De NIS2-Richtlijn Uitgelegd: EU-Cybersecuritywetgeving
De NIS2-richtlijn is de nieuwe cybersecuritywetgeving van de EU. Ze verving de oorspronkelijke NIS-richtlijn in januari 2023 en bestrijkt nu 18 kritieke sectoren en meer dan 160.000 organisaties. Als je een bedrijf runt in Belgie, bepaalt deze wet je cybersecurityverplichtingen. Hier is wat ze zegt, in duidelijke taal.
Wat Is de NIS2-Richtlijn?
NIS2 staat voor de Netwerk- en Informatiebeveiliging Richtlijn 2. De officiele naam is Richtlijn (EU) 2022/2555. Het Europees Parlement en de Raad hebben haar aangenomen op 14 december 2022. Ze trad in werking op 16 januari 2023.
- Ze vervangt de oorspronkelijke NIS-richtlijn uit 2016
- Ze stelt minimale cybersecurityvereisten voor organisaties in kritieke sectoren
- Ze is van toepassing op zowel "essientiele" als "belangrijke" entiteiten
- Elke EU-lidstaat moet ze omzetten in nationale wetgeving
Wil je weten of NIS2 op jouw organisatie van toepassing is? Controleer wie moet voldoen.
NIS1 vs NIS2: Wat Is Veranderd?
De oorspronkelijke NIS-richtlijn (2016) was de eerste cybersecuritywetgeving van de EU. NIS2 is een grote upgrade. Dit zijn de belangrijkste verschillen:
| Aspect | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Sectoren | 11 sectoren | 18 sectoren |
| Scope | Alleen aanbieders van essientiele diensten | Essientiele + belangrijke entiteiten (op basis van grootte) |
| Boetes | Overgelaten aan lidstaten | Tot EUR 10M of 2% van wereldwijde omzet |
| Bestuursaansprakelijkheid | Geen | Persoonlijke aansprakelijkheid voor bestuursleden |
| Incidentmelding | Geen vast tijdschema | 24u vroege waarschuwing, 72u volledige melding |
| Supply chain beveiliging | Niet behandeld | Verplichte supply chain risicobeoordeling |
| Toezicht | Reactief (na incident) | Proactief (audits, inspecties) |
| Harmonisatie | Gefragmenteerd per lidstaat | Sterkere minimumnormen |
Belangrijkste Artikelen van de NIS2-Richtlijn
De richtlijn heeft 46 artikelen. Drie zijn bijzonder belangrijk voor bedrijven:
Cybersecurity-risicobeheermaatregelen
Artikel 21 somt 10 categorieen beveiligingsmaatregelen op die elke organisatie in scope moet implementeren. Denk aan risicoanalyse, incidentafhandeling, bedrijfscontinuiteit, supply chain beveiliging, netwerkbeveiliging, kwetsbaarheidsbeheer, cyberhygiene, cryptografie, personeelsbeveiliging en toegangscontrole.
Incidentmeldingsverplichtingen
Artikel 23 vereist dat organisaties significante incidenten melden bij hun nationale autoriteit. De tijdlijn: een vroege waarschuwing binnen 24 uur, een volledige incidentmelding binnen 72 uur, en een eindrapport binnen een maand. Niet melden leidt tot aparte boetes.
Toezicht en Handhaving
Artikelen 32 en 33 geven nationale autoriteiten de bevoegdheid om audits, inspecties en controles ter plaatse uit te voeren. Ze kunnen bindende instructies geven en administratieve boetes opleggen. Essientiele entiteiten krijgen strenger toezicht dan belangrijke entiteiten.
Zie de volledige lijst van NIS2-vereisten.
Juridische Status: Richtlijn vs Verordening
NIS2 is een richtlijn, geen verordening. Dit onderscheid is belangrijk:
Een richtlijn stelt doelen
Elke lidstaat moet het resultaat bereiken maar mag kiezen hoe het in nationale wetgeving wordt opgenomen.
Een verordening geldt rechtstreeks
In tegenstelling tot de AVG (een verordening) moet de NIS2-richtlijn eerst worden omgezet voordat ze organisaties bindt.
Omzettingsdeadline: 17 oktober 2024
Alle EU-lidstaten moesten voor deze datum nationale wetten aannemen. Sommige hebben de deadline gemist.
Nationale variaties bestaan
De implementatie per land kan licht verschillen. De Belgische versie heeft eigen specifieke vereisten.
Belgische Omzetting: De NIS2-Wet
Belgie was een van de eerste EU-landen die de NIS2-richtlijn omzette in nationale wetgeving. De Belgische NIS2-wet werd aangenomen op 26 april 2024 — maanden voor de oktoberdeadline.
- Het Centrum voor Cybersecurity Belgie (CCB) is de nationale autoriteit
- Belgie gebruikt het CyberFundamentals-framework om NIS2-vereisten te implementeren
- Organisaties moeten zich registreren bij het CCB
- De deadline voor zelfevaluatie van essientiele entiteiten is 18 april 2026
Meer over de Belgische aanpak: NIS2 in Belgie. Bekijk ook de NIS2-deadlines.
De 10 Beveiligingscategorieen
Artikel 21 van de NIS2-richtlijn vereist dat organisaties maatregelen implementeren in deze 10 categorieen:
Risicoanalyse en informatiebeveiligingsbeleid
Formeel beleid op basis van een risicobeoordeling van je organisatie.
Incidentafhandeling
Procedures voor het detecteren, beheren en herstellen van beveiligingsincidenten.
Bedrijfscontinuiteit en crisisbeheer
Back-upbeheer, disaster recovery en crisisresponsplannen.
Supply chain beveiliging
Beveiligingsvereisten voor je leveranciers en dienstverleners.
Beveiliging van netwerk- en informatiesystemen
Verwerving, ontwikkeling en onderhoud van beveiligde systemen.
Kwetsbaarheidsbeheer en -melding
Beleid voor het beoordelen en beheren van kwetsbaarheden.
Effectiviteit van cybersecurity-risicobeoordeling
Procedures om te evalueren of je beveiligingsmaatregelen daadwerkelijk werken.
Cyberhygiene en training
Basisbeveiligingspraktijken en regelmatige cybersecurity-bewustmakingstraining.
Cryptografie en versleuteling
Beleid over het gebruik van cryptografie en, waar nodig, versleuteling.
Personeelsbeveiliging en toegangscontrole
Screening, toegangsbeheer en assetbeheerbeleid.
Bestuursaansprakelijkheid: Een Nieuwe Realiteit
Een van de belangrijkste veranderingen in NIS2 is dat bestuursorganen persoonlijk verantwoordelijk zijn voor cybersecurity. Bestuursleden moeten:
- De cybersecurity-risicobeheermaatregelen van de organisatie goedkeuren
- Toezicht houden op de implementatie van die maatregelen
- Zelf cybersecuritytraining volgen
- Voorbereid zijn op persoonlijke gevolgen bij niet-naleving
Lees meer over NIS2-boetes en persoonlijke aansprakelijkheid.
Hoe Easy Cyber Protection Je Helpt Voldoen
Ons platform sluit direct aan op de vereisten van de NIS2-richtlijn via het Belgische CyberFundamentals-framework:
Veelgestelde Vragen
Is de NIS2-richtlijn een wet?
NIS2 is een EU-richtlijn, wat betekent dat ze bindende doelen stelt voor lidstaten. Elk land moet ze omzetten in nationale wetgeving. In Belgie is dit gebeurd via de Wet van 26 april 2024. Ja, NIS2-verplichtingen zijn juridisch bindend voor organisaties in scope.
Wat is het verschil tussen de NIS2-richtlijn en NIS2-regelgeving?
De termen NIS2-richtlijn, NIS2-wetgeving en NIS2-regelgeving verwijzen in de praktijk naar hetzelfde: de EU-regelgeving die cybersecurityvereisten oplegt. Technisch gezien is "richtlijn" de correcte EU-term, terwijl "wetgeving" en "regelgeving" verwijzen naar de nationale omzetting in Belgisch recht.
Wanneer is de NIS2-richtlijn in werking getreden?
De NIS2-richtlijn werd aangenomen op 14 december 2022 en trad in werking op 16 januari 2023. Lidstaten hadden tot 17 oktober 2024 om ze om te zetten in nationale wetgeving. Belgie voltooide de omzetting op 26 april 2024.
Is de NIS2-richtlijn van toepassing op mijn organisatie?
De NIS2-richtlijn is van toepassing op middelgrote en grote organisaties in 18 kritieke sectoren, waaronder energie, transport, gezondheidszorg, digitale infrastructuur, ICT-diensten en meer. Sommige kleinere organisaties kunnen ook in scope vallen als ze kritieke diensten leveren.
Wat als mijn land de NIS2-richtlijn nog niet heeft omgezet?
Verschillende lidstaten hebben de deadline van oktober 2024 gemist. De vereisten van de richtlijn dienen echter als maatstaf. Organisaties moeten zich nu voorbereiden, want nationale wetten zullen volgen. In Belgie is de wet al van kracht.
Gerelateerde Artikelen
Bronnen
- NIS2 Directive (EU) 2022/2555 — Volledige tekst van de richtlijn
- Centre for Cybersecurity Belgium (CCB) — Belgische nationale autoriteit voor NIS2
- ENISA NIS2 Guidelines — EU Agentschap voor Cybersecurity
- Belgische NIS2-wet van 26 april 2024 — Nationale omzetting