Scope van NIS2

Wat zijn de verplichtingen van de NIS2-richtlijn? Ontdek hoe DEKRA u kan ondersteunen bij NIS2

Scope van NIS2

Wat zijn de verplichtingen van de NIS2-richtlijn? Ontdek hoe DEKRA u kan ondersteunen bij NIS2

NIS2-richtlijn

Cyberbeveiliging voor essentiële organisaties met de NIS2-richtlijn

Steeds meer digitale ontwikkelingen zetten de veiligheid van onze maatschappij en economie onder druk. Om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren is de NIS2 cyberwetgeving ontworpen. Deze volgt de oude NIS-richtlijn op die niet langer voldoende beschermde. De NIS2-richtlijn geldt voor meer sectoren en stelt strengere beveiligingsnormen en melding vereisten voor incidenten. Als cybersecurity-expert biedt DEKRA certificeringen aan waarmee u kunt demonstreren dat u aan de NIS2-richtlijnen voldoet. De NIS2 scope bestaat uit (delen van) ISO 27001, IEC 62443 en NIST Cybersecurity Framework (CSF) in combinatie met extra documentatie, afhankelijk van uw situatie.

Wat is de NIS2-richtlijn?

De NIS2-richtlijn is een Europese richtlijn en staat voor Network and Information Security directive. NIS2 is opvolger van de oorspronkelijke NIS wetgeving, die in 2016 werd ingevoerd. Het doel van de NIS2-richtlijn is dat organisaties die essentiële diensten leveren, zoals zorginstellingen en energiebedrijven, hun risico’s op het gebied van cybersecurity in kaart brengen en aanpakken. Daarbij zijn er ook toezichts- en handhavingsmaatregelen opgenomen in de NIS2-richtlijn. NIS2 is een wetgeving. U bent sinds de zomer van 2025 verplicht om aan de NIS2-richtlijn te voldoen.

Harmonisatie van de NIS2-richtlijn

ENISA is het Europees Agentschap voor netwerk- en informatiebeveiliging en verantwoordelijk voor het verbeteren van de cyberveilig binnen Europa. Zij hebben laten weten dat er in de toekomst geen geharmoniseerde standaard van de NIS2 scope komt.

Wat valt er onder de NIS2 scope?

Er wordt bij de NIS2-richtlijn onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten.

Essentiële entiteiten

Essentiële entiteiten kunnen steekproefsgewijs gecontroleerd worden. Deze organisaties kunnen geaudit worden zonder dat er een incident heeft plaatsgevonden. Controles kunnen onder andere plaatsvinden door beveiligingsscans en inspecties ter plaatse. Deze organisaties vallen als het ware onder een vergrootglas. Een essentiële organisatie móét, met alle bewijslast, kunnen aantonen dat het aan de NIS2-richtlijn voldoet.

Belangrijke entiteiten

Belangrijke entiteiten daarentegen zullen alleen bij bewijs, aanwijzingen of informatie dat deze niet voldoen aan de NIS2-richtlijn, gecontroleerd worden door middel van een audit. Dit gebeurt na een cyberhack. Maar ook voor hen is het natuurlijk verplicht en erg belangrijk om te voldoen aan NIS2 wetgeving. Men moet kunnen aantonen dat de organisatie voldeed aan cyberregelgeving op het moment van de cyberhack.

Bedrijfsgrootte

De NIS2-richtlijn is van toepassing op middelgrote en grote bedrijven (50+ medewerkers of met een jaarlijkse omzet van 10 miljoen euro) in verschillende sectoren. Micro en kleine bedrijven vallen in principe niet onder de NIS2-richtlijn. Uitgezonderd op deze regel zijn aanbieders van vertrouwensdiensten, zij vallen wel binnen de NIS2 scope. Daarnaast kan de minister van een bepaalde sector ervoor kiezen om een micro- of klein bedrijf alsnog te laten verplichten aan de NIS2-richtlijn als dat essentieel blijkt uit de risicobeoordeling.

Sectoren en de NIS2-richtlijn

Onder de NIS2-richtlijn vallen alle organisaties die ook onder de eerste NIS-richtlijn vallen. Daarnaast zijn er een paar nieuwe sectoren toegevoegd die ook tot de NIS2 scope behoren. Hieronder vindt u een overzicht van alle sectoren, verdeeld over essentiële en belangrijke entiteiten.

Essentiele entiteiten:

Energie
Vervoer
Gezondheidszorg
Overheidsdiensten
Ruimtevaart
Beheerders van ICT-diensten
Digitale infrastructuur
Drinkwater
Afvalwater
Infrastructuur financiële markt
Bankwezen

Belangrijke entiteiten:

Vervaardiging (manufacturing)
Post- en koeriersdiensten
Afvalstoffenbeheer
Levensmiddelen
Chemische stoffen
Onderzoek

Nieuw: ook leveranciersketen wordt gecontroleerd

Een belangrijk aspect van de NIS2 scope is de nadruk op de verantwoordelijkheid van organisaties om ook cybersecurityrisico’s binnen hun leveranciersketen in kaart te brengen en aan te pakken. Dit betekent dat bedrijven niet alleen hun eigen systemen moeten beveiligen, maar ook die van hun partners en leveranciers, de volledige keten. Want ook de leveranciers beschikken vaak over cybergevoelige informatie. Het uiteindelijke doel is om gegevens te beschermen en een veerkrachtiger digitaal ecosysteem te creëren, waarin de kans op verstoringen door cyberaanvallen aanzienlijk wordt verkleind.

Het kan voorkomen dat uw toeleveranciers of dienstverlenende partners niet actief zijn in een van de genoemde sectoren of minder dan 50 medewerkers hebben, waardoor zij niet het label 'essentieel' of 'belangrijk' krijgen. Toch moeten zij nog steeds voldoen aan de richtlijn NIS2. Bovendien kan de EU deze organisaties in de toekomst alsnog labelen als essentieel of belangrijk.

Met deze tool van de Rijksoverheid kunt u snel checken of de NIS2-richtlijn van toepassing is op uw organisatie.

Lees hier meer over NIS2 supply chain richtlijnen .

Must-read whitepapers

Cybercrime in de EU

Hoe speelt uw organisatie een rol in het versterken van de digitale veerkracht van de EU? In deze whitepaper bespreken we de impact van cybercriminaliteit.

Whitepaper aanvragen

Cybersecurity wetgeving overzicht

Deze whitepaper biedt een helder overzicht van de NIS2, RED-DA en CRA, en hoe u kunt voldoen aan de strengere eisen.

Whitepaper aanvragen

NIS2: blijf op de hoogte

Blijf up-to-date van belangrijke recente ontwikkelingen op het gebied van NIS2. Schrijf u hier in en ontvang automatisch een update via e-mail.

Aanmelden

Wat zijn de verplichtingen van de NIS2-richtlijn?

Organisaties die onder de NIS2-richtlijn vallen, zijn verplicht om maatregelen te treffen ter bescherming van hun netwerk- en informatiesystemen tegen cyberincidenten. Dit omvat niet alleen digitale beveiliging, maar ook de fysieke omgeving waarin deze systemen opereren. Het doel is om de continuïteit van diensten te garanderen en informatie te beschermen tegen verstoringen.

Risicobeoordeling: Organisaties moeten een uitgebreide risicoanalyse uitvoeren om potentiële bedreigingen voor hun netwerk- en informatiesystemen te identificeren.
Beveiligingsmaatregelen: Op basis van deze risicobeoordeling moeten passende technische, operationele en organisatorische maatregelen worden genomen om de geïdentificeerde risico’s effectief te beheersen.
Inkoopbeleid: Organisaties moeten ervoor zorgen dat aangeschafte producten en systemen voldoen aan relevante cybersecuritywetgevingen, zoals RED- DA en de toekomstige CRA. Onafhankelijke keurmerken en testrapportages van geaccrediteerde instellingen dragen bij aan deze naleving.
Fysieke beveiliging: Naast digitale maatregelen moeten ook de fysieke locaties waarin systemen zich bevinden, zoals datacenters, adequaat worden beveiligd om ongeautoriseerde toegang en sabotage te voorkomen.

Het doel van deze zorgplicht is om de continuïteit van diensten te waarborgen en de gebruikte informatie te beschermen tegen incidenten die de werking van de systemen kunnen verstoren.

Naast de zorgplicht schrijft de NIS2-richtlijn een meldplicht voor. Dit betekent dat organisaties significante incidenten moeten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. In Nederland fungeert het Nationale Cyber Security Centrum (NCSC) als het CSIRT.

Er geldt een gefaseerde meldplicht:

Eerste melding: Een vroegtijdige waarschuwing die zo snel mogelijk, maar in ieder geval binnen 24 uur na waarneming van het incident, plaatsvindt.
Tweede melding: Een gedetailleerde incidentmelding die uiterlijk 72 uur na de eerste melding moet worden ingediend.
Derde melding: Een afsluitende melding met informatie over de opvolging van het incident en de genomen maatregelen.

De organisaties die onder de NIS2-richtlijn vallen, staan onder toezicht. Er wordt gecontroleerd op het naleven van de zorg- en meldplicht. Als een organisatie na een controle niet voldoet aan de NIS2-richtlijn, kan de toezichthouder van de betreffende sector een boete opleggen. Het bepalen van de hoogte van deze boete is de verantwoordelijkheid van de lidstaten zelf, waarbij rekening wordt gehouden met de aard en ernst van de nalatigheid én de grote van de organisatie. De boetes voor de ernstigste gevallen van nalatigheid zijn als volgt (de minimale boete is altijd het hoogste bedrag van de gegeven opties):

Voor essentiële organisaties: Minimaal 10 miljoen euro of 2% van de wereldwijde jaaromzet.
Voor belangrijke organisaties: Minimaal 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Waarom DEKRA voor NIS2-richtlijn?

U bent zelf verantwoordelijk om conform de NIS2 scope te werken. Echter zal onafhankelijk certificeren door een certificeringsinstantie zoals DEKRA enorm bijdragen aan het voldoen van de NIS2 scope. Wij leveren certificaten waarmee u zelf kunt verklaren dat u voldoet aan de richtlijn van NIS2. Bovendien geeft onafhankelijk testen een veel breder inzicht in het niveau van uw organisatie. Bijvoorbeeld of u volledig voldoet aan de essentiële ISO 27001 norm .

Cybersecurity expertise

DEKRA heeft zich gepositioneerd als een toonaangevende expert op het gebied van cybersecurity. Met een diepgaande kennis en uitgebreide ervaring biedt DEKRA een breed scala aan diensten om organisaties te ondersteunen bij het naleven van de NIS2-richtlijn. Hier zijn enkele redenen waarom DEKRA wordt beschouwd als dé autoriteit op dit gebied:

1. Omvangrijke cybersecurity-diensten

2. Inzicht in regelgeving en normen

3. Ervaring en certificering

Hoe we u ondersteunen bij het voldoen aan de NIS2-richtlijn

Het naleven van de NIS2-richtlijn kan een uitdagend proces zijn, maar DEKRA biedt een gestructureerde benadering om organisaties door dit proces te leiden. Hier zijn enkele stappen die DEKRA onderneemt om organisaties te helpen bij de NIS2-richtlijn:

Kom eenvoudig met ons in contact

Het voldoen aan de richtlijn van NIS2 is een complex en doorlopend proces dat van uw organisatie vereist dat u uw beveiligingsmaatregelen evalueert en verbetert. Door samen te werken met DEKRA verhoogt u uw digitale weerbaarheid en bent u beter voorbereid op de uitdagingen van de geldende wet- en regelgeving.

Wilt u meer weten over hoe DEKRA uw organisatie kan ondersteunen op het gebied van cybersecurity? Neem eenvoudig contact met ons op via het onderstaande formulier.

NIS2-richtlijn blogs

3 Resultaten

28 okt 2024 Digitale & Productgerichte oplossingen / Cyber Security

NIS2 cybersecurity

In deze blog bespreken we waarom DEKRA dé autoriteit is op het gebied van NIS2 compliance en hoe wij organisaties helpen bij het waarborgen van hun cyberveiligheid.

Bekijk artikel

14 okt 2024 Digitale & Productgerichte oplossingen / Cyber Security

ISO 27001 en NIS2

Deze blog geeft een bondig inzicht hoe deze cybersecurity-pijlers organisaties helpen bij het verbeteren van hun cyberbeveiliging en het voldoen aan regelgeving.

Bekijk artikel

01 okt 2024 Digitale & Productgerichte oplossingen / Cyber Security

NIS2 en IEC 62443

NIS2 en IEC 62443 vormen de kern van cybersecurity. Ontdek hoe deze richtlijnen uw organisatie helpen beschermen tegen een cyberaanval.

Bekijk artikel