Ga direct naar inhoud

De richtlijn voor netwerk- en informatiebeveiliging: NIS2

Veel van ons leven en werk speelt zich af in de digitale wereld. Maar de digitale veiligheid van onze samenleving en economie staat steeds vaker onder druk. Daarom voert Europa de ‘Network and Information Security Directive’ (NIS2) in. Wat houdt dit in? En betekent het iets voor jouw organisatie? Lees er meer over op deze pagina.

Wat is de NIS2-richtlijn? 

De NIS2 is een Europese richtlijn voor cybersecurity en de omgang met cyberincidenten. Deze richtlijn volgt de NIS op, die in Nederland is omgezet in de Nederlandse Wet beveiliging netwerk- en informatiesystemen (Wbni). De Nederlandse wetgeving op basis van de NIS2-richtlijnen gaat in de loop van 2025 in.

De belangrijkste verschillen tussen NIS2 en NIS:

  • organisaties vallen nu automatisch onder de NIS2-richtlijn als ze worden gezien als ‘essentieel’ of ‘belangrijk’; 
  • alle processen van deze belangrijke of essentiële organisaties vallen onder de wet, niet alleen die processen die bij de sector horen.

Veel organisaties die actief zijn in de sectoren van het ministerie van Infrastructuur en Waterstaat krijgen met deze nieuwe wetgeving te maken. Het gaat om de sectoren luchtvaart, wegvervoer, spoorvervoer, scheepvaart, drinkwatervoorziening, chemische industrie, en afvalwater- en afvalstoffenverwerking.

Meer over NIS2 lees je op de website van het NCSC: NIS2: een Europese richtlijn
Of lees meer over de NIS2-richtlijn op de website van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (nctv.nl).

Wie valt onder de NIS2-richtlijn?

Organisaties die ‘belangrijk’ of ‘essentieel’ zijn, vallen automatisch onder de NIS2-richtlijn. Of een organisatie belangrijk of essentieel is, hangt af van het werk dat ze doen. Hieronder zie je een overzicht van de sectoren en organisaties die vallen onder de verantwoordelijkheid van het ministerie van IenW én de NIS2-richtlijnen moeten volgen:

  • Luchtvaart: Luchtvaartmaatschappijen, Luchthavens en luchthavenbeheerders, Luchtverkeersleidingsdiensten
  • Scheepvaart: Havens, Havenfaciliteiten, Reders
  • Spoorvervoer: Goederenvervoer, Onderhoud, Toeleveranciers, Dienstverleners
  • Wegvervoer: Wegbeheerders, ITS-aanbieders
  • Water: Drinkwater, Afvalwater
  • Chemie: Grote chemiebedrijven, Opslagbedrijven
  • Afvalverwerkers

Wat is het verschil tussen essentieel en belangrijk?

Er zijn verschillen tussen organisaties die essentieel zijn, en organisaties die belangrijk zijn. Hieronder zie je de verschillen op een rij: 

Verschil essentieel en belangrijk
Essentiële entiteiten Belangrijke entiteiten
  • Organisaties met minimaal 250 werknemers (fte).
  • Organisaties met een jaaromzet van meer dan 50 miljoen euro én een balanstotaal van meer dan 43 miljoen euro.
  • Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit. CER staat voor Critital Entities Resilience en gaat over de fysieke weerbaarheid van organisaties.
  • Organisaties met minimaal 50 werknemers (fte).
  • Organisaties met een jaaromzet én balanstotaal van meer dan 10 miljoen euro
  • Organisaties die horen bij de sectoren in bijlage 2 van de NIS2-richtlijn. Voor IenW zijn dat afvalstoffenbeheer en chemische stoffen.

Wat zijn de verantwoordelijkheden?

Als organisaties de NIS2-richtlijn moeten volgen, dan hebben ze een aantal verantwoordelijkheden: 

  • Zorgplicht: Organisaties moeten de beveiliging van hun netwerk- en informatiesystemen op orde hebben. Dit geldt ook voor de beveiliging van de Operationele Technologiesystemen (OT) binnen de organisatie. Ze zijn verplicht om zelf een risicobeoordeling uit te voeren. Nieuw is dat daarbij specifiek aandacht moet zijn voor de risico's die spelen in de afhankelijkheid van anderen. Dit noem je ketenrisico's. Ook moeten ze de hele organisatie in de analyse meenemen. Op basis van de risicobeoordeling nemen organisaties passende maatregelen om risico’s minder groot te maken en incidenten te voorkomen. 
  • Registratieplicht: Organisaties die vallen onder de NIS2-richtlijn zijn verplicht zich te registreren. Er komt een centraal registratieportaal.    
  • Meldplicht: Belangrijke incidenten moeten binnen 24 uur worden gemeld bij de toezichthouder en het aangewezen Computer Security Incident Response Team (CSIRT). Ze moeten een incident melden als bijvoorbeeld een bepaald aantal personen door de verstoring is geraakt, de verstoring een bepaalde tijd heeft geduurd en er mogelijke financiële verliezen zijn. Het staat nog niet vast aan welke eisen een incident moet voldoen om gemeld te moeten worden.
  • Ondersteuning: Volgens de NIS2-richtlijn moet een Computer Security Incident Response Team (CSIRT) essentiële en belangrijke organisaties ondersteunen met advies en bijstand. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.
  • Bestuurlijke aansprakelijkheid: Bestuurders van essentiële en belangrijke organisaties zijn aansprakelijk voor het beleid van hun organisatie. Zij hebben ook een opleidingsplicht. Bestuursleden worden hoofdelijk aansprakelijk als ze de regels niet naleven. Dat betekent dat ze hier als individu op aangesproken kunnen worden. Deze verantwoordelijkheden worden op dit moment verder uitgewerkt.
  • Toezicht: Namens het ministerie van Infrastructuur en Waterstaat speelt de Inspectie Leefomgeving en Transport (ILT) een sleutelrol in het toezicht op de naleving van de NIS2-richtlijn. De toezichthouder controleert of de zorgplicht, registratieplicht en meldplicht worden nageleefd. Dit toezicht is risicogestuurd. De toezichthouder houdt er dus rekening mee dat elke organisatie te maken heeft met risico’s.

Wat kan jij doen om je nu al voor te bereiden?

Bekijk op deze pagina wat jij kan doen om je nu al voor te bereiden.

Heb je vragen?

Kijk bij onze veelgestelde vragen of stuur je vraag naar cernis@minienw.nl.