8 april 2023 • NIS2
Sinds 16 januari 2023 geldt de Europese NIS2-richtlijn voor essentiële bedrijven. In Nederland kennen we de nieuwe cyberrichtlijn als NIB2. Het is de opvolger van de NIB1. Net als andere EU-landen heeft Nederland tot 17 oktober 2024 de tijd om nationale regels aan te passen aan de Europese standaard. Wat gaat er veranderen? We zetten het voor je op een rij.
De NIS-cyberwet is nu van toepassing op essentiële bedrijven. Dat wil zeggen, de oorspronkelijke NIS1 is van toepassing op die sectoren. Vanaf 2024 zullen richtlijnen ook van toepassing zijn op “belangrijke bedrijven”. Dat zal de cybersecurity in Nederland en in Europa verbeteren bij een groter aantal middelgrote tot grote bedrijven.
Wat is de NIS2-richtlijn?
NIS2 is de opvolger van NIS1, die jaren geleden werd geïntroduceerd voor essentiële bedrijven. De nieuwe NIS2-richtlijn (officieel: Richtlijn (EU) 2022/2555)) werd gepubliceerd door ENISA, het Agentschap van de Europese Unie voor cybersecurity. De richtlijn schrijft minimale beveiligingseisen voor, evenals de verplichting om (ernstige) incidenten te melden bij de nationale autoriteit of het European Computer Security Incident Response Team (CSIRT). De nieuwe richtlijn vervangt de oorspronkelijke, die in 2016 van kracht werd.
Dit zijn de belangrijkste verschillen tussen de NIS1 en NIS2:
- Richtlijn van toepassing op meer sectoren
De NIS2 is van toepassing op zowel essentiële bedrijven als belangrijke bedrijven. Meer middelgrote en grote bedrijven moeten aan de richtlijn gaan voldoen. Daarnaast kan de Nederlandse overheid kleinere bedrijven met een hoog security risico aanwijzen die ook moeten gaan voldoen. - Lijst met minimale basisbeveiliging
De richtlijn is concreter, dankzij een lijst met minimale basisbeveiliging die bedrijven moeten implementeren. De richtlijn legt een risicomanagementaanpak op. - Verdeling in essentiële en belangrijke sectoren
De nieuwe NIS-richtlijn verdeelt bedrijven in essentiële en belangrijke sectoren. Het onderscheid tussen aanbieders van essentiële diensten en aanbieders van digitale diensten verdwijnt. - Security in de keten aanpakken
Bedrijven moeten security risico's in hun supply chain gaan aanpakken. Dat omvat risico's die ontstaan door leveranciersrelaties. - Strenger toezicht
Nationale autoriteiten krijgen strenger toezicht en handhaving. De nieuwe richtlijn trekt sanctieregimes en meldingsplichten in alle lidstaten gelijk(er).
Wat zijn essentiële bedrijven?
De NIS-richtlijn is van toepassing op essentiële bedrijven. Deze sectoren zijn:
- Energie
- Drinkwater
- Afvalwater
- Transport
- Bankwezen
- Financiële Markten
- Digitale infrastructuur
- Overheidsinstanties
- Gezondheidszorg
- Ruimte
Tip: Benieuwd welke bedrijven precies 'essentieel' of 'belangrijk' zijn? Download de tabel Sectoren die onder NIS2 vallen van het CBS.
De nieuwe NIS2-richtlijn geldt ook voor grote bedrijven. Deze sectoren zijn:
- Post- en koeriersdiensten
- Verwerking en distributie
- Afvalverwerking
- Digitale aanbieders
- Maakbedrijven
- Chemische industrie
- Voedingsmiddelenindustrie
Verschil in toezicht tussen essentiële en belangrijke bedrijven
Essentiële bedrijven worden proactief gecontroleerd door lokale autoriteiten. Toezicht op belangrijke bedrijven vindt achteraf plaats, als er bewijs is van een incident.
Essentiële en belangrijke bedrijven krijgen een meldplicht en een zorgplicht. Ze moeten security implementeren in hun supply chain en duidelijk communiceren hoe ze omgaan met cyberincidenten.
Waarom is de nieuwe richtlijn belangrijk?
De nieuwe NIS2-richtlijn moet netwerk- en informatiesystemen bij bedrijven veiliger maken. Op deze manier moeten Nederland en de hele Europese Unie minder kwetsbaar worden voor cyberaanvallen.
Minister Dilan Yeşilgöz-Zegerius (Justitie en Veiligheid) zei: “We zijn steeds afhankelijker van digitale processen, zeker sinds corona werken we steeds meer thuis. Daarnaast zien we een groeiende digitale dreiging van zowel criminelen als statelijke actoren die, met een oorlog aan de oostgrens van Europa, voorlopig niet zal afnemen. Het is daarom nu nodig om de volgende stap te zetten om het niveau van cybersecurity in de EU te verhogen. Daarmee voorkomen we dat digitale incidenten onze samenleving ontwrichten.”
Minister Micky Adriaansens (Economische Zaken en Klimaat) vult aan: “We moeten alert zijn op de risico’s van cyberaanvallen. De impact kan groot zijn, denk aan lege schappen in winkels of uitval van industriële productie. Het beheer van digitale security blijft een individuele verantwoordelijkheid van bedrijven en consumenten. Maar met deze wetgeving kunnen we een stap zetten om te zorgen dat het niveau van cyber security omhooggaat bij (middel)grote partijen in meer belangrijke sectoren.”
Krijg je een boete als je niet voldoet?
Bedrijven die niet voldoen aan de nieuwe richtlijn krijgen een waarschuwing, dan een herinnering en riskeren daarna een hoge boete. De maximale boete bedraagt 10 miljoen euro of twee procent van de totale jaaromzet van middelgrote tot grote bedrijven.
Schade door cybercrime voorkomen: wat kun je doen?
Ook zonder een cyberwet zoals de NIS2 in Nederland is het belangrijk om cybercrime serieus te nemen. Je beschermt je bedrijf met bijvoorbeeld:
- Security by design
Begin elke meeting met (digitale) security. Welke maatregelen neem je om misbruik te voorkomen en wat zijn de risico’s en kwetsbaarheden? Door hier standaard over na te denken, richt je (nieuwe) systemen veiliger in. - Veilige verbinding
Gebruik een veilige verbinding voor je bedrijf. Voorkom dat anderen ongewenst meekijken of zelfs data stelen. De veilige verbinding is wereldwijd beschikbaar, op elk moment vanaf elke locatie. - Train medewerkers in cybersecurity
Wie de risico’s niet kent, kan zich er onmogelijk tegen beschermen. Train medewerkers en zorg dat ze kwetsbaarheden herkennen en niet in de val trappen wanneer cybercriminelen deze opzetten.
Hoe EyeOn Guardey gebruikt om te voldoen aan NIS2
Bedrijven die moeten voldoen aan NIS2 zijn verplicht om Security Awareness Training aan te bieden aan hun medewerkers.

Onze klant Gezamenlijke Brandweer Amsterdam (een Nederlandse brandweerorganisatie) is een essentiële organisatie en moet daarom voldoen aan de NIS2-regelgeving. Om ervoor te zorgen dat hun medewerkers voorbereid zijn op het herkennen van cyberrisico's, gebruiken zij Guardey om Security Awareness Training aan te bieden. Elke week speelt hun team een korte uitdaging van 3 minuten die hen helpt om langzaam cyberbeveiligingskennis op te bouwen.
Maak het makkelijk met Guardey
Bij Guardey begrijpen we dat je veel aan je hoofd hebt. Hoe voldoe je aan NIS2, wat zijn de kwetsbaarheden binnen je bedrijf en hoe voorkom je een hack, datalek of andere cybercrime?
Daarom maken we het je graag makkelijk. Met Guardey kies je direct voor een complete cybersecurity oplossing. We zijn plug & play, zowel voor een veilige verbinding, tegen malicious software als om je medewerkers professioneel (maar leuk!) te trainen.
Wil je dus de cybersecurity van je bedrijf verbeteren en voldoen aan de nieuwe NIS2-richtlijn? Ontdek onze oplossing of stel ons je vragen. We leggen je graag uit hoe je met Guardey op een zeer toegankelijke, eenvoudige en betaalbare manier beschermd bent.