NIS2: alles wat je moet weten over de cybersecuritywet en software-inkoop
NIS2 is de grootste Europese cybersecuritywet in jaren. Voor organisaties in kritieke sectoren verandert er veel, ook op het gebied van software-inkoop en leveranciersbeheer. Dit is alles wat je moet weten.
- 15 januari 2025
- 5 min
- NIS2 – Cyberbeveiligingsrichtlijn
De NIS2-richtlijn is de grootste Europese cybersecuritywet in jaren. Ze is breed van scope, streng van handhaving en direct relevant voor iedereen die verantwoordelijk is voor software-inkoop in een organisatie. Dit is wat je moet weten.
Wat is NIS2?
NIS2 staat voor Network and Information Security Directive 2, de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. De richtlijn verplicht organisaties in kritieke sectoren hun digitale weerbaarheid structureel te versterken. NIS2 is Europees van kracht per 17 oktober 2024. De Nederlandse implementatie via de Cyberbeveiligingswet wordt verwacht in Q2 2026.
Voor wie geldt NIS2?
NIS2 geldt voor organisaties in 18 kritieke sectoren, onderverdeeld in essentiële en belangrijke entiteiten. Denk aan: energie, transport, gezondheidszorg, water, digitale infrastructuur, financiële dienstverlening, overheid en meer. Maar ook leveranciers van organisaties in deze sectoren kunnen indirect onder de wet vallen via de ketenzorgplicht.
Wat verandert er ten opzichte van NIS1?
De belangrijkste veranderingen:
Breder bereik: Veel meer sectoren en organisaties vallen nu onder de richtlijn
Persoonlijke aansprakelijkheid: Bestuurders zijn verantwoordelijk voor naleving en kunnen persoonlijk aansprakelijk worden gesteld
Hogere boetes: Tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten
Ketenzorgplicht: Organisaties moeten ook de beveiliging van hun leveranciers controleren
Meldplicht: Incidenten moeten binnen 24 uur worden gemeld bij het CSIRT
Wat betekent NIS2 voor software-inkoop?
De ketenzorgplicht is de meest directe impact op software-inkoop. Organisaties zijn verplicht om:
Een actueel overzicht bij te houden van alle ICT-leveranciers en software
Contractuele beveiligingsafspraken te maken met alle relevante leveranciers
De beveiliging van leveranciers periodiek te beoordelen
Incident-escalatieprocedures af te spreken met kritieke software-leveranciers
Zonder gestructureerd software-overzicht is NIS2-compliance niet haalbaar. SoftVaro helpt organisaties dit overzicht te creëren als startpunt voor compliance.
Veelgestelde vragen
De meest gestelde vragen over dit onderwerp.
Wat heeft NIS2 te maken met software-inkoop?
NIS2 verplicht organisaties een actueel overzicht bij te houden van alle software en ICT-leveranciers, inclusief contractuele beveiligingsafspraken. Zonder dit overzicht ben je niet compliant.
Wanneer gaat NIS2 in Nederland in?
De Cyberbeveiligingswet (Nederlandse implementatie van NIS2) wordt verwacht in Q2 2026. Organisaties moeten direct compliant zijn zodra de wet in werking treedt.
Wat zijn de boetes bij niet-naleving van NIS2?
Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet. Belangrijke entiteiten tot €7 miljoen of 1,4% van de jaaromzet. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld.
Klaar om te besparen op software?
SoftVaro onderhandelt namens jou de scherpste deal bij 4.000+ leveranciers. Onafhankelijk, transparant, binnen 24 uur.