22 februari 2023

Nieuwe NIS2-richtlijn voor cybersecurity in publieke sector

De NIS2 is op 16 januari 2023 in werking getreden. Daarmee gelden er nu ook aangescherpte cybersecurityregels voor publieke organisaties en (mede)overheden. Wat zijn de grootste veranderingen?

De Network and Information Security Directive 2 (NIS2) noemen we in Nederland ook wel de Netwerk- en Informatieveiligingsrichtlijn 2 (NIB2). Het is een uitbreiding op de eerdere NIS. Die oorspronkelijke NIS-richtlijn gold niet voor decentrale overheden, de nieuwe NIS2 wel. Dat betekent dat ook jouw organisatie nu mogelijk verplicht is om meer maatregelen te nemen voor de beheersing van cybersecurityrisico’s.

Internationale bestrijding vergemakkelijken

Met het toenemend gebruik van digitale technologieën stijgt het risico op cyberaanvallen en -criminaliteit. Om internationale bestrijding ervan te vergemakkelijken en stimuleren, bouwt de EU al jaren aan een gedegen cyberdefensiebeleid en blijft ze richtlijnen actualiseren. Nu dus de NIS, waarvan de regels in ons land zijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni).

NIS2 van toepassing op meer organisaties

Met de NIS2 gaan de cybersecurityregels gelden voor meer sectoren. Naast alle middelgrote en grote ondernemingen moeten nu ook 4.000 instellingen, waaronder publieke organisaties en medeoverheden, meer maatregelen nemen voor de beheersing van cyberbeveiligingsrisico’s. Zo gelden er voor deze organisatie bijvoorbeeld strengere beveiligings- en rapportagevereisten.

De meest opvallende wijzigingen:

  • Er is geen onderscheid meer tussen exploitanten van essentiële diensten en aanbieders van digitale diensten. Alle middelgrote en grote entiteiten die actief zijn in sectoren of diensten die onder de richtlijn vallen, worden aangemerkt als aanbieders van essentiële diensten.
  • Er moet een aanpak voor risicobeheersing zijn en er is een lijst van minimale basisbeveiligingselementen die moeten worden toegepast.
  • Er gelden meer precieze bepalingen voor de procedure, inhoud en termijnen van incidentenmeldingen. Ook moeten entiteiten elkaar en het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) op de hoogte brengen van belangrijke cyberincidenten en -dreigingen.
  • De veiligheid van toeleveringsketens en relaties met leveranciers moet worden aangepakt.

Over tot actie

In de praktijk betekent dit voor publieke organisaties en (mede)overheden dat de volgende zaken vereist zijn:

  • Risicoanalyses
  • Planmatige incidentafhandeling
  • Cryptografie en encryptie

Bovendien geldt er een meldplicht voor ernstige incidenten (zie ook de Handreiking Cybersecuritymaatregelen van het Nederlands Cyber Security Centrum en – voor gemeenten – de website van de Informatiebeveiligingsdienst (IBD) van de VNG).

Naleving en handhaving van NIS2

De NIS2 heeft ook consequenties voor naleving en handhaving. De richtlijn stelt dat nationale autoriteiten strenger moeten handhaven op het naleven van regels en stuurt aan op proactieve steekproefcontroles. Voor wie niet aan de beveiligingseisen voldoet, zal er een grotere kans op (hogere) boetes en andere sancties zijn. Boetes kunnen oplopen tot tenminste € 10 miljoen of 2% van de totale (wereldwijde) omzet. Er wordt zelfs voorzien in de mogelijkheid van hoofdelijke aansprakelijkheid voor organisaties die zich schuldig maken aan grove nalatigheid of opzet.

Actueel

30 oktober 2025

Mag je medewerkers verplichten mee te verhuizen bij een bedrijfsverhuizing? Zo pak je het goed aan

Lees verder
27 oktober 2025

Ook betaald ouderschapsverlof voor dga

Lees verder
23 oktober 2025

Uitstel Richtlijn Loontransparantie: invoering mogelijk pas in 2027

Lees verder
Terug

Nog niet uitgelezen?

Alle berichten
Nieuws

Mag je medewerkers verplichten mee te verhuizen bij een bedrijfsverhuizing? Zo pak je het goed aan

Verhuizen met je bedrijf is vaak spannend. Nieuwe kansen, meer ruimte of een strategisch betere locatie. Maar wat als je medewerkers daar niet blij mee zijn? Mag je als werkgever verwachten dat ze meegaan? Of zelfs eisen dat ze dat doen? In dit artikel lees je wat wel en niet mag en hoe je een […]

Lees bericht
Nieuws

Ook betaald ouderschapsverlof voor dga

Medewerkers hebben onder voorwaarden recht op ouderschapsverlof, waarvan het UWV een deel betaalt. Maar wist je dat er ook betaald ouderschapsverlof voor de directeur-grootaandeelhouder (dga) bestaat? Dat betekent dat ook een dga – als deze aan de voorwaarden voldoet – via het UWV een uitkering kan ontvangen tijdens het ouderschapsverlof. Als dga ben je immers […]

Lees bericht
Nieuws

Uitstel Richtlijn Loontransparantie: invoering mogelijk pas in 2027

De invoering van de Europese Richtlijn Loontransparantie lijkt later van start te gaan dan gepland. De oorspronkelijke deadline van juni 2026 blijkt niet haalbaar. Naar verwachting verschuift de datum naar 1 januari 2027. Werkgevers krijgen daardoor waarschijnlijk meer tijd om zich voor te bereiden op de nieuwe verplichtingen rond loonrapportages en gelijke beloning. Wat houdt […]

Lees bericht
Nieuws

Top 10 eindejaarstips 2025 – wat juist wel of niet nog doen

Wat kan of moet je als ondernemer, dga, werkgever of particulier echt nog even vóór eind 2025 regelen? Op welke verandering die je in 2026 staan te wachten kun je nu nog anticiperen? Waarmee kun je beter nog even wachten tot het nieuwe jaar? We hebben 10 van de belangrijkste tips voor je samengevat. 1. […]

Lees bericht
Nieuws

Nieuw formulier bezwaar tegen aanslag erfbelasting

In de categorie ‘niet leuker, wel makkelijker’: de Belastingdienst heeft het nieuwe formulier ’Bezwaar erfbelasting particulieren’ geïntroduceerd. Dit moet bezwaar maken tegen een aanslag erfbelasting of navorderingsaanslag vereenvoudigen. Wie het niet eens is met een aanslag erfbelasting, kan binnen 6 weken bezwaar maken. En na die 6 weken is er de mogelijkheid om een verzoek […]

Lees bericht
Meer
Toon alles