Network and Information Security (NIS2) directive

De NIS2-richtlijn (voluit: Network and Information Systems Directive 2) is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016 en is bedoeld om de digitale en economische weerbaarheid binnen de EU te versterken.  De richtlijn speelt in op de groeiende dreiging van cyberaanvallen die kunnen leiden tot verstoringen van kritieke diensten, zoals gezondheidszorg, energievoorziening en financiële diensten.

De NIS2 verplicht organisaties in de betrokken sectoren om hun netwerk- en informatiesystemen beter te beveiligen tegen cyberincidenten en stelt strengere eisen aan risicobeheer, incidentrapportage en beveiligingsmaatregelen. 

Wat is relevant voor organisaties die zich nu oriënteren op de NIS2?

Meer en aangescherpte verplichtingen

Organisaties binnen de scope van NIS2 moeten voldoen aan:

  • Risicobeheer en cybersecuritybeleid.
  • Incidentenrapportage (binnen 24 uur na ontdekking).
  • Toeleveringsketenbeheer.
  • Beveiliging van netwerk- en informatiesystemen.
  • Continuïteitsplanning & crisisbeheer.
  • Governance & boardverantwoordelijkheid (bestuurdersaansprakelijkheid bij nalatigheid).

Toepassingsgebied is groter

NIS2 geldt niet alleen meer voor vitale sectoren (zoals energie, transport, gezondheidszorg), maar ook voor veel private bedrijven in belangrijke sectoren zoals:

  • Digitale infrastructuur.
  • Voedselproductie.
  • Post- en koeriersdiensten.
  • Fabrikanten van medische apparatuur.
  • IT-dienstverleners.
  • Online marktplaatsen en cloudaanbieders.

Een organisatie met meer dan 50 medewerkers en/of meer dan €10 miljoen omzet in een van deze sectoren komt vaak al onder de verplichtingen te vallen.

Sancties zijn fors

Boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde omzet. 

Informatie NIS2 aanvragen

Network and Information Security (NIS2) directive

Data Protection Impact Assessment (DPIA) Pentesten Security As A Service Trainingen en opleidingen informatiebeveiliging Nulmeting Phishing Campagne Aim2Secure: de tool voor verbeterde security awareness International Standard on Assurance Engagements (ISAE) Network and Information Security (NIS2) directive
Gerelateerde normen
Ons aanbod in informatie- beveiliging

Certificeringsadvies

Audits (intern en extern)

Nulmeting

Pentesten

Vulnerabilitytest

IT en privacy audits

RI&E informatiebeveiliging

GDPR en AVG

DPIA (Data Protection Impact Assessment)

Security As A Service

Move Agency en QVOX

"Naast kwaliteit, is ook de mate van betrouwbaarheid essentieel in de samenwerkingen die we hebben. We willen die koploper zijn die aan klanten laat zien: onze producten en processen zijn dusdanig ingericht dat jij je nergens zorgen om hoeft te maken. Zo werken we bijvoorbeeld voor veel banken en verzekeraars die veel met privacygevoelige informatie werken. Dan moet je bepaalde processen ingericht hebben waarmee je laat zien dat je werk maakt van informatiebeveiliging. QVOX heeft ons geholpen aan de hand van de ISO 27001 en NEN 7510.’’ 

Welke bedrijven moeten voldoen aan de NIS2?

De NIS2-richtlijn geldt voor meer sectoren dan de vorige versie, waardoor meer organisaties onder de regelgeving vallen. Er zijn twee hoofdcategorieën:

Essentiële sectoren
Onder meer energie, transport, gezondheidszorg, drinkwatervoorziening, banken, digitale infrastructuur en overheidsdiensten.

Belangrijke sectoren (nieuw toegevoegd)
Zoals post- en koeriersdiensten, voedselproductie, chemie, medische hulpmiddelen, afvalbeheer en ruimtevaart.

Organisaties in deze sectoren hebben een cruciale maatschappelijke rol en moeten hun diensten veilig en continu kunnen leveren, ook bij cyberincidenten. NIS2 richt zich dus op vitale spelers binnen samenleving en economie.

Wat zijn de eisen waar je volgens de NIS2 aan moet voldoen?

De NIS2-richtlijn stelt strengere eisen aan organisaties dan zijn voorganger. Bedrijven binnen de scope moeten voldoen aan de volgende verplichtingen:

1. Risicobeheer
Beveiligingsmaatregelen zijn verplicht, zoals firewalls, encryptie, toegangsbeheer en monitoring van systemen.

2. Incidentrapportage
Cyberincidenten moeten binnen 24 uur voorlopig en binnen 72 uur volledig worden gemeld aan de toezichthouder.

3. Toeleveringsketens
Ook leveranciers moeten aan beveiligingseisen voldoen. Afspraken hierover worden contractueel vastgelegd.

4. Governance en Aansprakelijkheid
Het management is eindverantwoordelijk voor naleving en risicobeheersing. Bij nalatigheid is persoonlijke aansprakelijkheid mogelijk.

5. Internationale samenwerking
NIS2 stimuleert samenwerking tussen EU-lidstaten bij grensoverschrijdende cyberdreigingen.

Kortom:
NIS2 vraagt om een proactieve, brede aanpak van cybersecurity — intern én in de keten — voor een veerkrachtige digitale infrastructuur in Europa.

Certificering en NIS2: wat is de link?

NIS2 vereist geen certificering, maar erkende normen bieden houvast voor naleving. Drie veelgebruikte standaarden (of normen) sluiten goed aan:

ISO 27001 – ISMS
Internationale standaard voor informatiebeveiliging. Ondersteunt risicobeheer, incidentmanagement, leveranciersbeheer en betrokkenheid van het management. Sterke basis voor aantoonbare NIS2-naleving.

NEN 7510 – Informatiebeveiliging in de zorg
Nederlandse norm voor informatiebeveiliging in de zorg. Gebaseerd op ISO 27001, met extra focus op patiëntgegevens en zorgsystemen. Relevantie: verhoogde NIS2-eisen voor gegevensbescherming.

ISAE 3402 – Ketenverantwoordelijkheid
Rapportage over interne beheersing bij uitbesteding. Bewijs van grip op beveiligingsrisico’s in de toeleveringsketen, wat cruciaal is voor NIS2.

Alles over informatiebeveiliging

In deze aflevering hebben we het over informatiebeveiliging. Een verzamelterm voor het veilig verzamelen, verwerken, beheren en delen van informatie. Wat houdt informatiebeveiliging in en wat zijn dé tips voor goed beveiligde online en offline processen rondom informatie? Handige handvatten voor ondernemers die niet alleen goed gebruik willen maken van informatie, bijvoorbeeld in hun business model, maar ook informatie op een juiste manier willen beheren. Luister snel naar QTALK!

Luister de podcast

Alles over informatiebeveiliging

Podcast - informatiebeveiliging de basics
QVOX biedt hulp op maat
Academy
Academy:

Opleiding

Training en opleiding die jou verder helpen  

Neem met vertrouwen verantwoordelijkheid en word een waardevolle compliance en certificeringsdeskundige in jouw organisatie. Ontwikkel vaardigheden en verdiep je kennis van risicomanagement, audits en verandermanagement op een manier die perfect bij jou past. Zo kun je opdrachtgevers en auditoren sterk te woord staan.

Naar QVOX Academy
Normen
Normen:

Projecten

Certificeren én verbeteren zonder gedoe

Wil je gecertificeerd worden én blijven zonder stress? Streef je naar blijvende verbeteringen? Kies dan voor onze projectspecialisten en start samen met hen een implementatieproject. In een team van in- en externe medewerkers zetten we samen het spoor uit en banen we de weg naar het gewenste resultaat. Onder leiding van een ervaren projectmanager. Met vastberadenheid en kracht, zonder onaangename verrassingen.

Expertise
Expertise:

Services

Grip op je bedrijfsvoering blijven houden

Leidt het onderhouden van de certificering je af van de purpose van je organisatie? Vertrouw dan op onze services om je certificering te behouden én compliant te blijven. De ervaren QVOX-professionals zorgen praktisch en op tijd voor het uitvoeren van certificeringstaken, terwijl wij je op de hoogte houden en meenemen in veranderingen die jouw organisatie verder helpen. Daardoor houd je niet alleen grip op je certificering, maar ook op de bedrijfsvoering! Laat ons jou ontzorgen en kansen signaleren voor een pad naar meer zekerheid en minder zorgen.

Onze kennis en ervaring versterken jouw positie

één partner voor kwaliteit & veiligheid, arbeidsomstandigheden, duurzaamheid, informatiebeveiliging & privacy

QVOX biedt hulp op maat
Hier kun je ons vinden
Klantcases
alle klantcases
Deze organisaties hebben gekozen voor QVOX