In de vorige blogpost hebben we uitgelegd wat NIS2 is, voor welke organisaties deze richtlijn geldt en wanneer de wetgeving van kracht wordt. In deze blog gaan we een stap verder en kijken we naar de praktijk. We lichten toe welke kernverplichtingen NIS2 introduceert, hoe toezicht en handhaving zijn ingericht en wat dit betekent voor de verantwoordelijkheid van bestuur en management. Daarmee bieden we inzicht in wat NIS2 concreet vraagt van organisaties en hoe dit doorwerkt in hun dagelijkse praktijk.
Voeg je koptekst hier toe
Waarom is NIS2 relevant voor jouw organisatie?
NIS2 heeft directe gevolgen voor de manier waarop organisaties omgaan met digitale risico’s en continuïteit. De richtlijn vraagt om aantoonbare digitale weerbaarheid, duidelijke verantwoordelijkheden en voorbereiding op incidenten. Daarbij verschuift cybersecurity nadrukkelijk naar bestuursniveau en werkt NIS2 door in de hele keten, waardoor ook leveranciers en partners vaker betrokken worden.
Dit maakt NIS2 relevant voor vrijwel elke organisatie die diensten levert of onderdeel is van een keten. Niet alleen omdat het wetgeving is, maar omdat het organisaties dwingt om structureel stil te staan bij hun afhankelijkheden, kwetsbaarheden en hun vermogen om verstoringen op te vangen.
Wat houden de NIS2-richtlijnen in?
NIS2 legt organisaties geen losse technische eisen op, maar introduceert een samenhangend stelsel van verplichtingen dat gericht is op het structureel versterken van digitale weerbaarheid. Deze verplichtingen gelden rechtstreeks voor NIS2-entiteiten en werken indirect door in de keten. Naast de registratieplicht, meldplicht en zorgplicht besteedt NIS2 nadrukkelijk aandacht aan de manier waarop hier toezicht op wordt gehouden en welke verantwoordelijkheid daarbij op bestuursniveau ligt.
Toezicht en handhaving
NIS2 versterkt het toezicht op organisaties aanzienlijk. Toezichthouders krijgen uitgebreide bevoegdheden om te controleren of organisaties zich aan de wet houden. Zij kunnen audits uitvoeren, informatie opvragen, inspecties doen en bindende aanwijzingen opleggen. Wanneer organisaties tekortschieten, kunnen corrigerende maatregelen en boetes volgen. Het doel hiervan is niet alleen handhaving, maar ook het structureel verhogen van het niveau van digitale weerbaarheid binnen sectoren die belangrijk zijn voor de samenleving. Een verstoring in de operatie van een transportbedrijf door een cyberincident, kan directe gevolgen hebben voor de distributie van medicijnen en de bevoorrading van supermarkten. Zo kan één incident al snel kan doorwerken naar meerdere sectoren.
Bestuurlijke aansprakelijkheid en training
Een belangrijk nieuw element binnen NIS2 is de persoonlijke bestuurlijke aansprakelijkheid. Bestuurders kunnen aansprakelijk worden gesteld wanneer hun organisatie aantoonbaar faalt in het naleven van de cybersecurityverplichtingen. Daarmee wordt cybersecurity expliciet een verantwoordelijkheid op bestuursniveau. Het is niet langer voldoende om dit uitsluitend bij de IT-afdeling te beleggen; het bestuur moet actief sturen, prioriteiten stellen en toezicht houden op de aanpak van digitale risico’s.
Om die rol goed te kunnen vervullen, verplicht NIS2 organisaties om te zorgen dat bestuurders en hoger management regelmatig training volgen op het gebied van cybersecurity en digitale weerbaarheid. Deze trainingen zijn bedoeld om inzicht te geven in cyberdreigingen, risico’s voor de organisatie en de wettelijke verantwoordelijkheden. Zo wil de wetgever bereiken dat bestuurders beter onderbouwde beslissingen nemen en aantoonbaar betrokken zijn bij de digitale veiligheid van hun organisatie.
Hoe verhoudt NIS2 zich ten opzichte van andere normen en richtlijnen?
Voor veel organisaties zijn normen zoals NEN 7510 en kwaliteitskaders zoals HKZ al bekend. NIS2 staat hier niet los van, maar sluit er in de praktijk vaak op aan. NEN 7510 richt zich op informatiebeveiliging en het beschermen van vertrouwelijkheid, integriteit en beschikbaarheid van (zorg)informatie. HKZ focust op kwaliteit en beheersing van processen, met aandacht voor risico’s en continuïteit.
NIS2 gaat echter een stap verder. Waar NEN 7510 en HKZ vooral normenkaders zijn, is NIS2 wetgeving met toezicht en handhaving. Dit vraagt niet alleen om passende maatregelen, maar ook om aantoonbaar risicomanagement, bestuurlijke verantwoordelijkheid, ketenbrede afspraken en formele meld- en registratieverplichtingen. Organisaties die al werken met NEN 7510 en HKZ hebben vaak een goede basis, maar NIS2 vraagt meestal om uitbreiding en aanscherping, met extra aandacht voor governance, ketenverantwoordelijkheid en aantoonbaarheid.
Hoewel NIS2 wetgeving is, draait het uiteindelijk om iets groters: weerbaarheid. Kun je jouw diensten of producten blijven leveren als jouw systemen of die van toeleveranciers onder druk staan? Kun je herstellen zonder grote gevolgen voor eindklanten en medewerkers? Organisaties die nu investeren in digitale weerbaarheid, zijn beter voorbereid op de toekomst.
Wat kun je van 4Consult verwachten?
De komst van de NIS2-richtlijn roept bij veel organisaties vragen op. Wat betekent deze wetgeving concreet voor jullie organisatie, en wat vraagt dit in de praktijk van mensen, processen en verantwoordelijkheden? NIS2 raakt niet alleen techniek, maar ook beleid, bestuur en samenwerking in de keten.
Wij begrijpen dat digitale wetgeving en cybersecurity complex kunnen zijn, zeker wanneer dit niet tot de dagelijkse kernactiviteiten behoort. Daarom ondersteunt 4Consult organisaties op een toegankelijke en pragmatische manier bij de vertaling van NIS2 naar hun eigen praktijk.
In de komende weken neemt jullie contactpersoon bij 4Consult contact op om een afspraak in te plannen, waarin we samen bespreken wat de impact van NIS2 is op jullie organisatie en welke stappen nodig zijn om hier goed op voorbereid te zijn. Tijdens dit gesprek ontvang je een overzicht van de huidige situatie binnen jullie IT-omgeving en de vervolgstappen die passen bij de grootte, rol en risico’s van jullie organisatie.
Zo begeleiden we jullie volledig bij het versterken van digitale weerbaarheid en het stap voor stap toewerken naar naleving van NIS2.
