Gesprek plannen

Verder dan checklists: Wat je echt moet weten over NIS2 en GDPR in 2025

Datum

3 augustus 2025

Auteur

door

Delen

Naarmate het jaar 2025 vordert, worden bedrijven die actief zijn in de Europese Unie geconfronteerd met meer dan alleen nalevingstermijnen; ze moeten een fundamentele verschuiving doormaken in de manier waarop cyberbeveiliging en gegevensbescherming worden geregeld. Twee belangrijke raamwerken leiden deze evolutie: 

  • NIS2-richtlijn: De lat voor cyberbeveiligingsgereedheid hoger leggen in een groot aantal sectoren. 
  • GDPR: Nog steeds de gouden standaard voor de bescherming van persoonsgegevens, maar wordt nu herzien met het oog op vereenvoudiging; vooral voor KMO’s. 

Samen geven ze één ding aan: compliance is niet optioneel en operationele veerkracht is niet langer een nice-to-have, het is essentieel. 

NIS2-richtlijn: Een nieuwe basis voor cyberbeveiliging in Europa 

De bijgewerkte Netwerk- en Informatiebeveiligingsrichtlijn (NIS2), die sinds 18 oktober 2024 van kracht is, breidt zijn voorganger uit 2016 uit met strengere, duidelijkere en bredere verplichtingen voor organisaties in zowel essentiële als belangrijke sectoren. 

Voor wie is dit van belang? 

NIS2 is nu, onder andere, van toepassing op middelgrote en grote organisaties in: 

  • Energie, water en transport 
  • Digitale infrastructuur en openbaar bestuur 
  • Gezondheidszorg en farmaceutische productie 
  • Post, koeriersdiensten en voedselbevoorrading 
  • Productie van medische apparatuur, chemicaliën en halfgeleiders 

Duizenden organisaties in de EU vallen nu onder het toepassingsgebied; velen voor de eerste keer. 

Belangrijkste wijzigingen onder NIS2 

  • Uitgebreide reikwijdte: Richt zich op zowel essentiële als belangrijke entiteiten in kritieke sectoren. Omvat extra sectoren in vergelijking met de NIS1-richtlijn. 
  • Verantwoordelijkheid van de directie: Het topmanagement is direct verantwoordelijk; niet-naleving kan leiden tot persoonlijke aansprakelijkheid. 
  • Streng incident melden: Stel de autoriteiten binnen 24 uur op de hoogte van een groot incident; lever binnen 72 uur een volledig rapport af. 
  • Beveiliging van de toeleveringsketen: Organisaties moeten risico’s van derden beoordelen en beheren en cyberbeveiliging tot een contractuele prioriteit maken. Dit betekent in feite dat veel organisaties indirect onder de NIS2-verordening zullen vallen. 
  • Ernstige gevolgen: Boetes tot €10 miljoen of 2% van de wereldwijde omzet voor essentiële entiteiten. 

Implementatiestatus 

Hoewel de EU-deadline voor nationale goedkeuring 17 oktober 2024 was, is de vooruitgang ongelijk: België, Italië, Litouwen en Kroatië lopen voor, terwijl Frankrijk, Spanje en Portugal achterlopen, wat ertoe heeft geleid dat de Europese Commissie juridische stappen heeft ondernomen tegen 23 lidstaten. 

Hieronder vind je een kort overzicht van enkele EU-landen.  Als je meer gedetailleerde informatie wilt, kun je meer informatie vinden op de website van ESCO. 

ISO 27001 en CyFun: praktische hulpmiddelen voor NIS2-implementatie 

Met de uitgebreide reikwijdte van NIS2 en de stijgende verwachtingen voor volwassenheid op het gebied van cyberbeveiliging, wenden veel organisaties zich tot internationaal erkende raamwerken zoals ISO 27001 en het CyFun-raamwerk om consistente, controleerbare beveiligingspraktijken te implementeren. 

Waarom ISO 27001? 

ISO 27001 is een wereldwijd erkende norm voor beheersystemen voor informatiebeveiliging (ISMS) en biedt een op risico’s gebaseerde, gestructureerde aanpak voor de bescherming van gegevens en systemen. Het is met name effectief voor: 

  • Aantonen dat wordt voldaan aan de NIS2-verplichtingen, met name op het gebied van risicobeheer, reactie op incidenten en controles van de toeleveringsketen. 
  • Vertrouwen opbouwen bij klanten, regelgevers en partners door certificering door derden. 
  • Herhaalbare processen creëren voor het identificeren, beoordelen en beperken van risico’s voor informatiebeveiliging. 

De belangrijkste controles uit Bijlage A van ISO 27001 zijn direct gekoppeld aan de vereisten van NIS2, zoals toegangscontrole, fysieke beveiliging, relaties met leveranciers en incidentbeheer. 

Wat is CyFun? 

CyFun (Cyber Fundamentals) is een nationaal implementatieraamwerk dat in België wordt gebruikt en dat wereldwijde normen – NIST CSF, ISO 27001/2, CIS Controls en IEC 62443 – combineert in een praktische, sectorneutrale aanpak. CyFun helpt organisaties: 

  • Beoordeel hun maturiteit aan de hand van een duidelijke basislijn met vijf implementatieniveaus. 
  • Prioriteit geven aan acties op basis van hun operationele omgeving en kritieke afhankelijkheden. 
  • Cyberbeveiliging integreren in bredere bestuurs-, risico- en nalevingssystemen. 

CyFun is vooral gunstig voor organisaties die behoefte hebben aan flexibiliteit en schaalbaarheid bij hun implementatie-inspanningen, en het wordt door de Belgische NIS2-omzettingswet erkend als een geldige compliance-route. 

GDPR in 2025: Vereenvoudigen, niet verzachten 

De General Data Protection Regulation (GDPR), die in 2018 werd geïntroduceerd, heeft een nieuwe vorm gegeven aan de manier waarop bedrijven omgaan met persoonlijke gegevens. Maar in de loop der tijd hebben veel organisaties, vooral MKB-bedrijven, geworsteld met de complexiteit en administratieve lasten. 

Wat verandert er? 

De Europese Commissie stelt nu manieren voor om de wrijving met de GDPR te verminderen zonder de bescherming te verzwakken. Belangrijkste prioriteiten: 

  • Eenvoudigere naleving voor kleine en middelgrote ondernemingen (kmo’s) 
  • Vereenvoudigde documentatie en auditprocessen 
  • Meer op maat gesneden begeleiding van nationale autoriteiten 
  • Vereisten aangepast aan de grootte van het bedrijf en de gevoeligheid van de gegevens  

Deze hervormingen zijn bedoeld om GDPR operationeel realistischer te maken, met name voor bedrijven die zich snel ontwikkelen en over beperkte middelen beschikken. 

Belangrijkste trends op het gebied van cyberbeveiliging en gegevensbescherming 2025 

Terwijl organisaties zich aanpassen aan veranderende kaders zoals NIS2 en GDPR, moeten ze ook de bredere krachten erkennen die digitale beveiliging vormgeven. Van AI-gestuurde bedreigingen tot de operationele realiteit van privacywetgeving: deze vijf trends bepalen de cyberbeveiliging en gegevensbescherming in 2025.

  • AI in cyberbeveiliging 

Kunstmatige intelligentie transformeert zowel offensieve als defensieve strategieën in cyberbeveiliging. Aanvallers maken gebruik van AI om overtuigendere phishingaanvallen te lanceren, deepfakes te genereren en malware in te zetten die zich in realtime aanpast. In reactie hierop wenden verdedigers zich tot AI om incidentdetectie te automatiseren en de reactie op bedreigingen te verbeteren. 

Volgens recent CISO-onderzoek meldden bijna negen van de tien (86%) bedrijfsleiders met verantwoordelijkheden op het gebied van cyberbeveiliging dat ze de afgelopen 12 maanden minstens één AI-gerelateerd incident hebben meegemaakt.

  • Ransomware en toeleveringsketen 

Ransomware-aanvallen worden steeds agressiever, waarbij gegevensdiefstal vaak wordt gecombineerd met versleuteling om de druk op slachtoffers te maximaliseren. Tegelijkertijd richten aanvallers zich steeds vaker op externe leveranciers, waardoor de beveiliging van de toeleveringsketen een topprioriteit wordt. 

Uit een wereldwijd onderzoek bleek dat 59 procent van de bedrijven in 14 landen het afgelopen jaar ten minste één ransomware-incident heeft meegemaakt.

  • Zero Trust Beveiliging 

Het traditionele model van het vertrouwen van gebruikers en apparaten binnen een beveiligde perimeter is niet langer levensvatbaar. Organisaties gebruiken Zero Trust-raamwerken die continue verificatie afdwingen, netwerken segmenteren en gebruikersprivileges minimaliseren.

  • Kwantumrisico 

Hoewel het nog jaren duurt voordat kwantumcomputers de huidige encryptie kunnen kraken, is het risico dat ze vormen reëel. Organisaties beginnen post-kwantum cryptografie te evalueren om gevoelige gegevens te beschermen tegen toekomstige ontcijferingspogingen.

  • Privacyregels 

GDPR blijft een hoeksteen van gegevensbescherming in de EU, maar wereldwijd komen er aanvullende regels en hervormingen om compliance voor kleinere bedrijven te vereenvoudigen. Dit groeiende juridische landschap daagt organisaties uit om wendbaar te blijven in hun compliance-inspanningen. 

Regels omzetten in resultaten: Hoe Dadir organisaties helpt voorop te blijven lopen 

Bij Dadir geloven we dat compliance je bedrijf moet versterken, niet vertragen. Daarom richten we ons op het praktisch, bruikbaar en op maat maken van regelgevingskaders zoals NIS2 en GDPR. 

Ons multidisciplinaire team heeft diepgaande expertise in: 

  • Procesontwerp en voortdurende verbetering 

We luisteren, passen ons aan en bouwen systemen die zinvol zijn; voor jouw team, jouw sector en jouw doelen. 

Onze diensten omvatten: 

  • Risico-en gereedheidsbeoordelingen op basis van sectorspecifieke NIS2- & GDPR-behoeften 
  • Executive briefings en verantwoordingsworkshops voor leiderschapsteams 
  • Veiligheidsbeoordelingen van de toeleveringsketen en contractuele afstemming met derden 
  • End-to-end cyberbeveiligingsprogrammaontwerp: beleid, rapportage en respons 
  • In-house training en bewustwordingsprogramma’s die beklijven 

NIS2 vs. GDPR: Een snapshot naast elkaar voor 2025 

Inzicht in de verschillen en overlappingen tussen NIS2 en GDPR is essentieel voor het afstemmen van je compliance-strategie. Hoewel beide raamwerken tot doel hebben het digitale vertrouwen en de digitale veiligheid te versterken, verschillen hun toepassingsgebied, handhavingsmechanismen en uitvoerende verantwoordelijkheden op belangrijke punten. 

Vooruitgaan: Voorbereiden, niet reageren 

De convergentie van NIS2 en GDPR in 2025 gaat niet alleen over naleving van de wet – het is een wake-up call voor organisaties om digitaal vertrouwen, veerkracht en verantwoordelijkheid in hun DNA te verankeren. 

Als je niet zeker weet waar je moet beginnen of als je een hands-on partner nodig hebt die zowel zakelijk als regulerend spreekt, dan is Dadir er om je te helpen. 

Conclusie: Een nieuw tijdperk van strategische compliance 

2025 is meer dan een mijlpaal in de regelgeving; het is een keerpunt in de manier waarop organisaties cyberbeveiliging en gegevensbescherming benaderen. NIS2 en de GDPR zijn niet slechts hokjes voor naleving; ze vertegenwoordigen een bredere verschuiving naar proactieve, verantwoordelijke en veerkrachtige digitale activiteiten.  

Bij Dadir helpen we bij het vertalen van regelgeving naar de praktijk. 

 

WIE IS HET DADIR TEAM?

Lees ook onze andere blogs

Bekijk alle blogs