Onze diensten
NIS2: Voldoen aan de Cyber beveiligingswet (Cbw)De Cyberbeveiligingswet (Cbw) verplicht organisaties in essentiële en belangrijke sectoren tot aantoonbaar risicobeheer in de leveranciersketen, bedrijfscontinuiteit bij calamiteiten, incidentmelding binnen 24 uur en bestuurlijke verantwoordelijkheid voor informatiebeveiliging. Er bestaat geen Cbw of NIS2-certificaat; naleving wordt getoetst via toezicht en handhaving.
Wat is NIS2?
NIS2 is de Europese richtlijn die organisaties verplicht hun digitale beveiliging serieus en aantoonbaar te regelen. Het gaat om risicobeheer in de leveranciersketen, bedrjfscontinuïteit bij calamiteiten, snelle incidentmelding en duidelijke verantwoordelijkheid op bestuursniveau. De Europese NIS2-richtlijn geldt al sinds 2023 en elke EU-lidstaat moet deze omzetten in nationale wetgeving. In Nederland gebeurt dit via de Cyberbeveiligingswet (Cbw).
De Cyberbeveiligingswet (Cbw) wordt naar verwachting in het 2e kwartaal 2026 van kracht in Nederland. Vanaf dat moment moeten organisaties die onder NIS2 vallen, aantoonbaar voldoen aan de wettelijke eisen. Zodra deze wet officieel in werking treedt, start ook het toezicht en kunnen sancties volgen bij niet-naleving.
NIS2 is geen norm waarvoor u een certificaat nodig heeft, maar bindende wetgeving waarop toezicht en handhaving plaatsvinden. De wet vraagt onder andere om:
- Meldplicht van ernstige incidenten binnen 24 uur
- Structureel en aantoonbaar risicobeheer
- Actieve betrokkenheid en aansprakelijkheid van bestuurders
Organisaties in essentiële en belangrijke sectoren moeten daarom niet alleen hun IT, maar hun volledige organisatie voorbereiden op strengere eisen.
Wie moet voldoen aan NIS2?
NIS2 geldt voor organisaties in essentiële en belangrijke sectoren met maatschappelijke of economische impact. De richtlijn is van toepassing op onder andere:
- Energie
- Vervoer
- Financiële dienstverlening
- Gezondheidszorg
- Digitale infrastructuur
- Drinkwater en voedselproductie
- Bepaalde digitale aanbieders
Omvang, omzet en ketenpositie spelen een belangrijke rol bij de vraag of een organisatie onder NIS2 valt. De richtlijn maakt onderscheid tussen middelgrote en grote organisaties in essentiële en belangrijke sectoren. Daarbij wordt onder meer gekeken naar het aantal medewerkers, de jaaromzet en de maatschappelijke impact van de dienstverlening.
Daarnaast kan ook de positie in de keten bepalend zijn. Organisaties die zelf niet direct onder NIS2 vallen, kunnen alsnog te maken krijgen met aanvullende beveiligingseisen via klanten of opdrachtgevers die wél onder de wet vallen. Denk aan IT-leveranciers, softwareontwikkelaars of managed service providers die moeten aantonen dat zij passende beveiligingsmaatregelen hebben getroffen om onderdeel te blijven van de keten.
Veelgestelde vragen over NIS2
Is NIS2 hetzelfde als ISO 27001?
NIS2 is niet hetzelfde als ISO 27001. NIS2 is wetgeving met verplichte naleving, terwijl ISO 27001 een vrijwillige norm is voor het inrichten van een managementsysteem voor informatiebeveiliging.
NIS2 verplicht organisaties tot aantoonbaar risicobeheer, incidentmelding en bestuurlijke verantwoordelijkheid onder toezicht van de overheid. ISO 27001 biedt een gestructureerd management systeem (ISMS) om informatiebeveiliging te organiseren en kan helpen bij het aantoonbaar maken van naleving, maar vervangt de wettelijke verplichtingen van NIS2 niet.
Is ISO 27001 nodig om aan NIS2 te voldoen?
ISO 27001 is niet verplicht maar biedt een raamwerk voor aantoonbaar beheer van informatiebeveiliging binnen NIS2 en helpt structuur, rollen en procedures vast te leggen. Veel organisaties combineren beide kaders voor sterkere compliance.
Hoe snel kan ik voldoen aan NIS2?
Een quickscan of nulmeting kan binnen weken. De volledige implementatie hangt af van de scope en complexiteit. Een quickscan levert prioriteiten en planning. Implementatie verloopt gefaseerd volgens beschikbare middelen.
Binnen de ISO club zijn handige methoden en oplossingen aanwezig, ook met A.I.. Bijvoorbeeld om snel de leveranciersketen met contracten in kaart te brengen en risico’s te bepalen, bedrijfscontinuiteitseisen te achterhalen, en trainingen te verzorgen voor de verantwoordelijke managers.
Bieden jullie een interim-invulling voor compliance?
Ja, onze interim security officers, CISO’s en kwaliteitsmanagers kunnen continuïteit en naleving borgen tijdens implementatie. Zij nemen operationele taken en rapportages over of voeren actief toezicht uit. Bijvoorbeeld in de rol van Functionaris Gegevensbescherming of in een raad van Commissarissen.
Wat zijn de risico’s bij uitstel?
Uitstel vergroot het risico dat uw organisatie niet op tijd voldoet aan de wettelijke eisen zodra de Cyberbeveiligingswet van kracht wordt. Dat kan leiden tot problemen met toezicht, sancties of bestuurlijke aansprakelijkheid.
Daarnaast vergroot uitstel de kans op operationele schade bij een beveiligingsincident. Zonder goed risicobeheer kunnen uitval, reputatieschade en herstelkosten aanzienlijk oplopen.
Krijg ik een NIS 2-certificering?
Nee. NIS2 kent geen officieel certificaat. U kunt dus geen “NIS 2-certificering” behalen.
Organisaties moeten aantonen dat zij voldoen aan de wettelijke verplichtingen, maar dit gebeurt via toezicht en handhaving, niet via een certificaat. Sommige organisaties gebruiken ISO 27001 als hulpmiddel om hun beveiliging aantoonbaar te structureren, maar dat is geen verplicht onderdeel van NIS2.
Welke documentatie verwacht de toezichthouder voor NIS2?
De toezichthouder verwacht dat u kunt aantonen hoe uw organisatie risico’s beheerst, incidenten meldt en beveiliging bestuurlijk heeft geregeld.
Denk aan:
- Een actuele risicoanalyse en behandelplan
- Vastgelegd beveiligingsbeleid en duidelijke verantwoordelijkheden
- Een incidentmeldprocedure en registraties
- Overzicht van alle kritische (sub)leveranciers met contracten
- Continuïteits- en crisisplannen
- Afspraken met leveranciers over beveiliging
NEEM CONTACT OP
ISO club
035 8889067
info@isoclub.nl