallen persoonlijke aansprakelijkheid van bestuurders. De toezichthouder kan corrigerende maatregelen opleggen, waaronder tijdelijke verboden op bepaalde activiteiten of functies.

Naast financiële sancties zijn er ook operationele gevolgen. Een toezichthouder kan een organisatie verplichten om specifieke beveiligingsmaatregelen door te voeren binnen een bepaalde termijn. Bij herhaalde of ernstige overtredingen kan een bestuurder tijdelijk worden verboden om leidinggevende functies uit te oefenen. Bovendien kan een beveiligingsincident bij een niet-compliant organisatie leiden tot aanvullende juridische aansprakelijkheid richting klanten of partners die schade hebben geleden.

Welke IT-certificeringen helpen bij NIS2-compliance?

Verschillende erkende IT-certificeringen helpen professionals en organisaties om te voldoen aan de technische en organisatorische eisen van NIS2. Certificeringen op het gebied van cybersecurity, risicobeheer en informatiebeveiliging zijn het meest direct relevant voor NIS2-compliance.

Relevante certificeringen zijn onder andere:

  • EC-Council CEH (Certified Ethical Hacker): Richt zich op het herkennen en testen van kwetsbaarheden in systemen.
  • CompTIA Security+: Een brede basisopleiding in cybersecurity die aansluit bij de risicobeheereisen van NIS2.
  • CISSP (Certified Information Systems Security Professional): Een geavanceerde certificering voor informatiebeveiligingsprofessionals.
  • ISO 27001 Lead Implementer/Auditor: Sluit nauw aan bij de organisatorische beveiligingseisen die NIS2 stelt.
  • Microsoft Azure Security Engineer: Relevant voor organisaties die werken met cloudinfrastructuur.

Het investeren in gecertificeerde kennis binnen uw organisatie is een concrete stap richting aantoonbare NIS2-compliance. Medewerkers met erkende beveiligingscertificaten dragen direct bij aan de technische en organisatorische maatregelen die de richtlijn vereist.

Hoe Startel helpt met NIS2-compliance

Wij begrijpen dat NIS2 voor veel organisaties een complexe uitdaging is. Met meer dan 25 jaar ervaring in IT-opleidingen en certificeringen helpen wij professionals en organisaties om de kennis op te bouwen die nodig is voor NIS2-compliance. Ons aanbod sluit direct aan bij de eisen die de richtlijn stelt:

  • Erkende cybersecuritytrainingen via partnerschappen met EC-Council, Microsoft en andere toonaangevende organisaties
  • Flexibele leervormen: klassikaal, live online of zelfstudie, afgestemd op uw planning
  • Officiële examens via ons geautoriseerde examencentrum voor Pearson VUE, Kryterion en Exin
  • Maatwerk bedrijfstrainingen voor teams die NIS2-verantwoordelijkheden dragen
  • Persoonlijke begeleiding door ervaren trainers met praktijkkennis

Bekijk ons volledige trainingsaanbod en ontdek welke certificeringen het beste aansluiten bij uw NIS2-doelstellingen. Wilt u weten welke opleiding het beste past bij uw situatie? Neem gerust contact met ons op, zodat we samen de juiste route naar compliance kunnen bepalen.

Terugbelverzoek

Wil je meer weten, maar nu even geen tijd?

Laat je gegevens achter, dan nemen wij binnen 2 werkdagen contact met je op

Dé IT-opleider van het noorden

  • Klanten geven ons een 9.2
  • Erkende trainers
  • Ontvang een certificaat na deelname
  • Train op één van onze drie locaties of vanuit huis

Terugbelverzoek

Vul hieronder jouw gegevens in, zodat wij telefonisch contact met je kunnen opnemen.

"*" geeft vereiste velden aan

Laat ons jou terugbellen
Velden met een * zijn verplicht

Vragen of direct contact nodig, bezoek onze contactpagina.

Eliano Patty.

Eliano Patty

Hoofd sales