Contact

0316-282557
 info@decom.nl

Samenwerken met Decom is kiezen voor advies zonder flauwekul en een nuchtere aanpak. Met kennis van zaken en focus op service.

NO-NONSENSE ADVIES

Wat jij moet weten over de NIS2 regelgeving

GESCHREVEN DOOR: Sjoerd Peters OP 16-10-2025

De Europese Unie heeft eind 2022 de NIS2-richtlijn vastgesteld. Dit is de vernieuwde wetgeving die de digitale weerbaarheid binnen de EU versterkt. Naar verwachting treedt NIS2 in Nederland in werking in het tweede kwartaal van 2026 (Q2), wanneer de nieuwe Cyberbeveiligingswet (CBW) van kracht wordt. 

De rijksoverheid adviseert organisaties om niet af te wachten, maar zich tijdig voor te bereiden. Digitalisering maakt bedrijven steeds afhankelijker van ICT, terwijl cyberdreigingen blijven toenemen. NIS2 moet zorgen voor een hoger en consistenter niveau van cybersecurity in heel Europa. Mocht nou onverhoopt alle stroom uitvallen

 bijvoorbeeld, hebben we een artikel hierover geschreven. Deze staat ook tussen de artikelen bij het kopje ‘nieuws’. 

Waarom NIS2? 

NIS2 vervangt de eerdere NIS-richtlijn uit 2016. Waar die zich richtte op een beperkt aantal vitale sectoren, zoals energie en vervoer, geldt NIS2 voor een veel bredere groep organisaties. Ook IT-dienstverleners, telecombedrijven, afvalverwerkers en digitale marktplaatsen vallen straks onder deze wet. 

De richtlijn verplicht organisaties om hun cybersecuritybeleid structureel te verbeteren. Denk aan duidelijke beveiligingseisen, betere ketenbeveiliging en een stevigere meldplicht bij incidenten. 

Belangrijkste veranderingen 

  • Uitgebreidere reikwijdte: Meer sectoren en organisaties vallen onder toezicht. 
  • Duidelijkere beveiligingseisen: Van technische maatregelen tot beleid en governance. 
  • Ketenbeveiliging: Aandacht voor de volledige toeleveringsketen, inclusief leveranciers en dienstverleners. 
  • Systeembeveiliging: Organisaties moeten hun netwerk- en informatiesystemen beter beschermen en adequaat reageren op kwetsbaarheden. 
  • Strengere meldplicht: Incidenten moeten sneller en nauwkeuriger worden gemeld. 
  • Hogere boetes: Niet-naleving kan leiden tot forse sancties.

Drie wettelijke plichten 

  1. Zorgplicht: Organisaties zijn verplicht om risico’s te beoordelen en passende maatregelen te nemen voor de beveiliging van hun netwerk- en informatiesystemen. Dit geldt ook voor hun leveranciersketen. 
  2. Registratieplicht: Entiteiten moeten zich registreren in het Europese entiteitenregister. Dit creëert overzicht en transparantie over alle organisaties die onder NIS2 vallen.
  3. Meldplicht: Significante beveiligingsincidenten moeten binnen 24 uur worden gemeld aan het Computer Security Response Team (CSIRT) en de toezichthouder, via het centrale meldpunt van het NCSC. 

Een goed ingerichte informatiebeveiliging rust op vier essentiële maatregelen die samen zorgen voor een betrouwbare organisatie. Allereerst speelt Business Continuity Management (BCM) een cruciale rol. Dit omvat alle maatregelen die de bedrijfscontinuïteit waarborgen, zoals effectief back-upbeheer, noodvoorzieningen en duidelijke herstelprocessen. Op die manier kan de organisatie bij verstoringen snel en gecontroleerd doorgaan met haar kernactiviteiten. 

Daarnaast is een solide Incident Response-beleid onmisbaar. Dit beleid beschrijft niet alleen hoe incidenten worden voorkomen, maar ook hoe er adequ

aat wordt gereageerd wanneer ze zich toch voordoen. Heldere procedures zorgen ervoor dat schade wordt beperkt en herhaling wordt voorkomen. 

Ook het toeleveranciersbeheer verdient bijzondere aandacht. Organisaties zijn immers steeds vaker afhankelijk van externe partijen. Daarom is het van belang dat informatiebeveiliging in de gehele keten wordt geborgd en dat incidenten ook bij leveranciers tijdig worden gemeld en opgevolgd. 

Tot slot vormt een zorgvuldig toegangsbeleid in combinatie met cryptografie de basis voor het beschermen van vertrouwelijke gegevens. Door middel van toegangscontrole, rollen- en rechtenbeheer en versleuteling van data wordt ongeautoriseerde toegang voorkomen. Bovendien is multifactorauthenticatie verplicht gesteld om de identiteit van gebruikers extra te beschermen en zo de digitale weerbaarheid verder te versterken. 

Wat betekent dit voor organisaties 

NIS2 vraagt om een integrale benadering van cybersecurity. Niet alleen IT-afdelingen, maar ook directies dragen verantwoordelijkheid. Er komt meer nadruk op governance, risicomanagement en samenwerking binnen de keten. 

Voor veel organisaties betekent dit een herziening van hun huidige beveiligingsbeleid. Tijdige voorbereiding voorkomt dat naleving straks onder hoge tijdsdruk moet plaatsvinden. 

 

Decom helpt organisaties voorbereid te zijn 

Bij Decom begrijpen wij dat cybersecurity meer is dan techniek alleen. Het vraagt om een strategische aanpak, heldere processen en betrouwbare partners. 

Wij helpen organisaties bij het inventariseren van risico’s, het implementeren van passende maatregelen en het opzetten van beleid dat voldoet aan de NIS2-eisen. Zo bouwen we samen aan een digitaal veiligere toekomst. 

 

Meer weten over NIS2 en wat dit betekent voor uw organisatie?

 

Neem contact op met Decom. Onze specialisten adviseren graag over de praktische stappen om te voldoen aan de nieuwe wetgeving.

 



Delen op social media

Profiel Sjoerd
Sjoerd Peters

accountmanager

sjoerd@decom.nl
0316 282 557
Linkedin

Overige berichten

>> Wat is een chatbot nou eigenlijk?

>> Updaten is belangrijker dan jij denkt

>> (Bijna) alles over AI

>> KPN Extra Veilig Mobiel

>> Zo herken en voorkom je digitale valstrikken