De NIS2-richtlijn is in Nederland omgezet in de Cyberbeveiligingswet (CbW). Veel ondernemers denken dat deze wetgeving alleen voor grote multinationals geldt — maar dat is een misverstand. Ook middelgrote bedrijven in specifieke sectoren vallen onder de nieuwe regels, met forse boetes als gevolg bij niet-naleving.

⚠️ Let op: Boetes bij niet-naleving kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en €7 miljoen of 1,4% voor belangrijke entiteiten.

Valt uw bedrijf onder NIS2?

De NIS2-richtlijn maakt onderscheid tussen twee categorieën organisaties:

Essentiële entiteiten — sectoren met hoge impact:

  • Energie (elektriciteit, gas, olie, warmte, waterstof)
  • Transport (lucht, spoor, water, weg)
  • Bankwezen & financiële infrastructuur
  • Drinkwater & afvalwater
  • Digitale infrastructuur & ICT-diensten
  • Gezondheidszorg
  • Ruimtevaart

Belangrijke entiteiten — sectoren met gemiddelde impact:

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Chemische industrie
  • Voedingsmiddelenindustrie
  • Maakindustrie (kritieke producten)
  • Digitale aanbieders
  • Onderzoeksinstellingen

Vuistregel: Heeft uw bedrijf meer dan 50 medewerkers of een omzet boven €10 miljoen en is actief in een van bovenstaande sectoren? Dan valt u hoogstwaarschijnlijk onder NIS2.

Wat zijn de concrete verplichtingen?

NIS2 schrijft voor dat organisaties passende technische, operationele en organisatorische maatregelen nemen. Concreet betekent dit:

  • Risicobeheer: formeel beleid voor het identificeren en beheersen van cybersecurityrisico's
  • Incident response: procedures voor het detecteren, rapporteren en afhandelen van incidenten
  • Business continuity: back-upbeheer en herstelplannen
  • Supply chain security: beveiliging van leveranciers en partners
  • Toegangsbeheer: multi-factor authenticatie en strikte toegangscontrole
  • Encryptie: beveiliging van gegevensopslag en -overdracht
  • Meldplicht: significante incidenten binnen 24 uur melden bij het NCSC

Bestuurdersaansprakelijkheid: nieuw en belangrijk

Een van de belangrijkste nieuwe elementen van NIS2 is de persoonlijke aansprakelijkheid van bestuurders. Als een organisatie niet voldoet aan de NIS2-vereisten, kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Dit maakt cybersecurity een bestuurlijk thema, niet alleen een IT-thema.

Wat moet u nu doen?

  1. Bepaal of u onder NIS2 valt — sector, omvang en activiteiten zijn bepalend
  2. Voer een nulmeting uit — waar staat u nu ten opzichte van de NIS2-vereisten?
  3. Stel een implementatieplan op — welke maatregelen zijn prioritair?
  4. Documenteer alles — NIS2 vereist aantoonbare naleving
  5. Train uw medewerkers — bewustzijn is de eerste verdedigingslinie

Weet u of uw organisatie NIS2-compliant is?

Resotech voert een snelle nulmeting uit en helpt u met een concreet actieplan. Vrijblijvend gesprek binnen twee werkdagen.

Plan een gesprek   Onze NIS2-dienst