Meer bedrijven in kritieke sectoren krijgen verplichtingen voor cyberbeveiliging (NIS2)

De NIS2-richtlijn is een Europese wet die de cybersecurity in kritieke sectoren moet versterken. Deze nieuwe regelgeving vervangt en breidt de huidige Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) flink uit. Waar voorheen alleen de allergrootste bedrijven verplichtingen hadden, vallen nu ook veel middelgrote MKB-bedrijven onder deze strenge cybersecurity-eisen.

De richtlijn geldt voor bedrijven in zeer kritieke sectoren (zoals energie, transport, bankwezen, gezondheidszorg) en kritieke sectoren (zoals ICT-diensten, post, chemie, voedingsmiddelen). Je valt automatisch onder de regels als je bedrijf minimaal 50 werknemers heeft of een jaaromzet van meer dan € 10 miljoen behaalt in één van deze sectoren. Voor grote bedrijven (250+ werknemers, € 50 miljoen+ omzet) gelden nog strengere eisen als 'essentiële entiteit'.

De nieuwe verplichtingen betekenen dat je een uitgebreide zorgplicht krijgt voor cybersecurity. Dit houdt in dat je passende technische en organisatorische maatregelen moet treffen om cyberrisico's te beheersen. Daarnaast krijg je een meldplicht: significante cybersecurity-incidenten moet je binnen bepaalde termijnen melden aan de toezichthouder. Non-compliance kan leiden tot forse boetes en andere sancties.

Hoewel de wet pas in 2026 ingaat, is het verstandig om nu al te beginnen met voorbereiden. Cybersecurity-maatregelen implementeren kost tijd, en de eisen zullen streng zijn. Bovendien kun je er nu al voordeel van hebben: betere beveiliging beschermt je bedrijf tegen cybercriminaliteit en verhoogt het vertrouwen van klanten en partners. Een goede cybersecurity-strategie wordt steeds meer een concurrentievoordeel in de markt.