Dit gaat NIS2 jouw bedrijf aan tijd en geld kosten

In dit artikel:

De implementatie van de NIS2-beveiligingsrichtlijn via de Nederlandse Cyberbeveiligingswet (Cbw) en het Cyberbeveiligingsbesluit (Cbb) brengt voor bedrijven aanzienlijke tijd- en kosteninvesteringen met zich mee. Middelgrote ondernemingen verwachten jaarlijks gemiddeld 1.246 uur te besteden aan naleving van de zorgplicht, terwijl grote bedrijven dit op ongeveer 3.465 uur per jaar inschatten. De totale tijdsinvestering voor grote ondernemingen kan oplopen tot gemiddeld 6.708 uur. Ook de financiële uitgaven zijn fors: grote bedrijven rekenen op circa 44.400 euro aan implementatiekosten, middelgrote bedrijven ongeveer 25.000 euro. Daarnaast zijn er structurele kosten, zoals trainingen, die gemiddeld rond de 30.000 euro liggen.

De wet, die aanvankelijk in oktober 2023 in werking had moeten treden, wordt uitgesteld tot uiterlijk het tweede kwartaal van 2026 vanwege de complexiteit van de regelgeving. Dit leidt ook bij het ministerie van Justitie tot uitdagingen. Ondernemersorganisaties uitten tijdens consultaties kritiek op de administratieve lastendruk, vooral veroorzaakt door zorgplicht, governance en registratieverplichtingen. Een belangrijk aandachtspunt in de wet zijn de strengere eisen rondom de beveiliging van toeleveringsketens en incidentenbehandeling, wat met name projectgerichte bedrijven extra tijd kost.

De consultaties hebben geleid tot aanpassingen in het wetsvoorstel en de bijbehorende uitwerking van maatregelen. Zo is benadrukt dat het gaat om een risicogebaseerde aanpak waarbij bedrijven zelf bepalen hoe zij hun beleidsstukken en maatregelen vormgeven, afgestemd op hun specifieke risicoanalyse. Daarnaast is artikel 9 van het Cbb aangepast met betrekking tot bedrijfscontinuïteitsplannen, waarin noodvoorzieningen en backupbeheer expliciet aan bod komen. Diverse partijen gaven aan dat niet elk incident een apart plan vereist en dat bestaande plannen vaak volstaan, mits goed afgestemd.

Verder is de eis geschrapt dat cybersecuritytrainingen door een externe, onafhankelijke partij moeten worden gegeven, een maatregel die vooral voor het mkb onnodige kosten zou veroorzaken. Ook de minimale duur van trainingen is komen te vervallen, omdat de kwaliteit en relevantie van de training belangrijker worden geacht dan het aantal uren. De trainingen zijn bedoeld om bestuurders strategisch inzicht te geven, zodat zij weloverwogen beslissingen over cyberveiligheid kunnen nemen zonder diepgaande technische kennis te vereisen.

Het concept van de algemene maatregelen van bestuur (amvb) is op 30 juni aan de Tweede Kamer gestuurd. De Rijksoverheid raadt organisaties aan niet te wachten op de definitieve inwerkingtreding van de wet, maar alvast voorbereidingen te treffen om aan de zorgplicht te voldoen. De nieuwe regelgeving vergt dus aanzienlijke inspanningen om de digitale veiligheid binnen Nederlandse bedrijven op een hoger niveau te brengen, met name gericht op risicobeheersing en ketenbeveiliging.