Wat is NIS2 en waarom het nu belangrijker dan ooit

NIS2 is de nieuwe Europese richtlijn voor cybersecurity die in Nederland wordt omgezet in de Cyberbeveiligingswet. De verwachte ingangsdatum is 1 juli 2026.

De richtlijn gaat veel verder dan IT-security alleen. De kern draait om bedrijfscontinuïteit: organisaties moeten aantoonbaar kunnen blijven functioneren wanneer cyberincidenten plaatsvinden. Het gaat dus om processen, diensten en de veerkracht van de organisatie als geheel. Henk zei hetvolgende: 

NIS2 gaat niet over het beveiligen van systemen, maar over het beschermen van processen die je organisatie draaiende houden. Waar de AVG één toezichthouder en een enorme doelgroep had, kent NIS2 meerdere toezichthouders voor een veel kleinere, direct‑plichtige groep. Dat verandert de dynamiek.”

Direct of indirect geraakt: waarom bijna iedereen met NIS2 te maken krijgt

Naar schatting vallen 10.000 organisaties in Nederland direct onder NIS2. Maar de impact reikt veel verder.

Organisaties die direct onder NIS2 vallen, moeten hun ketenrisico’s beheersen. Dat betekent dat leveranciers, vaak tienduizenden mkb’ers, aantoonbaar moeten laten zien dat zij voldoende beveiligingsmaatregelen hebben getroffen.

Henk zegt er hetvolgende over:

Leveranciers hoeven niet onder NIS2 te vallen om er toch mee te maken te krijgen, klanten gaan vragen om bewijs, niet om verhalen. Hierdoor verschuift de markt naar gestandaardiseerd bewijs zoals certificering, in plaats van losse vragenlijsten of PowerPoints.”

Certificering: hulpmiddel, geen automatisch NIS2‑bewijs

Er bestaat geen officieel certificaat dat garandeert dat een organisatie volledig NIS2‑compliant is. Alleen de toezichthouder bepaalt dat.
Toch is certificering een cruciale bouwsteen in de praktijk: het dwingt organisaties om maatregelen gestructureerd te implementeren en levert een betrouwbaar bewijs richting klanten. Normen zoals ISO 27001 en NEN 7510 kunnen hierin een rol spelen, maar zijn voor veel leveranciers te zwaar.

De basis op orde: vier categorieën maatregelen

De vraag “Wat moet ik minimaal regelen?” is helder te beantwoorden: de basis bestaat uit een bundel vier domeinen.

1) Organisatorisch

• Formuleer een strategisch beveiligingsplan dat de bedrijfscontinuïteit borgt.
• Leg governance vast op directieniveau (rollen, mandaat, besluitvorming).

2) Mensgericht

• Train directie en management in hun verantwoordelijkheid voor security.
• Zorg voor doorlopende awareness en periodieke training voor medewerkers.

3) Fysiek

• Beheer toegangen tot gebouwen, ruimtes en apparatuur volgens beleid.
• Bescherm locaties en middelen met passende fysieke beveiligingsmaatregelen.

4) Technologisch

• Activeer multifactor‑authenticatie (MFA) voor kritieke applicaties en accounts.
• Borg betrouwbare back‑ups en test het herstelperiodiek.
• Segmenteer het netwerk om incidenten te beperken.
• Bescherm endpoints met EDR (Endpoint Detection & Response).

Henk Bijsterbosch benadrukte hierbij:

“NIS2 is geen IT-feestje. Zonder een bestuur dat eigenaarschap neemt, blijven maatregelen los zand.”

Waarom wachten risicovol is

Een effectieve aanpak start met een klein projectteam (1–2 kartrekkers) en directietechnische bevoegdheid. Ook is samenwerking nodig tussen IT, inkoop, legal en HR.

Organisaties worden gewaarschuwd voor twee risico’s:

• Schaarste aan cybersecurityspecialisten
• Beperkte capaciteit in auditland, waardoor er richting 2026 wachtrijen ontstaan

Een praktische eerste stap is volgens Henk:

Plan deze week een gesprek met je drie grootste klanten en vraag wat zij van jullie verwachten rondom NIS2 en bewijs van cybersecurity. Dit voorkomt verrassingen en helpt bepalen welk niveau van maatregelen en certificering passend is".

Het domino-effect: waarom NIS2 verder reikt dan wetgeving

NIS2 wordt gezien als een katalysator voor een bredere beweging waarin aantoonbare digitale veiligheid overal zwaarder gaat wegen. Denk aan:

• Strengere inkoopvoorwaarden
• Banken die cybersecurity meenemen in financieringsbeslissingen
• Accountants die kritischer kijken naar risico’s en continuïteit
• Cyberverzekeraars die meer bewijs vragen
• Waardebepaling bij overnames (due diligence)

Aantoonbaarheid wordt daarmee een 'Licence to operate'.

Hoe Samen Digitaal Veilig en Score Utica helpen

Samen Digitaal Veilig biedt een toegankelijke omgeving met stappenplannen, templates, voorbeeldbeleid en tools om leveranciers te beoordelen.
Score Utica ondersteunt organisaties met technische maatregelen, documentatie, registraties en voorbereiding op audits, inclusief gegarandeerde auditplanning richting 2026.

NIS2 draait om continuïteit, leiderschap en aantoonbaarheid

De essentie van NIS2 is helder: digitale veiligheid moet structureel en aantoonbaar geregeld zijn, op bestuurlijk niveau én door de hele organisatie heen.
Organisaties die nu beginnen, lopen vooruit op wetgeving, versterken hun relatie met klanten en voorkomen drukte op het moment dat audits, consultants en auditors schaars worden.

Wil je horen wat NIS2 voor jouw organisatie betekent? Kijk dan het webinar ‘Aan de slag met NIS2’ terug. Je kan het webinar aanvragen via onderstaand formulier en binnen een uur ben je helemaal bijgepraat.