NIS2 staat voor Network and Information Security directive 2. Het is een Europese richtlijn die organisaties in bepaalde sectoren verplicht om hun digitale beveiliging op orde te hebben. NIS2 is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016 en stelt strengere en bredere eisen aan cybersecurity binnen de EU.
Waarom bestaat NIS2?
Cyberaanvallen op organisaties nemen toe in zowel aantal als ernst. Overheden, ziekenhuizen, energiebedrijven en andere vitale organisaties zijn steeds vaker doelwit. De Europese Unie heeft NIS2 in het leven geroepen om de digitale weerbaarheid van deze sectoren te versterken en om de aanpak van cybersecurity binnen lidstaten te harmoniseren.
Voor welke organisaties geldt NIS2?
NIS2 geldt voor organisaties in sectoren die als essentieel of belangrijk worden beschouwd. Denk aan:
- Energie en water
- Transport en logistiek
- Gezondheidszorg
- Digitale infrastructuur en ICT-dienstverlening
- Overheid en publieke diensten
- Financiële sector
- Onderwijs
Of een organisatie onder NIS2 valt, hangt af van de sector en de omvang. Grotere organisaties in de bovengenoemde sectoren zijn in de meeste gevallen verplicht te voldoen aan de richtlijn.
Wat zijn de verplichtingen onder NIS2?
Organisaties die onder NIS2 vallen, moeten aan een aantal concrete eisen voldoen:
- Een actief risicobeheerbeleid voor informatiebeveiliging
- Maatregelen om systemen en netwerken te beveiligen
- Een procedure voor het melden van ernstige cyberincidenten
- Aandacht voor beveiliging in de toeleveringsketen
- Bewustwording en training van medewerkers op het gebied van cybersecurity
Bestuurders en directieleden kunnen persoonlijk aansprakelijk worden gesteld als een organisatie aantoonbaar nalatig is geweest in het naleven van deze eisen.
NIS2 in het onderwijs
Ook onderwijsinstellingen vallen binnen de reikwijdte van NIS2. Universiteiten en hogescholen verwerken grote hoeveelheden persoonsgegevens en zijn afhankelijk van digitale systemen voor onderwijs, onderzoek en administratie. Dat maakt hen een kwetsbaar doelwit voor cyberaanvallen.
Voor onderwijsinstellingen betekent NIS2 in de praktijk dat zij aantoonbare stappen moeten zetten op het gebied van beveiliging, incidentresponse en bewustwording van medewerkers. Welke specifieke verplichtingen gelden en welke instellingen precies onder de richtlijn vallen, lees je in dit overzicht van NIS2-regelgeving voor het onderwijs.
Wat betekent NIS2 in de praktijk?
Voor veel organisaties betekent NIS2 een serieuze investering in cybersecurity. Niet alleen in technische maatregelen, maar ook in de mensen die ermee werken. Medewerkers zijn vaak de eerste schakel in een aanval. Phishing, social engineering en zwakke wachtwoorden zijn verantwoordelijk voor een groot deel van de cyberincidenten.
NIS2 benadrukt dan ook het belang van bewustwording binnen organisaties. Het is niet voldoende om systemen te beveiligen — medewerkers moeten weten hoe ze veilig handelen en wat ze moeten doen bij een verdacht incident.
Wanneer is NIS2 van kracht?
De NIS2-richtlijn is in oktober 2024 van kracht geworden in Nederland. Organisaties die onder de richtlijn vallen, worden geacht te voldoen aan de verplichtingen en kunnen worden gecontroleerd door toezichthoudende instanties. Bij niet-naleving kunnen boetes worden opgelegd.
