Cyberbeveiligingswet (NIS2-richtlijn)

De cyberbeveilingswet is de Nederlandse omzetting van de Europese Network and Information Security directive, ook wel de NIS2-richtlijn genoemd. De wet treedt in werking vanaf het tweede kwartaal van 2026.

Bedrijven zijn NIS2-plichting indien ze in de kritieke sectoren werkzaam zijn en >50 medewerkers in dienst hebben of een omzet én totaalbalans van 10 miljoen hebben. In onderstaand stroomschema zijn de kritieke sectoren weergegeven.

Bedrijven die niet NIS2 plichtig zijn, kunnen hiermee wel in aanraking komen via de ketenverantwoordelijkheid van de NIS2 plichtige bedrijven. NIS2 plichtige bedrijven moeten van hun leveranciers in kaart brengen hoe er met cyberveiligheid wordt omgegaan.

Er zijn verschillende energiebesparingsplichten. AdbLOM kan u helpen met de informatieplicht energiebesparing, de onderzoeksplicht en de EED-auditplicht. Eens in de 4 jaar moet u rapporteren.

Wat houdt de kernverplichting in?

De kernverplichtingen van de NIS2 zijn:

Zorgplicht
De zorgplicht houdt in dat organisaties passende technische en organisatorische maatregelen moeten nemen om hun netwerken en informatiesystemen te beveiligen. Dit betekent concreet:

• Beleid en procedures: Er moet een formeel informatiebeveiligingsbeleid zijn, afgestemd op de risico’s binnen de organisatie.
• Maatregelen: Denk aan toegangsbeheer, encryptie, back-ups, etc.
• Training en bewustwording: Medewerkers moeten regelmatig getraind worden in cybersecurity en alert zijn op dreigingen zoals phishing. Bestuurders/managers dienen een uitgebreide training te volgen.

Kortom, organisaties moeten een proactieve en risico gestuurde aanpak hanteren om hun digitale infrastructuur te beschermen.

Meldplicht
Als er zich een incident voordoet met aanzienlijke impact op de dienstverlening of veiligheid, dan gelden strikte meldingsvereisten:

• Binnen 24 uur na ontdekking moet een vroegtijdige melding worden gedaan aan de toezichthouder;
• Binnen 72 uur moet een meer gedetailleerd rapport worden ingediend, inclusief een eerste impactanalyse;
• Binnen één maand moet een definitief incidentrapport worden aangeleverd. Dit bevat:
  • De oorzaak van het incident;
  • De impactanalyse (wat/wie is getroffen?);
  • De corrigerende en preventieve maatregelen die zijn genomen of nog worden genomen.

Het doel is om transparantie te bevorderen, incidenten sneller te kunnen beheersen en te leren van fouten.

Registratieplicht
Organisaties die onder de NIS2-richtlijn vallen, zijn verplicht zich te registreren bij het Nationaal Cyber Security Centrum (NCSC).

Bestuurdersaansprakelijkheid
Een belangrijk nieuw aspect van NIS2 is dat de verantwoordelijkheid expliciet bij het bestuur van een organisatie wordt gelegd. Concreet betekent dit:

• Bestuurders (zoals directie of raad van bestuur) zijn persoonlijk verantwoordelijk voor de naleving van de NIS2-verplichtingen.
• Zij moeten voldoende kennis hebben van cyberrisico’s en maatregelen treffen op strategisch niveau.
• Bij nalatigheid of onvoldoende actie kunnen boetes of sancties volgen, niet alleen voor de organisatie maar ook voor individuele bestuurders.

Deze bepaling is bedoeld om cybersecurity hoger op de agenda te zetten bij het management en ervoor te zorgen dat informatiebeveiliging geen IT-kwestie alleen is, maar een strategisch organisatievraagstuk.