Groeiend bedrijf Ondernemen Technologie Tools & IT

Zo bereid je je als bedrijf voor op de nieuwe NIS 2-wetgeving

Profielfoto van Sandra
Sandra Wiekens
10 april 2025
Clock 10 min

Technologie is niet weg te denken uit ons dagelijks leven: betalen doe je online en belangrijke zaken regel je via DigiD. Nu de samenleving steeds afhankelijker wordt van technologie, neemt de dreiging van cyberaanvallen toe. Daarom is betere informatiebeveiliging geen overbodige luxe en werkt Europa met onder andere de NIS 2-richtlijn aan een sterker én veiliger digitaal landschap.

Wat betekent deze richtlijn in de praktijk voor Voys en voor jouw organisatie? In dit stuk vertel ik wat NIS 2 inhoudt en hoe we de richtlijnen bij Voys implementeren, zodat ook jouw organisatie ermee aan de slag kan.

Waarom informatiebeveiliging bij Voys prioriteit is

Zonder goede informatiebeveiliging riskeer je als bedrijf niet alleen dat gevoelige data op straat komt te liggen, maar breng je ook je reputatie, je klanten én je omzet in gevaar. Daarom staan privacy en informatiebeveiliging bij Voys hoog op de agenda. We volgen de technologische ontwikkelingen op de voet en voldoen sinds 2021 aan de eisen van ISO 27001.

Verbeteringen in wet- en regelgeving rondom informatiebeveiliging, zoals de nieuwe NIS 2-richtlijn, juichen we toe. Omdat ze duidelijkheid scheppen over hoe bedrijven met data moeten omgaan en welke verantwoordelijkheden daarbij horen. Maar voldoen aan zulke wet- en regelgeving is niet altijd eenvoudig.

Hoe zit het precies met de NIS 2-wetgeving en wat is de impact ervan, vooral als je bedrijf net als Voys in meerdere Europese landen actief is?

NIS 2: een nieuwe wetgeving met grote impact

Network and Information Systems Directive 2 (afgekort: NIS 2) is een Europese wetgeving die de beveiliging van netwerk- en informatiesystemen in de Europese Unie versterkt. De wetgeving gaat in op de risico's die deze systemen bedreigen, zoals cyberbeveiligingsrisico's. Daarmee heeft NIS 2 als doel de cyberveiligheid te verbeteren en het risico op en de impact van cyberaanvallen te verkleinen.

De nieuwe richtlijn legt strengere eisen op voor bedrijven in cruciale sectoren, zoals energie, transport, gezondheidszorg en digitale infrastructuur. Organisaties die in deze sectoren actief zijn en die een essentieel of belangrijk onderdeel van de economie vormen, moeten voldoen aan NIS2. Dit gaat zowel om publieke als private bedrijven: van energieleveranciers tot grote online platforms. Als internationale communicatieprovider moet ook Voys aan de NIS 2-richtlijn voldoen.

Dat brengt extra verplichtingen voor bedrijven met zich mee: een zorg-, meld- en registratieplicht.

Zorgplicht

Organisaties moeten een risicobeoordeling uitvoeren die de beveiliging van netwerken, systemen, incidentbeheer, leveranciersrisico's, personeelsbeveiliging en dataprotectie evalueert om kwetsbaarheden en potentiële risico's te identificeren en weg te nemen of verkleinen. Zo wordt de continuïteit en de integriteit van data gewaarborgd. Bedrijven moeten hierin dus zorg dragen voor de informatiebeveiliging in de eigen organisatie.

Hoe kan zo’n risico eruitzien? Een voorbeeld: een collega opent per ongeluk een phishing-e-mail, waardoor een cyberaanvaller toegang krijgt tot het bedrijfsnetwerk en gevoelige klantdata steelt.

Meldplicht

Naast de meldplicht onder de AVG, introduceert NIS 2 een extra verplichting: incidenten moeten binnen 24 uur worden gemeld. Voor de AVG is dit 72 uur. Bij een datalek zul je dus snel moeten bepalen of dit ook binnen de NIS 2-richtlijn relevant is.

Een incident is een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van data of diensten in gevaar kan brengen.

Registratieplicht

Bedrijven moeten zich registreren in het entiteitenregister. Iemand werkzaam in de organisatie met kennis van cybersecurity of met een bestuursfunctie moet deze taak uitvoeren.

Daarnaast krijgt het bestuur van bedrijven een grotere verantwoordelijkheid. Bestuurders moeten de genomen maatregelen goedkeuren én hier toezicht op houden. Zij zijn verplicht deze rol goed te vervullen en soms is hier een verplichte opleiding voor nodig. De kans bestaat zelfs dat ze persoonlijk aansprakelijk kunnen worden gesteld bij nalatigheid.

De uitdagingen voor Voys en andere internationale bedrijven

Voor bedrijven die alleen in Nederland opereren, zijn de regels redelijk duidelijk. Maar als je in meerdere Europese landen actief bent, wordt de situatie complexer. Dat geldt ook voor Voys. We zijn naast Nederland onder andere actief in België, Duitsland, Oostenrijk en Portugal. En binnenkort voegen we Spanje en Frankrijk aan die landenlijst toe.

Het is voor ons daarom belangrijk om ons goed voor te bereiden op de nieuwe NIS2-wetgeving. In die voorbereiding zijn we een aantal uitdagingen tegengekomen.

Verschillen per land

Een belangrijk punt is dat aanbieders van openbare elektronische communicatienetwerken en -diensten de regels moeten volgen in elk land waar ze actief zijn, dus niet alleen in het land waar ze gevestigd zijn.

Dit betekent voor Voys dat we in alle eerder genoemde landen moeten voldoen aan de gestelde eisen, en daar zitten soms verschillen tussen. Een paar voorbeelden van de verschillen die we zijn tegenkomen:

  • In België is het verplicht dat bestuurders een training volgen om aan de registratieplicht te voldoen.
  • In Nederland moeten bestuurders kennis hebben van cybersecurity, maar de verplichte cursus hoeven ze niet te volgen.
  • Ook de implementatie van de wet verschilt: zo is in België registratie al verplicht, terwijl andere landen nog achterlopen.
  • De wijze waarop je je bedrijf registreert in het entiteitenregister verschilt: met een specifieke bank, door een ID-kaart of door een vorm van E-herkenning.
  • E-herkenning is een digitaal systeem waarmee bedrijven zich veilig kunnen identificeren bij overheidsdiensten voor het uitvoeren van administratieve procedures.
  • De termijn om een incident te melden lijkt te verschillen: soms is het binnen 24 uur en soms binnen 72 uur.
  • Ook is het nog niet duidelijk hoe en waar een incident in elk land moet worden gemeld: schriftelijk, telefonisch of online en bij welke autoriteiten.
  • Dit is wat we tot nu toe hebben ontdekt. Het is duidelijk is dat veel landen nog niet klaar zijn met de implementatie van de NIS 2-wetgeving en dat maakt de voorbereiding erop niet makkelijker.

Bij Voys kiezen we voor de aanpak better safe than sorry: wij proberen ons te houden aan de strengste eisen en andere specifieke eisen brengen we goed in kaart.

Gebrek aan een eenduidige nalevingsstrategie

Elk land heeft zijn eigen interpretatie en implementatie van NIS2. Dit betekent dat een standaardaanpak voor naleving niet altijd mogelijk is en dat is nogal onhandig. Bedrijven moeten daardoor per land bepalen welke maatregelen nodig zijn, wat een hoop tijd en middelen kost. Dit kan leiden tot inefficiënties en risico’s als je niet precies weet welke regels waar gelden.

Het is belangrijk om daar goed in te duiken, want de boetes die je als organisatie kunt krijgen als je niet aan de NIS 2-wet- en regelgeving voldoet, liegen er niet om:

  • Essentiële organisaties: boetes tot €10.000.000 of 2% van de wereldwijde omzet, afhankelijk van welk bedrag hoger is.​
  • Belangrijke organisaties: boetes tot €7.000.000 of 1,4% van de wereldwijde omzet, afhankelijk van welk bedrag hoger is.​

Vraag naar cybersecurity-expertise

Met de nieuwe wetgeving groeit de vraag naar professionals met expertise in informatiebeveiliging. Omdat we met Voys actief zijn in meerdere landen, moeten we per land uitzoeken wat de wetgeving precies inhoudt. Dat kost veel tijd. Zo ben ik veel tijd kwijt aan het uitzoeken waar we ons per land moeten inschrijven, bij welke entiteiten we moeten zijn en wat de verschillen per land zijn.

Daarnaast moest onze datalekprocedure op de schop, omdat de NIS 2-richtlijn een andere meldplicht stelt. Momenteel stellen we voor deze procedure een ander team op dat, mocht het nodig zijn, kan bepalen of een datalek ook gemeld moet worden voor de NIS 2-regels.

Je merkt het: er zit flink wat werk in de voorbereiding om te voldoen aan de nieuwe wet- en regelgeving. Werk dat niet zomaar iedere collega kan uitvoeren.

Positieve gevolgen van NIS 2

Hoewel de voorbereidingen om aan de richtlijn te voldoen uitdagingen met zich meebrengen, zijn er ook genoeg voordelen te noemen.

Hogere mate van continuïteit

Door je bedrijf beter te beveiligen, wordt het minder vatbaar voor cyberaanvallen. Daarvoor is het belangrijk om te kijken naar de interne organisatie, maar ook naar leveranciers waarmee je samenwerkt. De NIS 2-wetgeving dwingt organisaties om striktere controles uit te voeren op leveranciers, waardoor de keten als geheel veiliger wordt.

Daarnaast helpt de richtlijn bedrijven zich beter voor te bereiden op potentiële dreigingen. Door proactieve risicoanalyses en beveiligingsmaatregelen in te voeren, kun je als organisatie sneller reageren op incidenten en in het geval van Voys bijvoorbeeld downtime minimaliseren. Dit vermindert niet alleen de impact van cyberaanvallen, maar zorgt er ook voor dat klanten erop kunnen vertrouwen dat de dienstverlening betrouwbaar blijft.

Een verbeterde continuïteit kan bovendien leiden tot lagere kosten. Minder beveiligingsincidenten betekent minder herstelkosten, minder juridische rompslomp en minder schade aan de reputatie van je bedrijf. Zo voldoe je aan wettelijke verplichtingen en zet je een strategische stap om bedrijfsrisico's te beperken.

Meer vertrouwen van klanten

Klanten worden steeds kritischer op hoe bedrijven met hun gegevens omgaan, en dat is logisch. Want in een tijd waarin gegevens overal en altijd gedeeld kunnen worden, wil je er zeker van zijn dat je informatie veilig is. Dit geldt al helemaal voor bedrijven die diensten leveren waar vertrouwelijkheid van groot belang is, zoals bij ons het geval is in de online communicatiesector.

Voor Voys is informatiebeveiliging daarom superbelangrijk. Als aanbieder van zakelijke communicatie begrijpen we dat de bescherming van klantgegevens en -communicatie essentieel is. Het hebben van een duidelijk beveiligingsbeleid is niet alleen belangrijk voor de naleving van wetgeving, zoals NIS 2, maar het helpt ook om het vertrouwen van onze klanten te versterken. Door te laten zien dat we actief werken aan het verbeteren van onze informatiebeveiliging, stellen we bestaande klanten gerust en trekken we nieuwe klanten aan die waarde hechten aan veiligheid en privacy.

Beter inzicht in risico's

NIS 2 zorgt voor een risico-gedreven aanpak, iets wat je bijvoorbeeld ook goed ziet in de ISO 27001-certificering die Voys hanteert. Deze aanpak helpt je niet alleen om zwakke plekken in onze systemen te identificeren en aan te pakken, maar zorgt er ook voor dat je proactief handelt om risico’s op zowel technisch als fysiek vlak te beheersen. Zo kijk je naar de risico’s van vandaag, naar wat er in het verleden is gebeurd en wat zich in de toekomst zou kunnen voordoen.

Bij Voys betekent dit dat we continu risicoanalyses uitvoeren om te zorgen dat onze systemen en processen goed beschermd zijn, zowel tegen bekende dreigingen als tegen nieuwe, opkomende risico's. Daarbij houden we rekening met de veranderingen in wet- en regelgeving, zodat we altijd in lijn blijven met de laatste eisen en verwachtingen, bijvoorbeeld die van NIS 2 of de AI act. Zo voldoen we aan de vereisten voor informatiebeveiliging en waarborgen we het vertrouwen van onze klanten, met de zekerheid dat we hun data op de best mogelijke manier beschermen.

Zo bereiden wij ons voor

Zoals je hebt gelezen, zijn we druk bezig met de voorbereidingen om te voldoen aan de nieuwe NIS 2-wetgeving. En het kader van sharing is caring delen we graag een aantal tips:

  • Houd veranderingen in de wetgeving actief bij en documenteer ze.
  • Documenteer risicoanalyses en beveiligingsmaatregelen, hiervoor vind je veel voorbeeldmodellen op internet. Zo hoef je zelf het wiel niet opnieuw uit te vinden.
  • Stel duidelijke richtlijnen op voor collega’s en partners.
  • Deel informatie, zoals het ISO 27001-certificaat van je organisatie, zodat anderen ervan kunnen leren.
  • Maak duidelijke procedures over wie en waar je incidenten moet melden, met een duidelijke beschrijving van wanneer iets in welk land moet worden gemeld.
  • Stel een taskforce op die bij elk incident kijkt waar het moet worden gemeld.

Deel je ervaringen

Het is een hoop om over na te denken, maar onthoud: het is allemaal voor een goed doel. Door te voldoen aan NIS 2 met een risico-gedreven mindset, zorg je er niet alleen voor dat je voldoet aan de huidige wet- en regelgeving, maar ben je ook voorbereid op toekomstige uitdagingen.

Je beschermt de gegevens van je klanten en versterkt hun vertrouwen in de diensten van jouw bedrijf. Het lijkt (en is) soms complex maar het resultaat is een veilige en betrouwbare basis waar je met zekerheid op kunt voortbouwen: en dat is uiteindelijk wat telt.

Ben jij al bezig met de NIS 2-richtlijn? Hoe ga jij om met de uitdagingen rondom registratie, risicoanalyse en meldplicht? We horen graag je ervaringen en tips!

Ben je juist benieuwd naar de manier waarop wij ons voorbereiden? Neem gerust contact op via security@voys.nl.

Meer verhalen lezen?

In de afgelopen jaren hebben we veel geschreven over ondernemen, zelfsturend werken, de handigste tools en nog veel meer. Dus leef je uit!

Ga naar het blogoverzicht
Informatie delen met collega’s: 5 tips voor ijzersterke interne communicatie

Van 21 juni 2024

Informatie delen met collega’s: 5 tips voor ijzersterke interne communicatie

Lees verder Arrow right
Strategisch samenwerken als impactorganisatie: zo pak je dat aan

Van 29 mei 2024

Strategisch samenwerken als impactorganisatie: zo pak je dat aan

Lees verder Arrow right