Gratis Tool

NIS2 Check

Ontdek in 2 minuten of uw organisatie onder de NIS2 richtlijn valt en welke verplichtingen dit met zich meebrengt.

17+

Sectoren onder NIS2

€10M

Max. boete essentieel

24 uur

Incident meldtermijn

2025

NL implementatie

Vraag 1 van 425%

In welke sector is uw organisatie actief?

Wat is de NIS2 Richtlijn?

De NIS2 (Network and Information Security Directive 2) is de vernieuwde Europese cybersecurity wetgeving die organisaties in kritieke sectoren verplicht om hun digitale weerbaarheid te versterken. Als opvolger van de oorspronkelijke NIS-richtlijn uit 2016 heeft NIS2 een veel breder bereik en strengere eisen.

De richtlijn is op 16 januari 2023 in werking getreden en moest uiterlijk 17 oktober 2024 door EU-lidstaten in nationale wetgeving zijn omgezet. In Nederland wordt dit de Cyberbeveiligingswet. Het doel is om de collectieve cybersecurity in de EU te verhogen en organisaties beter te beschermen tegen de toenemende dreigingen van cyberaanvallen.

Essentieel vs. Belangrijk: Wat Betekent Het?

Essentiële Entiteiten

Organisaties waarvan uitval grote maatschappelijke impact heeft. Onderhevig aan proactief toezicht.

Sectoren:

Energie (elektriciteit, olie, gas)
Transport (lucht, spoor, water, weg)
Bankwezen & Financiële infrastructuur
Gezondheidszorg
Drinkwater & Afvalwater
Digitale infrastructuur
Overheid & Ruimtevaart

Maximale boete: €10M of 2% omzet

Belangrijke Entiteiten

Organisaties in aanvullende sectoren die belangrijk zijn voor de economie. Reactief toezicht.

Sectoren:

Post en koeriersdiensten
Afvalbeheer
Chemische industrie
Voedselproductie & distributie
Industrie (machines, voertuigen)
Digitale diensten
Onderzoeksinstellingen

Maximale boete: €7M of 1.4% omzet

NIS2 Tijdlijn

Jan 2023

NIS2 van kracht in EU

De richtlijn treedt officieel in werking

Okt 2024

Deadline implementatie

Nationale wetgeving had klaar moeten zijn

Q1 2025

Nederlandse Cyberbeveiligingswet

Verwachte invoering in Nederland

Q2-Q4 2025

Handhaving start

Toezichthouders beginnen met controles

Waarom NIS2 Belangrijk Is

Hoge Boetes

Tot €10 miljoen of 2% van de wereldwijde omzet voor essentiële entiteiten

Bestuursaansprakelijkheid

Directie en bestuurders kunnen persoonlijk aansprakelijk worden gesteld

Supply Chain

NIS2 eisen worden doorgelegd aan leveranciers en toeleveranciers

Veelgestelde Vragen over NIS2

Antwoorden op de meest gestelde vragen over de NIS2 richtlijn

Wat is de NIS2 richtlijn?

De NIS2 (Network and Information Security Directive 2) is een Europese richtlijn die cybersecurity eisen stelt aan organisaties in kritieke en belangrijke sectoren. Het is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016 en heeft een aanzienlijk breder toepassingsgebied. NIS2 verplicht organisaties om passende beveiligingsmaatregelen te nemen en incidenten te melden.

Wanneer treedt NIS2 in Nederland in werking?

De NIS2 richtlijn moest uiterlijk 17 oktober 2024 in Nederlandse wetgeving zijn omgezet via de Cyberbeveiligingswet. Hoewel de implementatie vertraging heeft opgelopen, wordt verwacht dat de wet in 2025 van kracht wordt. Organisaties doen er verstandig aan nu al te beginnen met voorbereidingen, aangezien veel maatregelen tijd kosten om te implementeren.

Wat is het verschil tussen essentiële en belangrijke entiteiten?

Essentiële entiteiten zijn organisaties in de meest kritieke sectoren (energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur, overheid). Zij vallen onder proactief toezicht en kunnen boetes krijgen tot €10 miljoen of 2% van de wereldwijde omzet. Belangrijke entiteiten (post, afvalbeheer, chemie, voeding, industrie, digitale diensten) vallen onder reactief toezicht met lagere boetes tot €7 miljoen of 1.4% omzet.

Welke boetes kunnen opgelegd worden bij niet-naleving?

Voor essentiële entiteiten kunnen boetes oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten zijn de maximale boetes €7 miljoen of 1.4% van de omzet. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld, wat een belangrijke verscherping is ten opzichte van de oude NIS-richtlijn.

Moet ik als MKB bedrijf ook aan NIS2 voldoen?

NIS2 is primair gericht op middelgrote en grote organisaties (50+ medewerkers of €10M+ omzet) in de aangewezen sectoren. Kleine bedrijven zijn meestal uitgezonderd, maar er zijn uitzonderingen: als u een unieke of kritieke dienst levert, als u in de supply chain zit van NIS2-plichtige organisaties, of als u als micro/klein bedrijf door de overheid wordt aangewezen vanwege uw kritieke rol.

Wat zijn de belangrijkste verplichtingen onder NIS2?

De belangrijkste verplichtingen zijn: 1) Implementeren van passende beveiligingsmaatregelen (risicobeheer, incident handling, business continuity), 2) Melden van significante incidenten binnen 24 uur (eerste melding) en 72 uur (gedetailleerd rapport), 3) Zorgen voor beveiliging in de supply chain, 4) Bestuurders moeten aantoonbaar betrokken zijn bij cybersecurity, en 5) Regelmatige risicoanalyses en audits uitvoeren.

Hoe kan JamaSec helpen met NIS2 compliance?

JamaSec biedt complete NIS2 begeleiding: van een gap-analyse om te bepalen waar u staat, tot het implementeren van alle vereiste maatregelen. We helpen met het opzetten van een Information Security Management System (ISMS), voeren penetration tests uit om uw beveiliging te valideren, en ondersteunen bij het opstellen van incident response procedures. Ook bieden we trainingen voor bestuurders en medewerkers aan.