De NIS2-richtlijn is sinds 17 oktober 2024 van kracht in de EU, maar de transpositie naar de Nederlandse Cyberbeveiligingswet (Cybersecurity Act) loopt vertraging op en wordt in principe verwacht in het derde kwartaal van 2025 of later.
Organisaties die onder NIS2 vallen — zoals banken, energiebedrijven, zorginstellingen, IT-dienstverleners en toeleveranciers — krijgen verplichtingen zoals het uitvoeren van een risicoanalyse, het implementeren van doorlopende beveiligingsmaatregelen (duty of care) en het melden van incidenten onder toezicht van nationale autoriteiten.
Ook leveranciers en startups worden beïnvloed als zij producten of diensten leveren aan organisaties die onder NIS2 vallen, vanwege ketenverantwoordelijkheid voor cybersecurity.
Actiepunten voor bedrijven:
- Stel een solide risico- en compliance-programma op conform NIS2.
- Bereid incident response, continuty en auditprocessen structureel voor.
- Houd medewerkers op de hoogte via awareness-trainingen en interne evaluaties.
- Overweeg ondersteuning bij interim CISO, security audits of ISO 27001-professionaliteit.
- Begin proactief met voorbereiding, zodat je bij nationalisatie van de wetgeving compliant bent bij livegang.
