NIS2 compliance advocaat | Yspeert advocaten
Contact
Responsible AI
keyboard_arrow_left Terug home navigate_next Expertise navigate_next Rechtsgebieden navigate_next Cybersecurity navigate_next NIS2-richtlijn

NIS2 compliance advocaat

De NIS2-richtlijn introduceert aangescherpte cybersecurityverplichtingen voor bedrijven, overheden, zorginstellingen en ICT-leveranciers in de Europese Unie. Door de toename van cyberdreigingen, zoals ransomware-aanvallen, digitale spionage en het uitvallen van essentiële systemen, is de noodzaak voor strengere regelgeving duidelijk geworden. De richtlijn beoogt het algemene niveau van cyberbeveiliging binnen Europa te verhogen en vervangt de eerdere NIS-richtlijn. In Nederland wordt NIS2 omgezet in de nieuwe Cyberbeveiligingswet. Onze gespecialiseerde NIS2 compliance advocaat helpt uw organisatie om tijdig, gestructureerd en juridisch correct aan deze verplichtingen te voldoen. Met een ervaren NIS2 compliance advocaat voorkomt u boetes, incidenten, reputatieschade én operationele verstoringen door inadequate naleving.

Wanneer moet uw organisatie voldoen aan de NIS2-richtlijn?

De NIS2-richtlijn is van toepassing op organisaties in sectoren als: gezondheidszorg, overheidsdiensten, digitale infrastructuur, energie- en drinkwatervoorziening, ICT-beheerders & transport, post- en afvalverwerking

Indien een organisatie behoort tot één van de in de richtlijn genoemde sectoren, moet vervolgens worden gekeken of deze organisatie een zogenoemde ‘essentiële’ of ‘belangrijke’ entiteit is. Valt een organisatie daar niet onder, dan is de richtlijn in beginsel niet van toepassing.

  • Essentiële entiteiten zijn doorgaans grote organisaties met ≥250 medewerkers of ≥€50 miljoen omzet én ≥€43 miljoen balanstotaal.
  • Belangrijke entiteiten zijn middelgrote organisaties met ≥50 medewerkers of ≥€10 miljoen omzet en balanstotaal.

Essentiële entiteiten vallen onder actief toezicht; bij belangrijke entiteiten gebeurt toezicht vooral na incidenten. Daarnaast vallen sommige organisaties altijd onder de NIS2, ongeacht hun omvang, zoals overheidsinstanties, telecomaanbieders, DNS-diensten en topleveldomeinregisters.

Onze NIS2 compliance advocaat helpt u te bepalen of uw organisatie onder deze definities valt en welke verplichtingen daaruit voortvloeien. Een gespecialiseerde NIS2 compliance advocaat kan bovendien vroegtijdig de juridische risico’s en verplichtingen in kaart brengen, zodat uw organisatie geen onnodige boetes of reputatieschade riskeert.

Registratieplicht als NIS2-entiteit

Organisaties die onder de NIS2 vallen, moeten zich registreren bij het Nationaal Cyber Security Centrum (NCSC). Onze NIS2 compliance advocaat begeleidt u bij het bepalen of u registratieplichtig bent en zorgt dat dit correct gebeurt.

Zorgplicht

Organisaties onder de NIS2 zijn verplicht om passende en evenredige maatregelen te nemen om cyberrisico’s te beheersen. Deze zorgplicht omvat zowel technische, operationele als organisatorische maatregelen, waaronder:

  • Beleid en risicobeheer: informatiebeveiligingsbeleid, uitvoeren van risicoanalyses en het beheersen van kwetsbaarheden.
  • Continuïteit en incidentrespons: inrichting van een incident response plan, back-upbeheer, noodplannen en crisiscommunicatie.
  • Technische beveiliging en systeemontwikkeling: toepassing van security by design/default, versleuteling van gegevens (in rust en transit) en beheer van toegangsrechten.
  • Leveranciersbeheer en ketenverantwoordelijkheid: contractuele beveiligingseisen, risicoanalyses bij leveranciers en periodieke audits of pentests.
  • Bewustwording en toetsing: training van personeel, opleidingen voor bestuurders en regelmatige evaluatie van beveiligingsmaatregelen.

Onze NIS2 compliance advocaat helpt u bij het opstellen, toetsen en implementeren van deze maatregelen, afgestemd op uw sector en risico’s.

Meldplicht

De NIS2-richtlijn kent een gefaseerde meldplicht voor significante incidenten die aanzienlijke gevolgen (kunnen) hebben voor de continuïteit van de dienstverlening. Het meldproces bestaat uit meerdere stappen:

  1. Binnen 24 uur: vroegtijdige waarschuwing aan CSIRT en toezichthouder
  2. Binnen 72 uur: inhoudelijke melding met details over het incident, de vermoedelijke oorzaak (IoC’s), genomen maatregelen en impact.
  3. Op verzoek: tussentijds statusverslag
  4. Binnen 1 maand: Eindrapport of – indien het incident nog niet is afgehandeld – een voorgangsverslag.

Onze NIS2 compliance advocaten beoordelen voor u of een incident meldplichtig is en begeleiden u bij het gehele meldproces. Een NIS2 compliance advocaat zorgt er bovendien voor dat de communicatie richting toezichthouders juridisch sluitend is en helpt bij het opstellen van impactanalyses.

Bestuurdersaansprakelijkheid

Nieuw onder de NIS2 is dat bestuurders zélf verantwoordelijk zijn voor naleving van de richtlijn. Zij moeten het beleid rond cyberbeveiligingsmaatregelen goedkeuren, toezicht houden op de uitvoering ervan en kunnen bij ernstige nalatigheid persoonlijk aansprakelijk worden gesteld. Daarnaast zijn zij verplicht een opleiding over cybersecurity te volgen, zodat zij de impact van cyberrisico’s op de organisatie goed kunnen inschatten. Onze NIS2 compliance advocaat biedt juridische begeleiding en boardroomtrainingen om bestuurders hierbij te ondersteunen.

Wat kan een NIS2 compliance advocaat voor u doen? 

Onze NIS2-specialisten ondersteunen bedrijven, zorginstellingen, overheden en ICT-leveranciers met onder meer:

  • Het uitvoeren van een NIS2 compliance scan
  • Begeleiding bij de registratieplicht
  • Opstellen en toetsen van beleid en procedures
  • Inrichten van incident response plannen
  • Begeleiding bij het melden van incidenten aan toezichthouders en CSIRT
  • Trainingen voor medewerkers en bestuurders
  • Contractuele borging van cybersecurity in toeleveringsrelaties
  • Ondersteuning bij toezicht of handhaving

Zoekt u een NIS2 compliance advocaat of heeft u vragen over de gevolgen van de richtlijn voor uw organisatie? Neem dan contact op met onze specialisten:  Hillie Lunter of Tom Klatter.

Delen
Uw eerste aanspreekpunt:
Aanspreekpunt Hillie Lunter
Meer over

Hillie Lunter is specialist in cybersecurity en privacyrecht, met ruime ervaring in het afhandelen van datalekken bij overheidsorganisaties en bedrijven. Als lid van het cyber response team van Yspeert advocaten integreert zij juridische expertise met snelle, strategische interventie. Haar achtergrond als curator en haar Grotius-opleiding in ondernemingsrecht versterken haar inzicht in bestuurlijke en organisatorische risico’s. Hillie staat bekend om haar doortastende aanpak en heldere communicatie in crisissituaties.

Team NIS2-richtlijn: Team cybersecurity:

Blogs, bibliotheek en publicaties

Onmiddellijke voorzieningen van de ondernemingskamer in de enquêteprocedure
Onmiddellijke voorzieningen van de ondernemingskamer in de enquêteprocedure
Kor van Dijk
Geschreven door:
Kor van Dijk ,
Wanneer is sprake van een evenwichtige toedeling van functies aan locaties (ETFAL)
Wanneer is sprake van een evenwichtige toedeling van functies aan locaties (ETFAL)
Frouke Minkema
Geschreven door:
Frouke Minkema ,
Toestemming van de VvE voor verbouwing in privé gedeelten
Toestemming van de VvE voor verbouwing in privé gedeelten
Martijn van der Veen
Geschreven door:
Martijn van der Veen ,
Meer blogs

Neem contact op

Klik hier voor het privacybeleid van Yspeert advocaten n.v.