Informatiebeveiliging

Voldoen aan de NIS2 richtlijn

Wij helpen u doelgericht aan de NIS2 te voldoen. Onze werkwijze neemt u het werk uit handen en geven praktische uitwerkingen voor ieder onderdeel van de wetgeving.

Gratis adviesgesprekLees verder
Medewerker Van Voorst Consult werkt een NIS2 voorstel uit

Wat is de NIS2

De “NIS 2-richtlijn”, of kortweg “NIS2”, is een cyberbeveiligingswet van de Europese Unie. Deze richtlijn specificeert cyberbeveiligingsvereisten die moeten worden geïmplementeerd door EU-bedrijven die worden beschouwd als kritieke infrastructuur. De richtlijn werd al gepubliceerd op 14 december 2022 en is een vervangt de voorgaande NIS-richtlijn. ‘NIS’ is een afkorting van Netwerk- en Informatie Systemen. Deze richtlijn wordt in Nederland geïmplementeerd als de Cyberbeveiligingswet (Cbw) en de Netwerk- en InformatieBeveiligingsrichtlijn (NIB).

NIS2 is belangrijk omdat het strenge cyberbeveiligingseisen stelt aan een groot aantal bedrijven in de Europese Unie – volgens sommige schattingen zullen meer dan 100.000 bedrijven in de Europese Unie NIS2-compliant moeten worden. Hoewel NIS2 niet voor zoveel bedrijven geldt als bijvoorbeeld de GDPR (AVG) van de EU, zal het zeker een de facto standaard worden voor kritieke infrastructuur die andere (niet-EU) landen zullen navolgen – een zeer vergelijkbaar scenario heeft zich al voorgedaan in niet-EU-landen met privacyregelgeving die veel lijkt op de GDPR van de EU.

Boetes kunnen oplopen tot €10 miljoen of 2% van de totale wereldwijde jaaromzet. Belangrijk is dat NIS2 ook de verantwoordelijkheid van directieleden benadrukt; zij kunnen hoofdelijk aansprakelijk worden gesteld bij incidenten.

Wanneer geldt de NIS2

Organisaties binnen ondergenoemde sectoren, voor zo ver ze minimaal 50 werknemers en/of ten minste een jaaromzet (en/of jaarlijkse balanstotaal) hebben van EUR 10 miljoen. Daarnaast bestaan een aantal specifieke situaties waarin de grootte van de organisaties geen rol speelt.

  • Categorie 1: energie; vervoer; bankwezen; infrastructuur voor de financiële markt; gezondheidszorg; drinkwater; afvalwater; digitale infrastructuur; beheer van ICT-diensten; overheid; ruimtevaart
  • Categorie 2: post- en koeriersdiensten; afvalstoffenbeheer; vervaardiging, productie en distributie van chemische stoffen; productie, verwerking en distributie van levensmiddelen; vervaardiging; digitale aanbieders; onderzoek

Organisaties onder de NIS2 worden minimaal als “belangrijke entiteit” aangemerkt. Organisaties uit categorie 1 die minimaal 250 werknemers en/of een jaaromzet van EUR 50 miljoen en/of een jaarlijkse balanstotaal van EUR 43 miljoen hebben, zullen worden aangemerkt als “essentiële entiteit”. Deze krijgen te maken met strenger toezicht en handhaving dan de belangrijke entiteiten.

Check of de NIS2 geldt op https://regelhulpenvoorbedrijven.nl/NIS-2-NL/ en Flowchart registratieplicht.

Naast organisaties geldt de NIS2 ook voor onderdelen van de centrale overheid (Rijksoverheid)  als essentiële entiteiten. Zelfstandige bestuursorganen vallen onder de werking van NIS2 voor zover zij voldoen aan de criteria die NIS2 hanteert om een overheidsentiteit te zijn.

Hoe we je kunnen ondersteunen

Of je nu vooral advies wilt, praktische ondersteuning zoekt of volledig ontzorgd wilt worden: Van Voorst Consult biedt drie niveaus van begeleiding. Zo kies je precies de aanpak die past bij jouw organisatie, tempo en beschikbare capaciteit.

Begeleiding op hoofdlijnen

Onze adviseurs nemen voornamelijk een adviserende rol aan. Hierbij blijft de organisatie verantwoordelijk voor de uitvoering. Een wisselwerking tussen kennisoverdracht en hands-on begeleiding.

  • Adviserend en richtinggevend
  • Kennisoverdracht voor zelfredzaamheid
Meer informatie

Advies en ondersteuning

Aanvullend op het adviestraject, ondersteunen we op onderdelen in de praktische uitvoering. Van Voorst Consult is uitvoerend betrokken en neemt een deel van de implementatie uit handen.

  • Praktisch meewerken
  • Flexibele inzet
  • Versneld naar resultaat
Meer informatie

Volledige
ontzorging

Van Voorst Consult neemt ter ondersteuning grote taken en activiteiten uit handen van de organisatie. Denk aan contact met medewerkers en het uitwerken van (delen van) het managementsysteem.

  • Maximale ondersteuning
  • Focus op jouw kernactiviteiten
  • Rust en zekerheid
Meer informatie

Onderdelen van de NIS2

De belangrijkste onderdelen van de NIS2 zijn onder te verdelen in een viertal themas, te weten:

  • Zorgplicht, om je diensten zoveel mogelijk te waarborgen en gebruikte informatie te beschermen. Denk aan risicomanagement waaronder minimaal benoemd zaken als opleiding, cryptografie, MFA, BCP en supply chain maar ook logging, auditting en incidentenmanagement. Ook governance met de nadruk op cybersecurity als verantwoordelijkheid voor bestuur/ directie valt hieronder.
  • Registratieplicht, NIS2-organisaties hebben een wettelijke verplichting om gegevens aan te leveren voor het entiteitenregister. Met dit register vergroot de Europese Unie zicht op de digitale weerbaarheid. De registratie vindt in Nederland plaats bij het NCSC.
  • Meldplicht, ernstige cyberincidenten moeten tijdig gerapporteerd worden aan nationale autoriteiten. Dit gaat om incidenten die de verlening van een essentiële dienst aanzienlijk (kunnen) verstoren. Net als bij de AVG zal er een toezichthouder worden aangewezen die naast ondergenoemde toezicht ook incidenten zal ontvangen en opvolgen. Daarnaast komt er een CSIRT (Computer Security Incident Response Team).
  • Toezicht, op de naleving van de verplichtingen uit de richtlijn mogelijk gevolgd door sancties. Voor de NIS werd dit geregeld vanuit de NCSC. Vanuit de uitwerking van de Europese NIS2 zal blijken welke sectoren onder welke toezichthouder komt te vallen.
Referentiebeeld Abovo Media

"Persoonlijke begeleiding, flexibel, snel en altijd meedenkend. Zeker een aanrader!"

Rene Kok, Abovo Media

Wat betekent dit voor uw organisatie?

Hoewel de vertaling van de Europese NIS2-richtlijn naar de Nederlandse Cbw nog tot medio Q3-2025 zal duren, wordt er van organisaties wel compliancy verwacht. Feit zal zijn dat ook bedrijven die primair niet onder de NIS2 vallen vanuit kun klant worden ‘meegenomen’ in deze NIS-eisen. Vergelijk dit met de CSRD-wetgeving. Tenslotte is vanuit risicomanagement en de genoemde ‘zorgplicht’ de keten van belang. IT-security krijgt meer aandacht vanuit het belang voor de eigen organisatie en breder de samenleving.

Nu starten met een eerste voorbereiding is zeer gewenst. Een werkwijze conform de NIS2 is namelijk niet in 2-3 maanden neer te zetten. Is er al een ISO 27001-certificering of ben je hiermee bezig, dan is er al een zeer goede basis, een ISMS, waarin de NIS2 opgenomen kan worden.

Wil of moet je starten met een eerste inventarisatie en inrichten van de bedrijfsvoering naar de NIS2 neem dan vrijblijvend contact op voor een kennismaking en toelichting van onze doelgerichte werkwijze.

Laten we kennis maken!

Van Voorst Consult helpt, als kennispartner, ondernemers met de implementatie van kwaliteitsmanagement, certificering en wetgeving op een werkbare en effectieve wijze. Heb je een vraag of reactie voor Van Voorst Consult? Wij helpen je graag. Neem vrijblijvend contact op via het formulier.

#kennisbank

Meer over NIS2

Blog

NIS2-implementatie uitgesteld

De Cyberbeveiligingswet – de Nederlandse implementatie van de Europese NIS2-richtlijn – is uitgesteld. Het streven was om de wet in het derde kwartaal van 2025 in werking te laten treden, maar dit bleek niet haalbaar.
‘Dit komt doordat de omzetting naar nationale wetgeving een omvangrijk en complex traject is, waarbij grote zorgvuldigheid is vereist’, schrijft demissionair minister Van Weel (Justitie en Veiligheid) in een brief aan de Tweede Kamer. Hij hoopt dat de wet in het tweede kwartaal van 2026 in werking treedt.

Blog

Herziene NEN 7510 wat verandert er?

Informatiebeveiliging is essentieel om medische en persoonlijke gezondheidsinformatie te beheren en uitwisselen. De NEN 7510, Informatiebeveiliging in de zorg, is hierbij onmisbaar voor zorginstellingen, ICT-leveranciers, zorgverzekeraars en andere organisaties in de zorgketen.

NEN 7510-1 en NEN 7510-2 beschrijven de eisen en maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie, moeten treffen om op adequate wijze met persoonlijke gezondheidsinformatie om te gaan. Doel is dat persoonlijke gezondheidsinformatie beschikbaar is en blijft, vertrouwelijk behandeld wordt en dat de integriteit van de gegevens geborgd blijft.

Vakantieplek datalek

Blog

Digitale veiligheidscontrole voor vakantie

Voor veel mensen staat de vakantieperiode bijna voor de deur. Het is goed om na gedane arbeid tot rust te komen. Maar, denk wel aan uw digitale veiligheid. Zo kunt u ongestoord van uw vakantie genieten!

"We helpen je graag verder met NIS2"

Vrijblijvend advies
Portret Wim van Leeuwen