- Wat is de NIS2 Wetgeving?
- Wat houdt de NIS2-regelgeving precies in?
- Welke bedrijven moeten voldoen aan de NIS2?
- NIS2 nationale wetgeving in België?
- Wanneer is de NIS2-richtlijn verplicht?
- Is de NIS2-richtlijn in België uitgesteld?
- Wanneer treedt NIS2 in werking in Nederland?
- Wat als je niet voldoet aan NIS2?
- Praktische gevolgen voor organisaties?
- Sector-specifieke impact
- Stappenplan voor NIS2-naleving
NIS2 wetgeving: wat betekent dit voor Belgische organisaties?
Nieuw
3 min
De NIS2 (Network and Information Secutity 2) wetgeving stelt hogere eisen aan de cybersecurity voor organisaties in België. Van risicobeheer tot incidentmelding: de richtlijn legt verantwoordelijkheden bij management en personeel. Veel bedrijven weten nog niet precies wat dit betekent. In dit artikel lees je wat NIS2 inhoudt, wanneer het verplicht is, welke organisaties onder de wet vallen en hoe je concreet aan de eisen kunt voldoen.
Inhoudsopgave
Wat is de NIS2 Wetgeving?
De NIS2-wetgeving is een belangrijke Europese richtlijn die gericht is op het versterken van de digitale weerbaarheid van zowel essentiële als belangrijke organisaties. Deze richtlijn is een vervolg op de oorspronkelijke NIS1-richtlijn en introduceert strengere eisen voor netwerk- en informatiesystemen.
Organisaties worden aangespoord om risico’s te identificeren, aan te pakken en te rapporteren. Bovendien legt NIS2 de nadruk op de actieve betrokkenheid van het management, dat verantwoordelijk is voor het toezicht op de uitvoering van cybersecuritymaatregelen binnen de organisatie.
Wat houdt de NIS2-regelgeving precies in?
NIS2 verplicht organisaties tot technische en organisatorische maatregelen om cyberrisico’s te beperken. Dit omvat onder andere het beheren van toegang, het monitoren van systemen, het opstellen van continuïteitsplannen en het waarborgen van ketenbeveiliging.
Daarnaast dienen incidentmeldingen te voldoen aan strikte richtlijnen. De richtlijn legt de nadruk op preventie, detectie en herstel. Hierdoor is cyberveiligheid niet alleen een verantwoordelijkheid van de IT-afdeling, maar een strategische taak voor het gehele bestuur.
Welke bedrijven moeten voldoen aan de NIS2?
NIS2 richt zich op essentiële en belangrijke entiteiten. Dit zijn organisaties in sectoren zoals energie, zorg, transport, financiële diensten en digitale infrastructuur. Middelgrote en grote bedrijven in deze sectoren vallen onder de richtlijn. Kleine bedrijven zijn meestal uitgezonderd, tenzij ze een cruciale rol spelen in de keten. Organisaties moeten proactief bepalen of zij onder de wet vallen om risico’s op non-compliance te voorkomen.
Gelden de richtlijnen voor u?
Als je bedrijf tot een van de onderstaande sectoren behoort en je organisatie voldoet aan de gestelde criteria, dan wordt je onderneming gezien als een essentiële of belangrijke entiteit en is de NIS2 regelgeving voor je van toepassing.
Sectoren bijlage 1:
- Energie
- Transport
- Bankwezen
- Infrastructuur financiële markt
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Beheerders van ICT-diensten
- Afvalwater
- Overheidsdiensten
- Ruimtevaart
Sectoren bijlage 2:
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Vervaardiging
Essentiële entiteiten
Organisaties die volgens de CER-richtlijn als kritieke entiteit zijn aangewezen, worden automatisch als essentiële entiteit beschouwd onder de NIS2-richtlijn. Dit betreft bijvoorbeeld energiebedrijven, transportnetwerken, financiële instellingen, grote ziekenhuizen en waterbedrijven die een belangrijke rol spelen in de continuïteit van vitale diensten.
Grote organisaties die actief zijn in de sector zoals vermeld in bijlage 1 van de NIS2-richtlijn, dienen aan de volgende criteria te voldoen: zij hebben minimaal 250 werknemers, of een jaaromzet van meer dan 50 miljoen euro, en een balanstotaal dat hoger is dan 43 miljoen euro.
Belangijke entiteiten
Middelgrote organisaties die actief zijn in sectoren 1 en 2. Een organisatie wordt als middelgroot beschouwd als ze minimaal 50 werknemers heeft of een jaaromzet en balanstotaal van meer dan 10 miljoen euro genereert.
NIS2 nationale wetgeving in België?
België zet de Europese NIS2-richtlijn om in nationale wetgeving. Dit betekent dat de regels van de EU juridisch bindend worden binnen België, inclusief toezichtstructuren en handhaving. Verschillende toezichthouders krijgen bevoegdheden om naleving te controleren en boetes op te leggen. Organisaties moeten kunnen aantonen dat zij structureel voldoen aan de wet, zowel op papier als in de praktijk.
Wanneer is de NIS2-richtlijn verplicht?
De EU-lidstaten moesten de NIS2-richtlijn uiterlijk 17 oktober 2024 omzetten in nationale wetgeving. Deze verplichting gold voor de lidstaten, niet rechtstreeks voor organisaties. In België is de implementatie vertraagd en vindt deze plaats via de Cyberbeveiligingswet (Cbw), die naar verwachting pas in 2026 in werking treedt. Tot die tijd zijn de NIS2-verplichtingen nog niet nationaal uitvoerbaar.
Is de NIS2-richtlijn in België uitgesteld?
Ja. België heeft de Europese deadline van 17 oktober 2024 voor de omzetting van de NIS2-richtlijn niet gehaald. De richtlijn is op EU-niveau wel van kracht, maar de Nederlandse verplichtingen zijn nog niet uitvoerbaar omdat de nationale implementatie via de Cyberbeveiligingswet nog niet is afgerond. Er is dus sprake van een vertraagde nationale invoering, niet van afstel.
Wanneer treedt NIS2 in werking in Nederland?
De NIS2-verplichtingen treden in België pas formeel in werking zodra de Cyberbeveiligingswet (Cbw) van kracht wordt. Volgens actuele overheidsinformatie wordt dit niet vóór 2026 verwacht. Tot die tijd geldt er geen nationale handhaving, maar organisaties die straks onder NIS2 vallen, worden nadrukkelijk geadviseerd zich alvast voor te bereiden op de komende verplichtingen.
Wat als je niet voldoet aan NIS2?
Niet-naleving van NIS2 kan leiden tot boetes, verplichte maatregelen en reputatieschade. Toezichthouders kunnen bestuurders persoonlijk aansprakelijk stellen. Daarnaast verhoogt het risico op operationele verstoring door cyberincidenten. Naleving is dus zowel een juridische verplichting als een strategische noodzaak voor bedrijfscontinuïteit en betrouwbaarheid richting klanten en partners.
Praktische gevolgen voor organisaties?
Voor organisaties betekent NIS2 dat cybersecurity en compliance structureel in de bedrijfsvoering moeten worden geïntegreerd. Rollen en verantwoordelijkheden moeten duidelijk zijn vastgelegd en medewerkers goed getraind.
Risicoanalyses en continue monitoring zijn essentieel, net als tijdige registratie en rapportage van incidenten. Met Protime’s digitale oplossingen voor urenregistratie en procesbeheer kunnen organisaties deze processen efficiënt bijhouden, verantwoordelijkheden monitoren en voldoen aan wettelijke verplichtingen, terwijl ze overzicht behouden over operationele workflows.
Sector-specifieke impact
Zorginstellingen: voor zorgorganisaties ligt de focus op het beschermen van patiëntgegevens en het waarborgen van de beschikbaarheid van kritische IT-systemen die zorgprocessen ondersteunen.
Energiebedrijven: binnen de energiesector draait NIS2 vooral om de beveiliging van productie- en distributienetwerken, waarbij verstoringen directe gevolgen kunnen hebben voor de samenleving.
Transport en logistiek: voor transport- en logistieke organisaties is het essentieel om de continuïteit van operationele systemen te garanderen, zoals plannings-, tracking- en besturingssystemen.
IT- en digitale dienstverleners: deze organisaties dragen een verhoogde verantwoordelijkheid voor de bescherming van klantdata en het veilig en beschikbaar houden van digitale diensten en infrastructuur.
Neem contact met ons op voor meer informatie
Stap 1: Risicoanalyse uitvoeren
Breng in kaart welke systemen, processen en gegevens essentieel zijn voor de bedrijfscontinuïteit en waar de grootste cyberrisico’s liggen.
Stap 2: Verantwoordelijkheden vastleggen
Bepaal wie verantwoordelijk is voor cybersecurity, incidentbeheer en naleving van de NIS2-richtlijn, zowel op management- als operationeel niveau.
Stap 3: Beveiligingsmaatregelen implementeren
Neem passende technische en organisatorische maatregelen, zoals toegangsbeheer, monitoring, back-ups en continuïteitsplannen.
Stap 4: Incidentregistratie en meldprocedures opzetten
Zorg voor duidelijke processen om incidenten snel te detecteren, te registreren en tijdig te melden aan de bevoegde autoriteiten.
Stap 5: Toezicht en audits organiseren
Voer regelmatig interne controles uit en bereid audits voor om de effectiviteit van de maatregelen te beoordelen.
Stap 6: Continu evalueren en verbeteren
Test processen periodiek en pas deze aan op basis van nieuwe dreigingen, technologische ontwikkelingen en wetgeving.