Compliance

    NIS2 Compliance

    NIS2 is de EU-richtlijn die essentiële en belangrijke organisaties in 18 sectoren verplicht om gestructureerde cybersecuritymaatregelen te implementeren, incidenten te melden binnen 72 uur en aan te tonen dat hun beveiliging in de praktijk werkt.

    Navigeer de vernieuwde Europese cybersecurityrichtlijn met vertrouwen. We helpen u NIS2-compliant te worden en te blijven via praktische, risicogebaseerde beveiligingsmaatregelen.

    NIS2 Snelle CompliancecheckAdviesdiensten
    NIS2 Richtlijn Overzicht
    ToepassingsgebiedEU-BREED
    18
    Sectoren
    €10M
    Max. Boete
    Van toepassing op essentiële en belangrijke entiteiten in kritieke infrastructuursectoren

    Kernvereisten van NIS2

    Risicobeheer

    Implementeer duidelijke en gestructureerde maatregelen om cyberrisico's in uw organisatie te identificeren, beoordelen en beheersen.

    Incidentmelding

    Meld significante beveiligingsincidenten bij de bevoegde autoriteiten binnen de vereiste termijn van 24 tot 72 uur.

    Supply chain beveiliging

    Identificeer en beheers cybersecurityrisico's geïntroduceerd door leveranciers, dienstverleners en partners.

    Continue monitoring

    Bewaak continu systemen en omgevingen om dreigingen en verdachte activiteiten tijdig te detecteren.

    Toegangscontrole

    Dwing sterke authenticatie af en beheer gebruikersaccounts, rollen en toegangsrechten correct.

    Documentatie

    Onderhoud duidelijke beleidslijnen, procedures en bewijs om compliance aan te tonen en audits te ondersteunen.

    Management is persoonlijk aansprakelijk onder NIS2

    NIS2 Artikel 20 is een van de meest ingrijpende wijzigingen ten opzichte van zijn voorganger. Cybersecurity is niet langer volledig delegeerbaar aan IT.

    Management moet goedkeuren en toezien

    Artikel 20 van NIS2 (Richtlijn EU 2022/2555) verplicht management om cybersecurity maatregelen goed te keuren en actief toe te zien op de implementatie ervan. Cybersecurity volledig delegeren aan IT zonder betrokkenheid op bestuursniveau voldoet niet langer aan de richtlijn.

    Persoonlijke aansprakelijkheid voor bestuurders

    Management kan persoonlijk aansprakelijk worden gesteld voor niet-naleving van NIS2-verplichtingen. Nationale toezichthoudende autoriteiten hebben de bevoegdheid om personen tijdelijk te verbieden management functies uit te oefenen bij ernstige overtredingen. Dit geldt voor directeuren en bestuursleden rechtstreeks.

    Beveiligingstraining voor management is verplicht

    Artikel 20 vereist ook dat leden van het management voldoende training ontvangen in cybersecurityrisicobeheer. De bedoeling is dat besturen weloverwogen beslissingen nemen over beveiligingsinvesteringen en prioriteiten op basis van werkelijk begrip, niet alleen hoog-over briefings.

    Boetes en handhaving: Artikel 34

    NIS2 Artikel 34 introduceert een tweelaagse boetestructuur gekoppeld aan uw entiteitsclassificatie. Beide drempels liggen aanzienlijk hoger dan NIS1.

    Essentiële entiteiten

    Bestuurlijke boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welke het hoogst is. Essentiële entiteiten zijn onderworpen aan proactief toezicht waaronder regelmatige audits, beveiligingsbeoordelingen en inspecties ter plaatse. Niet-naleving kan handhaving uitlokken vóór een incident plaatsvindt.

    Belangrijke entiteiten

    Bestuurlijke boetes tot €7 miljoen of 1,4% van de wereldwijde jaaromzet, afhankelijk van welke het hoogst is. Belangrijke entiteiten zijn onderworpen aan reactief toezicht: handhaving wordt getriggerd na een klacht of bewijs van niet-naleving, niet proactief.

    Incidentmelding: drie deadlines, niet één

    NIS2 Artikel 23 introduceert een gestructureerd drietraps meldingsproces. Elke fase heeft een ander doel en een ander publiek.

    Binnen 24 uur: vroege waarschuwing

    Zodra u zich bewust wordt van een significant incident, stuurt u een vroege waarschuwing naar uw nationaal CSIRT of bevoegde autoriteit. U bevestigt dat het incident plaatsvond, noteert of een cyberaanval wordt vermoed en meldt eventuele grensoverschrijdende impact. Het doel is autoriteiten in staat te stellen te helpen of beschermende maatregelen te nemen.

    Binnen 72 uur: incidentmelding

    Binnen 72 uur na bewustwording dient u een volledigere incidentmelding in. Dit omvat een eerste beoordeling van ernst, getroffen systemen of diensten en een schatting van het aantal getroffen gebruikers. Als uw eerste melding dit al bevatte, werkt u die bij.

    Binnen 1 maand: eindrapport

    Binnen één maand na de incidentmelding is een volledig rapport vereist. Dit moet een beschrijving van het incident, de grondoorzaak, de genomen en geplande maatregelen, en een beoordeling van grensoverschrijdende impact bevatten. Dit rapport bepaalt het regulatoire vervolg.

    Hoe wij helpen

    NIS2 gap-analyse en gereedheidsassessment
    Beveiligingsbeleid ontwikkelen en documenteren
    Technische maatregelen implementeren
    Incident response planning
    Supply chain risicobeoordeling
    Rapportage voor management en bestuur
    PenetratietestenRedSOC PTaaS Platform
    Compleet
    NIS2 complianceprogramma
    4-12
    Weken naar gereedheid
    100%
    Auditondersteuning

    Veelgestelde vragen

    NIS2 is van toepassing op essentiële en belangrijke entiteiten in 18 sectoren die in de EU actief zijn. Essentiële entiteiten omvatten operators in energie, transport, bankwezen, financiële marktinfrastructuur, gezondheid, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening, openbaar bestuur en ruimtevaart. Belangrijke entiteiten omvatten post- en koeriersdiensten, afvalbeheer, vervaardiging van kritieke producten, voeding, chemische stoffen en digitale diensten. Er gelden ook drempelwaarden: middelgrote bedrijven (50 of meer werknemers of meer dan €10 miljoen omzet) in gedekte sectoren vallen doorgaans onder de scope. We kunnen de toepasselijkheid bevestigen door uw sector, omvang en rol in de toeleveringsketen te beoordelen.

    NIS2 Artikel 34 stelt een tweelaags boetestructuur vast. Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welke het hoogst is. Belangrijke entiteiten riskeren boetes tot €7 miljoen of 1,4% van de wereldwijde jaaromzet, afhankelijk van welke het hoogst is. Naast financiële sancties kunnen toezichthoudende autoriteiten bindende aanwijzingen opleggen, tijdelijke managementverboden uitvaardigen en organisaties verplichten getroffen partijen te informeren.

    NIS2 Artikel 23 vereist een drietrapsprocedure. Binnen 24 uur na bewustwording: een vroege waarschuwing aan uw nationaal CSIRT of bevoegde autoriteit ter bevestiging van het incident en of een cyberaanval wordt vermoed. Binnen 72 uur: een formele incidentmelding met ernstsschatting, getroffen systemen en verwacht aantal getroffen gebruikers. Binnen één maand: een eindrapport met grondoorzaak, genomen en geplande maatregelen en eventuele grensoverschrijdende implicaties. We helpen u de processen en documentatiestructuren opzetten om alle drie de deadlines te halen.

    Ja. NIS2 Artikel 20 houdt managementorganen direct verantwoordelijk voor cybersecuritycompliance. Bestuursleden moeten de cybersecuritymaatregelen van de organisatie goedkeuren en actief toezien op de implementatie. Bij ernstige overtredingen kunnen nationale autoriteiten specifieke personen tijdelijk verbieden managementfuncties uit te oefenen. Dit maakt NIS2-compliance een bestuursverplichting, niet alleen een IT-verantwoordelijkheid.

    In België is het Centre for Cybersecurity Belgium (CCB) de nationale bevoegde autoriteit voor de meeste sectoren onder NIS2. In Nederland coördineert het NCSC (Nationaal Cyber Security Centrum) het nationale toezicht, maar sectorspecifieke toezichthouders hebben ook bevoegdheid: bijvoorbeeld de DNB voor financiële instellingen en de RDI voor digitale infrastructuur. We houden bij welke autoriteit voor uw specifieke sector geldt en helpen u uw compliancedocumentatie dienovereenkomstig in te richten.

    Voor de meeste organisaties duurt een eerste NIS2-gereedheidsproces tussen 4 en 12 weken, afhankelijk van uw huidige beveiligingsmaturiteit, de omvang van uw organisatie en de complexiteit van uw toeleveringsketen. Dit omvat gap-analyse, beleidsontwikkeling, implementatie van technische maatregelen en incident response planning. Organisaties die al over ISO 27001 of een vergelijkbaar kader beschikken gaan doorgaans sneller omdat de basisinfrastructuur al bestaat.

    Begin uw NIS2-compliance traject

    Krijg een gap-analyse en roadmap naar compliance.

    NIS2 Snelle CompliancecheckNeem Contact Op