NIS2-voorbereiding, AVG en cybersecurity compliance
De NIS2-richtlijn verhoogt de eisen aan cyberweerbaarheid voor veel organisaties en hun leveranciers. Wij brengen onafhankelijk in kaart waar u staat op het gebied van risicobeheer, incidentrespons, continuïteit, leveranciersbeveiliging en de meldplicht — en hoe u dat aantoonbaar maakt. Een ISO 27001-conform managementsysteem dekt een groot deel van de NIS2-zorgplicht af, dus vaak bouwt u voort op wat er al is. U krijgt een heldere gap-analyse en een praktische routekaart naar compliance.
Wat vraagt NIS2?
NIS2 vraagt om risicogebaseerde maatregelen voor informatiebeveiliging, incidentafhandeling met meldplicht, bedrijfscontinuïteit, beveiliging van de toeleveringsketen en bestuurdersverantwoordelijkheid. Een groot deel hiervan overlapt met ISO 27001.
Voor wie geldt het?
Voor middelgrote en grote organisaties in essentiële en belangrijke sectoren (energie, transport, zorg, digitale infrastructuur, overheid en meer) én hun belangrijke leveranciers.
Onze aanpak
- Bepalen of en hoe NIS2 op u van toepassing is.
- Risicogebaseerde nulmeting (zorgplicht).
- Meldproces en governance inrichten.
- Leveranciersbeveiliging beoordelen.
- Routekaart en verbeterplan.
ISO 27001 als voorsprong
Wie al een ISMS heeft, ligt ver voor. Lees meer over ISO 27001 en NIS2, en hoe privacy via ISO 27701 aansluit op de AVG.
Europese Commissie — NIS2-richtlijn (officiële bron).
Veelgestelde vragen
Korte, directe antwoorden — geschreven voor mensen én voor AI-zoekfuncties.
NIS2 is een Europese richtlijn die de eisen aan cyberweerbaarheid aanscherpt voor een brede groep organisaties in essentiële en belangrijke sectoren. Ze verplicht onder meer risicogebaseerde beveiligingsmaatregelen, incidentmelding, continuïteitsmaatregelen, beveiliging van de toeleveringsketen en betrokkenheid van het bestuur. NIS2 vervangt en verbreedt de eerdere NIS-richtlijn.
Niet automatisch, maar ISO 27001 dekt een groot deel van de NIS2-zorgplicht af, omdat beide draaien om risicogebaseerde informatiebeveiliging. Aanvullend vraagt NIS2 specifiek aandacht voor de meldplicht bij incidenten, bestuurdersverantwoordelijkheid en beveiliging van de toeleveringsketen. Een ISMS is dus een sterke basis, geen volledige garantie.
NIS2 geldt voor middelgrote en grote organisaties in aangewezen essentiële en belangrijke sectoren, zoals energie, transport, gezondheidszorg, digitale infrastructuur, drinkwater en overheid, plus hun belangrijke leveranciers. De precieze reikwijdte hangt af van sector en omvang; laat u adviseren of uw organisatie eronder valt.
De zorgplicht verplicht organisaties passende technische en organisatorische maatregelen te nemen om risico's voor hun netwerk- en informatiesystemen te beheersen. Denk aan risicobeheer, toegangsbeveiliging, incidentafhandeling, back-ups, continuïteit en leveranciersbeveiliging. De maatregelen moeten in verhouding staan tot de risico's.
Organisaties moeten significante incidenten binnen korte termijnen melden bij de toezichthouder, doorgaans met een eerste melding binnen 24 uur en uitgebreidere rapportage daarna. Een vooraf ingericht meldproces, met duidelijke rollen en escalatie, is essentieel om aan die termijnen te kunnen voldoen.
NIS2 richt zich op cyberweerbaarheid en de beveiliging van netwerk- en informatiesystemen; de AVG richt zich op de bescherming van persoonsgegevens. Ze overlappen op het gebied van beveiligingsmaatregelen en incidentmelding. Een geïntegreerde aanpak — bijvoorbeeld ISO 27001 met ISO 27701 — helpt om aan beide efficiënt te voldoen.
Leveranciersbeveiliging gaat over het beheersen van risico's die via toeleveranciers en dienstverleners binnenkomen. NIS2 verplicht organisaties expliciet om de beveiliging in hun toeleveringsketen te beoordelen. Dat doet u onder meer via leveranciersbeoordelingen, contractuele eisen en second-party audits.
Begin met bepalen of NIS2 van toepassing is, gevolgd door een risicogebaseerde nulmeting van uw huidige beveiliging, incidentrespons en leveranciersbeheer. Richt het meldproces in, beleg verantwoordelijkheid bij het bestuur en verbeter gericht op de geconstateerde hiaten. Een ISO 27001-aanpak biedt hiervoor een beproefd raamwerk.
Klaar voor NIS2?
Plan een NIS2-scan en weet binnen één gesprek waar uw organisatie staat.
