Wat is NIS2 en hoe verschilt het van de AVG?
De NIS2-richtlijn (Netwerk- en Informatiebeveiliging) is de opvolger van de oorspronkelijke NIS1-richtlijn. Waar de AVG zich richt op de bescherming van persoonsgegevens, is NIS2 breder: de richtlijn heeft als doel om de cyberbeveiliging van netwerken en IT-systemen te verbeteren, ongeacht of er persoonsgegevens in het spel zijn.
Beide regelgevingen vereisen passende technische en organisatorische beveiligingsmaatregelen, maar met verschillende doelstellingen:
- AVG: beschermt persoonsgegevens
- NIS2: beschermt netwerken, IT-infrastructuur en bedrijfscontinuïteit
Waarom AVG en NIS2-inspanningen combineren?
Omdat veel van de vereiste maatregelen overlappen (denk aan back-ups, toegangsbeheer, risicomanagement, incidentafhandeling), is het logisch om AVG- en NIS2-compliance te combineren in één strategie. Dat bespaart tijd, voorkomt dubbel werk en geeft je één duidelijk overzicht van de beveiligingsstatus van je organisatie.
Is NIS2 van toepassing op mijn MKB?
Dat hangt af van je bedrijfsomvang en de sector waarin je actief bent.
Je valt automatisch onder NIS2 als je:
- een middelgroot of groot bedrijf bent (≥ 50 medewerkers of ≥ €10 miljoen jaarlijkse omzet of balanstotaal),
- en actief bent in een kritieke sector zoals vermeld in bijlage I of II van de NIS2-richtlijn, zoals:
- Gezondheidszorg
- Financiën
- Transport
- Energie
- Digitale diensten (bijv. hosting, cloud, e-mailproviders)
Je kunt ook onder NIS2 vallen als je:
- een klein bedrijf bent (minder dan 50 werknemers en < €10 miljoen omzet), maar:
- essentiële diensten levert, zoals vertrouwensdiensten, telecommunicatie of domeinnaamregistratie
- of nationaal wordt aangemerkt als kritisch voor de publieke infrastructuur
NIS2 raakt je ook via de toeleveringsketen
Zelfs als jouw bedrijf niet rechtstreeks onder NIS2 valt, zul je de impact waarschijnlijk toch indirect voelen.
Waarom? Omdat organisaties die wél onder NIS2 vallen verplicht zijn om risico’s in de toeleveringsketen te beoordelen en te beheersen. Dat betekent dat zij strengere beveiligingseisen gaan stellen aan hun leveranciers.
In de praktijk kan dit betekenen:
- strengere cybersecurity-clausules in contracten,
- verplichte beveiligingsaudits,
- of de noodzaak om aan te tonen dat jouw organisatie aan minimale beveiligingseisen voldoet.
Als je niet aan deze eisen voldoet, kun je klanten of contractkansen mislopen.
Bereid je voor op de nieuwe Nederlandse Cybersecuritywet
De NIS2-richtlijn moet worden omgezet naar nationale wetgeving. In Nederland gebeurt dat in de vorm van een nieuwe Cybersecuritywet, die naar verwachting in Q3 2025 van kracht wordt. Tot die tijd blijft de huidige Wbni (NIS1) van toepassing.
Dat betekent: nu is het moment om in actie te komen. Door je op tijd voor te bereiden voorkom je verstoringen en blijf je de wettelijke verplichtingen voor.
Conclusie: NIS2 is óók relevant voor het mkb
Zelfs als jouw organisatie niet direct onder NIS2 valt, zul je de impact ervan voelen via klanten, partners en sectorspecifieke vereisten. Door nu te investeren in een gecombineerde AVG- en NIS2-compliancestrategie, vermijd je niet alleen risico’s je positioneert jezelf ook als een betrouwbare en veilige partner binnen de keten.
📍 RealCob helpt je om zowel AVG- als NIS2-verplichtingen te beheren in één gebruiksvriendelijk platform zonder juridische kennis.