NIS2 komt eraan en jij moet weten of jouw organisatie daaronder valt. Deze Europese richtlijn verplicht lidstaten om strengere beveiligingsmaatregelen door te voeren voor organisaties die vallen onder de categorie essentiële entiteiten of belangrijke entiteiten. Denk aan sectoren als energie, vervoer, zorg, maar ook bepaalde digitale diensten. De richtlijn is bedoeld om de nationale veiligheid, digitale infrastructuur en openbare veiligheid te beschermen tegen zowel digitale als fysieke dreigingen.
Wat is NIS2 en waarom is het belangrijk?
De NIS2-richtlijn is een Europese afspraak die strengere eisen stelt aan de digitale weerbaarheid van organisaties. De richtlijn vervangt de huidige wet beveiliging netwerk en informatiesystemen en wordt opgenomen in de nationale wetgeving. Hiermee wil de Europese Unie voorkomen dat cyberaanvallen of verstoringen de nationale veiligheid of openbare veiligheid in gevaar brengen.
Voor jou als werkgever betekent dit dat je mogelijk moet voldoen aan strengere beveiligingsnormen. Zeker als je organisatie onderdeel is van de kritieke infrastructuur of opereert in sectoren die impact hebben op de digitale infrastructuur van Nederland.
Wat betekent NIS2 voor jouw organisatie?
Val je onder de essentiële entiteiten of ben je aangemerkt als een van de belangrijke entiteiten? Dan ben je verplicht om je digitale processen te versterken, incidenten te melden en risico’s structureel te beheersen. De richtlijn schrijft bovendien dat je niet alleen digitale maar ook fysieke dreigingen moet meenemen in je risicobeoordeling.
De nederlandse wetgeving schrijft voor dat toezicht straks uitgevoerd wordt door de Rijksinspectie Digitale Infrastructuur. Overtreed je de regels, dan loop je kans op boetes of sancties.
Essentiële en belangrijke entiteiten: hoor jij erbij?
De NIS2-richtlijn deelt organisaties op in essentiële entiteiten en belangrijke entiteiten. Val je in zo’n groep, dan wordt jouw bedrijf automatisch onder de nationale wetgeving gebracht die de binnenlandse zaken binnenkort publiceert. Het doel is helder: de nationale veiligheid en de digitale infrastructuur beschermen. Een aantal nieuwe sectoren komt erbij; controleer dus tijdig of jouw organisatie erbij hoort.
Wie vallen onder de essentiële entiteiten?
-
Volgende sectoren: energie, drinkwater, vervoer, gezondheidszorg en digitale infrastructuur.
-
Ook kritieke entiteiten zoals grote datacenters en telecomoperators.
-
Publieke instellingen: lokale overheden, gemeenschappelijke regelingen en zelfstandige bestuursorganen die een vitale rol spelen.
-
De nieuwe Wet weerbaarheid kritieke entiteiten sluit hierop aan en vraagt om snelle implementatie.
Wat zijn belangrijke entiteiten?
Bedrijven uit andere sectoren—denk aan voedsel, post, elektronica en chemie—vallen onder bepaalde sectoren met lichtere eisen. Toch moet je je economische weerbaarheid aantonen, voldoen aan strengere beveiligingsnormen en direct actie komen beveiligen bij incidenten. De Rijksoverheid adviseert organisaties om procedures op te stellen en zo strafbare feiten te voorkomen.
Wat schrijft de NIS2-richtlijn precies voor?
De NIS2-richtlijn legt vast hoe je jouw organisatie moet voorbereiden op continu veranderende risico’s. De richtlijn bevat verplichte processen om meldingen niet achteraf plaatsvindt maar direct te doen, zodat de Rijksinspectie Digitale Infrastructuur snel kan optreden. Daarnaast vervangt NIS2 de oude wet beveiliging netwerk en sluit aan op de bredere critical entities resilience directive.
Strengere beveiligingsnormen voor netwerk en systemen
-
Voer periodieke risicoanalyses uit om informatiesystemen [die] bedreigen tijdig te detecteren.
-
Toon je economische weerbaarheid aan met aantoonbare procedures voor herstel.
-
Koppel je maatregelen aan de nieuwe nationale wetgeving én de bestaande nederlandse wetgeving voor de digitale infrastructuur.
Digitale én fysieke dreigingen aanpakken
Naast cyberrisico’s moet je plannen klaar hebben voor fysieke dreigingen die de nationale veiligheid of openbare veiligheid kunnen verstoren. Dat geldt voor critical entities in de volgende sectoren (energie, zorg, vervoer, telecom) én organisaties uit andere branches die onder de wet beveiliging worden geplaatst. Door nu actie komen beveiligen, verklein je de kans op boetes en schade.
Wat betekent dit voor de Nederlandse wetgeving?
De Europese Unie verplicht alle Europese lidstaten om de NIS2-richtlijn direct op te nemen in hun nationale wetgeving. In Nederland gebeurt dat via wijzigingen in de huidige Wet beveiliging netwerk en informatiesystemen en een bredere Wet beveiliging. Onder leiding van Binnenlandse Zaken komt er nieuwe wetgeving die zowel essentiële entiteiten als belangrijke entiteiten onder strengere beveiligingsnormen plaatst om de digitale infrastructuur en de openbare veiligheid te beschermen.
Hoe wordt de richtlijn omgezet?
-
Het wetsvoorstel wordt gepubliceerd en getoetst aan bestaande Nederlandse wetgeving.
-
Na goedkeuring volgt een korte overgangsperiode voordat handhaving start.
-
De Rijksinspectie Digitale Infrastructuur controleert naleving en kan sancties opleggen.
Wet weerbaarheid kritieke entiteiten (Wwke)
Parallel introduceert de overheid de Wet weerbaarheid kritieke entiteiten, de nationale uitwerking van de Critical Entities Resilience Directive. Deze wet richt zich op kritieke entiteiten en verplicht maatregelen tegen fysieke dreigingen naast cyberrisico’s. Samen vormen beide wetten één robuust kader voor vitale diensten.
Welke sectoren en organisaties worden geraakt in 2025?
De NIS2-richtlijn breidt het aantal verplicht deelnemende sectoren flink uit. Naast bekende vitale sectoren vallen nu ook andere sectoren onder de nieuwe regels, waaronder afvalbeheer, postdiensten, levensmiddelenproductie en ruimtevaart. Ook digitale dienstverleners en hostingbedrijven worden meegenomen in de lijst met bepaalde sectoren.
Wie moet zich voorbereiden?
Als jouw organisatie deel uitmaakt van de volgende sectoren, moet je rekening houden met de wet beveiliging netwerk én de nieuwe verplichtingen vanuit de nationale wetgeving:
-
Lokale overheden die publieke dienstverlening ondersteunen
-
Gemeenschappelijke regelingen met vitale taken
-
Zelfstandige bestuursorganen met invloed op de infrastructuur
-
Leveranciers van IT- of telecomdiensten binnen de EU
Je organisatie kan bovendien als kritieke entiteit worden aangemerkt, ook als je daar eerder niet onder viel. De rijksoverheid adviseert organisaties daarom actief te controleren of ze onder de richtlijn vallen. Wachten tot handhaving begint is geen optie, zeker niet wanneer het risico op strafbare feiten toeneemt.
Wat moet je als werkgever nu doen?
De NIS2-richtlijn verplicht je om niet af te wachten, maar direct maatregelen te nemen. Of je nu onder de essentiële entiteiten valt of onder de belangrijke entiteiten: voorbereiding is verplicht. De nationale wetgeving laat geen ruimte voor twijfel — de verantwoordelijkheid ligt bij jou.
Stap 1: Inventariseer of jouw organisatie valt onder de richtlijn
Controleer of je organisatie voorkomt in de lijst met bepaalde sectoren. Denk aan transport, energie, zorg, voedselketen, of aanbieders van digitale diensten. Vergeet ook je rol in de keten niet: ook toeleveranciers kunnen als kritieke entiteiten worden gezien.
Stap 2: Verhoog je economische weerbaarheid en beveiliging
Zorg voor een duidelijke aanpak om fysieke dreigingen en digitale risico’s aan te pakken. Richt een incidentresponsplan in, en voer risicoanalyses uit op je informatiesystemen.
Stap 3: Werk samen met de Rijksinspectie Digitale Infrastructuur
Deze instantie houdt toezicht en ondersteunt organisaties bij het naleven van de regels. Bij signalen van risico’s moet je actie komen beveiligen.
Stap 4: Voorkom risico’s en strafbare feiten
Zorg dat je personeel alert is, processen geborgd zijn en dat je documentatie op orde is. Niet naleven van de richtlijn kan leiden tot onderzoek en sancties, ook bij indirecte betrokkenheid.
Conclusie
De invoering van NIS2 is geen ver-van-je-bed-show, maar directe verplichting. De rijksoverheid adviseert organisaties om vóór inwerkingtreding te toetsen of ze onder de essentiële entiteiten of belangrijke entiteiten vallen. Die toetsing is geen momentopname: je moet structureel kunnen aantonen dat je voldoet aan de nieuwe eisen in de nationale wetgeving.
Bewustwording binnen je organisatie
Zorg dat management en IT-afdeling op één lijn zitten. Achteraf plaatsvindt-denken is verleden tijd. Incidenten moeten direct worden gemeld en adequaat worden afgehandeld. Maak compliance onderdeel van je bedrijfsvoering, zeker als je valt onder kritieke entiteiten of opereert in bepaalde sectoren.
- Eenvoudige personeelsplanning
- Overzichtelijke urenregistratie
- Makkelijke verlofregistratie
