Securityterm
NIS2 - Cyberbeveiligingswet (Cbw)

Nis2

Doe jij zaken met grote organisaties? NIS2-entiteiten gaan mkb-toeleveranciers controleren op risico’s. Zonder de juiste digitale beveiliging riskeer je deze grote klanten te verliezen. We bereiden je voor en delen alles wat je wilt weten over NIS2 en de Cyberbeveiligingswet.

Wat is NIS2?

NIS2 is een richtlijn vastgesteld door de Europese Unie en heeft als doel om de cyberbeveiliging en digitale weerbaarheid van verschillende sectoren te verbeteren. Naar verwachting zal deze richtlijn in het tweede kwartaal van 2026 als de Nederlandse Cyberbeveiligingswet in werking treden.

De NIS2 is een herziene versie van de originele NIS-richtlijn. Zo zijn er meer type organisaties binnen bestaande sectoren die zich nu aan deze richtlijnen dienen te houden. Grote en essentiële organisaties zullen dus verplicht zijn om aan de NIS2 te voldoen. Ook zijn er strengere beveiligingsnormen en eisen rondom het melden van incidenten.

De verplichtingen van de NIS2-richtlijn

Als je organisatie onder de NIS2-richtlijn valt, zijn er verschillende verplichtingen waaraan je dient te voldoen:

  • Zorgplicht: NIS2-entiteiten voeren regelmatig risicoanalyses uit (zowel intern als extern) en nemen passende maatregelen om de continuïteit en digitale weerbaarheid te waarborgen.
  • Meldplicht: Cyberincidenten binnen deze NIS2-entiteiten dienen binnen 24 uur te worden gemeld bij de toezichthouder.
  • Toezicht: Er worden in iedere sector toezichthouders aangewezen die toezien op de naleving van de NIS2-richtlijn.

Ketenverantwoordelijkheid

Ook als je organisatie niet onder NIS2 valt, ben je onderhevig aan de gevolgen van deze richtlijn. NIS2-plichtige organisaties gaan namelijk strengere eisen stellen aan hun risico-gevoelige toeleveranciers en ketenpartners. Als jij je digitale veiligheid niet op orde hebt, vormt dat een direct gevaar voor hun organisatie. Zonder sterke cybersecurity loop je het risico om klanten te verliezen én ben jij kwetsbaarder voor cyberincidenten. Bescherm daarom je organisatie én je klanten door de digitale veiligheid in je organisatie te vergroten.

NIS2 compliance voor toeleveranciers

Doe jij zaken met een NIS2-plichtige organisatie? Dan is het belangrijk dat jouw organisatie cybersecurity goed onder de loep neemt. De richtlijn verplicht de NIS2-entiteiten namelijk om hun leveranciers en ketenpartners te controleren op (digitale) veiligheidsrisico's.

NIS2-entiteiten gaan mkb-toeleveranciers controleren op zaken als:

1. Is er een informatiebeveiligingsbeleid aanwezig binnen de organisatie? Welke procedures zijn er voor incidentbeheer, updates en back-ups? Is er een ISMS (Information Security Management System) aanwezig?

2. Zijn er bepaalde audits of bewijsstukken die aantonen dat er is voldaan aan bepaalde certificeringen en normen op het gebied van informatiebeveiliging.

3. Is er een periodieke risicobeoordeling? Is er een BCP (Business Continuity Plan) aanwezig? Welke mitigerende maatregelen neemt de organisatie?

4. Worden medewerkers getraind in cybersecurity? Hoe wordt er omgegaan met zaken zoals phishing, wachtwoorden, veilig e-mailen etc.

NIS2 training voor medewerkers

Je medewerkers eenvoudig trainen op de impact van NIS2? Met Awaretrain kan het. Binnen Awaretrain hebben we een speciale training afgestemd op NIS2. Hiermee leren medewerkers wat hun taak is op het gebied van NIS2 en waar ze rekening mee dienen houden in de praktijk als het aankomt op digitale beveiliging en veiligheidsbewustzijn. De perfecte aftrap om je cyberveiligheid aan te tonen richting NIS2-plichtige organisaties.

NIS2 cyberbeveiligingswet (Cbw)

Omdat NIS2 organisaties strenger gaan kijken naar de informatiebeveiliging van hun ketenpartners is het nodig om je medewerkers te blijven trainen op digitale veiligheid. Met Awaretrain heb je keuze uit 70+ interactieve trainingsmodules, beschikbaar in 9 verschillende talen. De informatie is direct toepasbaar en met regelmatige phishingsimulaties houd je iedereen alert. Binnen één dag staat je security awareness campagne voor je volledige organisatie gereed. Heb je nog ergens vragen over, dan is onze customer service afdeling er voor je om je verder te helpen.

Al 1000+ organisaties gingen je voor, maak hier 28 dagen lang gratis en vrijblijvend kennis met Awaretrain.

Wat betekent de NIS2-richtlijn voor toeleveranciers of ketenpartners?

De NIS2 verplicht grote, belangrijke en/of essentiële organisaties om ketenverantwoordelijkheid te nemen. Dit houdt in dat zij verplicht zijn om te controleren of al hun risicovolle toeleveranciers en ketenpartners voldoende stappen nemen omtrent informatiebeveiliging. Als toeleverancier of ketenpartner ben je op die manier onderhevig aan NIS2, zelfs als je niet rechtstreeks onder NIS2 valt.

Wanneer val je onder de NIS2-richtlijn?

Benieuwd of je organisatie direct onder de NIS2-richtlijn valt? Doe de NIS2-zelfevaluatie via Rijksoverheid en ontdek of je organisatie aan de criteria voldoet. Of je NIS2-plichtig bent hangt namelijk af van verschillende factoren zoals sector, omvang en afhankelijkheid.

Zelfs als je organisatie niet direct onder de NIS2-richtlijn valt, kan het toch zo zijn dat je te maken hebt met NIS2. Wanneer je bijvoorbeeld samenwerkt met grote organisaties die wel NIS2-plichtig zijn, heb je indirect te maken met de strengere eisen rondom informatiebeveiliging en veiligheidsbewustzijn.

Wanneer wordt je organisatie als risicovolle leverancier of ketenpartner gezien?

Of jouw organisatie als risicovolle leverancier wordt aangemerkt, hangt niet af van hoe goed je jouw interne beveiliging hebt geregeld, maar over het belang voor de kernprocessen van de NIS2-plichtige organisatie.

Een voorbeeld:

Een ziekenhuis (NIS2-plichtig) werkt samen met verschillende leveranciers. Denk aan leveranciers van informatiesystemen, ziekenhuisapparatuur of medicatie. Allemaal essentiële middelen die bijdragen aan de zorgcontinuïteit. Als een van deze leveranciers getroffen wordt door een cyberincident, kan dat gevolgen hebben voor het ziekenhuis: uitgestelde operaties, gelekte patiëntgegevens etc. Vaak zijn deze leveranciers zelf al direct NIS2-plichtig. Mocht dat niet het geval zijn, dan vallen dit soort leveranciers onder de risicovolle ketenpartners.

Om weer te geven welke organisaties worden gezien als niet-risicovolle leveranciers of ketenpartners: een leverancier van wc-papier zal voor het ziekenhuis geen directe impact hebben op de digitale veiligheid en zorgprocessen. Als een leverancier van wc-papier dus wordt geraakt door een cyberincident, is dat vervelend, maar loopt het ziekenhuis geen hoog risico.

Uiteindelijk zal een risicoanalyse, opgesteld door de NIS2-plichtige organisatie, bepalen of jij als leverancier wordt gezien als risicovol of niet.

Waarom stelt je klant nieuwe eisen op het gebied van digitale veiligheid?

NIS2 verplicht NIS2-plichtige organisaties om hun risico's nóg scherper in kaart te brengen, en deze te verkleinen. Cyberincidenten zijn een hot topic en dat is niet zonder reden. Verschillende organisaties zijn namelijk al de dupe geworden van cyberaanvallen. De impact van een cyberincident heeft grote gevolgen. Denk bijvoorbeeld aan bedrijfsprocessen die stop komen te liggen of gevoelige informatie dat op straat belandt.

Ketenverantwoordelijkheid is een belangrijk onderdeel van NIS2. Hiermee worden NIS2-plichtige organisaties genoodzaakt om strengere eisen te stellen aan hun toeleveranciers. Deze ketenpartners beschikken immers over belangrijke gegevens en/of systemen. Wanneer zij geraakt worden door een cyberaanval, kan dat directe gevolgen hebben voor de NIS2-plichtige organisatie. Op deze manier kan één aanval een gehele keten raken. Om het risico op een ketenaanval te verkleinen kunnen klanten dus strengere eisen stellen aan leveranciers op het gebied van digitale veiligheid en weerbaarheid.

Met de NIS2 wordt er op een nóg grotere schaal gevraagd naar juiste beveiligingsmaatregelen.

Wat kan én mag een NIS2-entiteit van je organisatie verwachten?

NIS2-plichtige organisaties kunnen eisen stellen omtrent:

  • Beveiligingsbeleid
  • Technische beveiligingsmaatregelen
  • Risicoanalyses en continuïteitsplanning
  • Incident response
  • Certificeringen en normen zoals ISO 27001
  • Bewustwording en trainingen onder medewerkers

Welke passende maatregelen kan je als leverancier of ketenpartner nemen?

Cyberbeveiliging draait niet om het 100% voorkomen van risico's en dreigingen, dat is onhaalbaar. Wel kan je vaak met 20% van de beveiligingsmaatregelen 80% van de risico's verkleinen. Denk hierbij aan passende maatregelen zoals:

  • Regelmatige risicoanalyses die de huidige risico's in kaart brengen voor je organisatie;
  • Een patchbeleid zodat je beveiliging altijd up-to-date is;
  • Back-up plan en herstelplan voor het geval je toegang verliest tot belangrijke gegevens en systemen;
  • Incidentresponsprocedures voor het geval er een incident plaatsvindt;
  • MFA (multifactorauthenticatie) instellen voor je volledige organisatie met bijvoorbeeld passkeys;
  • Trainingen en bewustwordingsmodules voor medewerkers op het gebied van informatiebeveiliging zoals de trainingen van Awaretrain.

Hoe kan je aantonen dat je informatiebeveiliging op orde is?

Een NIS2-plichtige organisatie kan vragen om documentatie van de genomen maatregelen ter bevordering van de informatiebeveiliging. Dit kan je aantonen met bijvoorbeeld met een ISO 27001 certificaat of met een NIS2-quality mark.

Bij een ISO 27001 certificering doorloop je een volledige audit met een auditor.

Het NIS2-quality mark kent een normensysteem en onderscheidt drie risiconiveaus voor organisaties die direct leveren aan NIS2-entiteiten:

  • QR10 voor mkb's met beperkt risico.
  • QR20 voor organisaties met een verhoogd risico's door hun rol of toegang tot gevoelige data.
  • QM30 voor cruciale bedrijven in de keten en waar een verstoring een groot risico vormt.

Wat als je organisatie niets of te weinig doet met informatiebeveiliging?

Op het moment dat je niets of te weinig doet met informatiebeveiliging loop je niet alleen zelf het risico om slachtoffer te worden van een cyberincident, ook lopen je klanten risico door je gebrek aan beveiligingsmaatregelen.

NIS2-plichtige organisaties zullen strengere eisen stellen aan hun leveranciers en ketenpartners. Op het moment dat je deze eisen niet of onvoldoende opvolgt kan dit het onderlinge vertrouwen beschadigingen en loop je het risico om klanten te verliezen.

Kan ik ondersteuning krijgen in het verbeteren van onze cyberveiligheid?

Onze security awareness experts staan je graag te woord om te kijken welke stappen jouw organisatie kan zetten om het veiligheidsbewustzijn in je organisatie naar het volgend niveau te tillen. Je kan ons bereiken via +31 (0)88 018 16 00 of via het contact formulier hieronder.

70+

Trainingsmodules

1.000+

Klanten wereldwijd

1.000.000+

Medewerkers getraind

Stap aan boord bij Awaretrain voor structurele security awareness.

Certificeringen

Ontdek meer

Onze aanpak
Security awareness platform
AVG & Privacy training
Phishing simulatie
Gratis testen
Prijsplannen
Cultuurmeting
Social engineering onderzoek
Interactieve sessies
Partner worden

Contact

+31 (0)88 018 16 00
info@awaretrain.com

Awareness on track

© Awaretrain | Alle rechten voorbehouden
Securitytermen
Algemene voorwaarden
Privacyverklaring