5 veelgestelde vragen over cyberbeveiligingswet NIS2

Er komt een nieuwe cyberbeveiligingswet aan. Naar verwachting wordt deze in het derde kwartaal ingevoerd. Grote en essentiële bedrijven moeten aantonen dat zij digitaal weerbaar zijn, maar ook dat hun toeleveranciers dat zijn. BOVAG-­leden kunnen worden gevraagd om aan deze NIS2-eisen te voldoen.

1. Wat is NIS2?

NIS2 staat voor Network and Information Security directive 2. Deze Europese richtlijn richt zich op het vergroten van de digitale weerbaarheid en het beperken van de gevolgen van cyberincidenten in Europa. Steeds meer bedrijven werken namelijk ook digitaal samen met hun leveranciers, wat risico’s met zich meebrengt.

2. Wanneer gaat NIS2 in?

Nederland voert NIS2 waarschijnlijk in het derde kwartaal in, oftewel tussen 1 juli en 3 september 2025. Het wordt dan onderdeel van de nieuwe Cyberveiligheidswet. NIS2 is vastgesteld door de Europese Unie op 17 oktober 2024. Het is aan de Europese landen om deze richtlijn op te nemen in hun eigen wetgeving. In bijvoorbeeld België is NIS2 al van kracht.

3. Wie moet er aan NIS2 voldoen?

Essentiële en belang­rijke sectoren vallen direct onder NIS2. Denk aan de overheid en aan bedrijven in de gezondheidszorg, energie en financiële dienstverlening. In totaal gaat het om ruim tienduizend organisaties in Nederland.

4. Ik ben geen NIS2-bedrijf, kan ik er alsnog mee te maken krijgen?

BOVAG-bedrijven zijn doorgaans geen ‘essentieel’ of ‘belangrijk’ bedrijf volgens NIS2. Je kunt echter alsnog met de wetgeving te maken krijgen, als je leverancier van zo’n essentieel bedrijf bent. NIS2-bedrijven moeten er namelijk voor zorgen dat ook toeleveranciers digitaal veilig werken om cyberincidenten in de keten te voorkomen. Als je (motor)voertuigen, -onderdelen of diensten levert aan een essentieel bedrijf en jullie bedrijven zijn digitaal verbonden (bijvoorbeeld door een softwareprogramma), dan kunnen zij van jou eisen dat je maatregelen neemt tegen online criminaliteit. Doe je dat niet, dan loop je het risico dat een klant het contract opzegt.

5. Hoe bereid ik me voor op de komst van NIS2?

NIS2-bedrijven kunnen jou vragen aan te tonen dat je online veiligheid in orde is. Dat kan je doen door bijvoorbeeld het NIS2 Quality Mark te behalen. Dit is een standaard voor digitale veiligheid, speciaal voor mkb-bedrijven. Om dit certificaat te behalen moet je acties ondernemen zoals het vastleggen van procedures, het trainen van medewerkers, de veiligheid van digitale systemen in orde brengen en de digitale veiligheid van je eigen leveranciers controleren. Als je deze stappen hebt doorlopen, word je extern getoetst. Het behalen van het certificaat kost tijd. Als je levert aan een essentieel bedrijf is het dus belangrijk om snel in actie te komen. BOVAG is aangesloten bij het online platform Samen Digitaal Veilig, dat veel informatie biedt over NIS2 en het NIS2 Quality Mark. Er zijn praktische tools, webinars, FAQ’s en ondersteuning beschikbaar.

Dit artikel is verschenen in BOVAGkrant 3-2025.