Waarom de Britse NIS-update mogelijk extra werk betekent voor organisaties die onder de regeling vallen

Waarom de Britse NIS-update mogelijk extra werk betekent voor organisaties die onder de regeling vallen.

By Phil Muncaster • 12 mei 2026 • Leestijd: 6 minuten

Het wetsvoorstel inzake cyberbeveiliging en veerkracht (Cyber Security and Resilience Bill, CSRB) doorloopt nog steeds het parlementaire proces. Het einde van dit langdurige wetgevingsproces komt echter langzaam in zicht. Wanneer het wetsvoorstel uiteindelijk wet wordt, zal het een broodnodige herziening van de NIS-regelgeving van 2018 opleveren. Maar hoe zit het met Britse organisaties die al voldoen aan de herziening van dezelfde regels door de EU, bekend als NIS2?

Hoewel er pogingen worden gedaan om de twee op elkaar af te stemmen, zijn er ook tal van punten waarop ze uiteenlopen. Van het aantal sectoren dat onder de reikwijdte valt tot de hoogte van de potentiële boetes: compliance-teams moeten nu al de impact van deze veranderingen begrijpen. En rekening houden met mogelijk een aanzienlijke hoeveelheid extra werk.

Hoe de CSRB verschilt van NIS2

Om te begrijpen in hoeverre de CSRB afwijkt van NIS2, kunt u het volgende bekijken: samenvatting van de rekening Op de overheidswebsite wordt de Europese tegenhanger helemaal niet genoemd. Ook het woord 'afstemming' komt niet voor. In de praktijk zijn er verschillende aandachtspunten voor compliance-teams:

Gereguleerde entiteiten: reikwijdte

Het Verenigd Koninkrijk richt zich op exploitanten van essentiële diensten (OES), relevante digitale dienstverleners (RDSP's) – dit zijn aanbieders van cloud-, zoek- en marktplaatsdiensten – en een nieuwe categorie relevante beheerde dienstverleners (RMSP's). De Britse aanpak is om specifieke OES'en aan te wijzen, terwijl NIS2 automatisch alle middelgrote en grote entiteiten in 18 sectoren omvat. Het gevolg hiervan is dat sommige organisaties die onder de CSRB vallen, niet onder de NIS2-regelgeving vallen en vice versa.

Gereguleerde entiteiten: nieuwe categorieën

De CSRB introduceert slechts één nieuwe OES-categorie, namelijk "datacenterdiensten", terwijl NIS2 er meerdere omvat: openbaar bestuur, ruimtevaart, afvalwater, voedsel, productie, postdiensten, afvalbeheer en digitale dienstverleners. Daardoor is de kans groter dat Britse organisaties die niet onder de regelgeving van de CSRB vallen, onder NIS2 vallen.

MSP's:

RMSP's worden in CSRB als een nieuwe categorie geïntroduceerd en worden door NIS2 beschouwd als essentiële entiteiten of belangrijke entiteiten. Er kunnen echter verschillende nalevingsvereisten gelden voor elk regime.

Toezicht op de toeleveringsketen:

In het Verenigd Koninkrijk kunnen "kritieke leveranciers" van OES'en, RDSP's en RMSP's worden aangewezen door bevoegde autoriteiten en het Information Commissioner's Office (ICO) en vallen ze onder direct toezicht. In NIS2 is er geen direct toezicht door de regelgevende instanties, maar alle entiteiten die onder de regeling vallen, moeten de risico's in de toeleveringsketen beoordelen.

Definities en rapportage van incidenten:

De definitie van een gereguleerd incident door de CSRB is uitgebreid en omvat nu ook gebeurtenissen die "een aanzienlijke impact kunnen hebben op de levering van een essentiële of digitale dienst", evenals "incidenten die de vertrouwelijkheid, beschikbaarheid en integriteit van een systeem aanzienlijk beïnvloeden". De significantie wordt per sector beoordeeld. In NIS2 zijn incidenten die welke operationele verstoring, financieel verlies of materiële/immateriële schade aan anderen veroorzaken. Dit betekent dat de meldingsdrempel in het VK/EU kan verschillen.

De meldingstermijnen – een eerste melding binnen 24 uur nadat men van een incident op de hoogte is geraakt, gevolgd door een volledige melding binnen 72 uur – zijn echter in het VK en de EU grotendeels hetzelfde.

Klantenmelding:

Dit is vereist voor aanbieders van datacenterdiensten, RDSP's en RMSP's in het Verenigd Koninkrijk. Er kunnen echter aanvullende vereisten gelden onder NIS2, afhankelijk van de interpretatie van de richtlijn door de betreffende lidstaat.

Persoonlijke aansprakelijkheid:

Dit wordt niet behandeld in de CSRB, maar NIS2 introduceert aanzienlijke persoonlijke verantwoordelijkheid voor het senior management. Dit omvat verplichte training voor managers en persoonlijke aansprakelijkheid bij niet-naleving. Britse organisaties die aan NIS2 voldoen, moeten de meer gedetailleerde governance-vereisten in het EU-regime begrijpen.

sancties:

In het CSRB-verdrag zijn de standaardboetes het hoogste bedrag van £10 miljoen of 2% van de wereldwijde jaaromzet, maar de maximale boetes kunnen oplopen tot £17 miljoen/4%. NIS2 geeft lidstaten de ruimte om hierover te beslissen, zolang de boetes maar "effectief, proportioneel en afschrikkend" zijn.

registratie:

Volgens de CSRB moeten RMSP's en datacentrumaanbieders die als OES zijn aangewezen, zich registreren. In NIS2 moeten essentiële en belangrijke entiteiten zich registreren bij de bevoegde autoriteiten, maar de lidstaten bepalen zelf hoe dit in zijn werk gaat. Kortom, Britse organisaties zullen hun verplichtingen voor beide afzonderlijk moeten beoordelen.

Algemene aanpak:

De CSRB introduceert aanzienlijk nieuwe bevoegdheden voor het verzamelen van informatie voor bevoegde autoriteiten en de ICO, ongeacht het type gereguleerde organisatie. NIS2 maakt het voor belangrijke entiteiten mogelijk om te profiteren van een minder strenge aanpak.

Over het algemeen is de CSRB echter ontworpen om flexibeler te zijn dan zijn Europese tegenhanger, aldus James Wong, senior associate in het Tech & Digital-team van het internationale advocatenkantoor Clifford Chance.

"De overheid kan strategische prioriteiten en gerichte richtlijnen vaststellen, en toezichthouders kunnen entiteiten aanwijzen als 'kritieke leveranciers', waardoor ze direct onder de regelgeving vallen", vertelt hij aan IO (voorheen ISMS.online). "Het wetsvoorstel biedt ook een mechanisme voor gedragscodes, waardoor nuances op maat van de context mogelijk zijn."

De nalevingslast neemt toe.

Wong betoogt dat de complexiteit van "lokale uitvoeringswetten", secundaire wetgeving en de mogelijke noodzaak om met meerdere toezichthouders samen te werken, de naleving lastiger maken voor organisaties die onder zowel NIS2 als de CSRB vallen.

Rhiannon Webster, hoofd cybersecurity bij het internationale advocatenkantoor Ashurst in het Verenigd Koninkrijk, voegt daaraan toe dat Brexit, met dit wetsvoorstel en de Data Use and Access Act, een reële impact begint te hebben op de nalevingslast voor Britse bedrijven die in Europa actief zijn.

"Het heeft even geduurd, aangezien de privacy- en cyberwetgeving in het VK tot nu toe een kopie was van de EU-wetgeving. Er ontwikkelen zich echter wel een aantal kleine, maar betekenisvolle veranderingen," vertelt ze aan IO.

"Hoewel bedrijven kunnen proberen aan beide regelgevingen op een uniforme manier te voldoen door de hoogste normen in het VK en Europa toe te passen, is dit waarschijnlijk geen commercieel haalbare aanpak. Bedrijven zullen daarom rekening moeten houden met de verschillen tussen de regelgevingen bij het opstellen van complianceprogramma's en het beoordelen van risico's."

Aan de slag

Webster dringt er bij organisaties op aan om eerst te onderzoeken of ze onder de reikwijdte van NIS2 en het Britse equivalent daarvan vallen.

"Het zal u misschien verbazen, maar in geval van beveiligingsincidenten en met het naleven van rapportagetermijnen, hebben we vaak klanten die niet zeker weten of ze door NIS2 zijn gedetecteerd en die dit in de praktijk, tijdens een datalek, proberen uit te zoeken. Dat is natuurlijk verre van ideaal," legt ze uit.

"Naleving van normen zoals ISO 27001 kan worden gebruikt om ervoor te zorgen dat uw informatiebeveiligingsvereisten in verhouding staan."."

Wong van Clifford Chance legt uit dat een "uniform cyberbeveiligingsprogramma, afgestemd op alle relevante wettelijke en regelgevende vereisten", het hoofddoel zou moeten zijn voor compliance-teams.

“Het gebruik van gevestigde raamwerken zoals ISO 27001 kan de naleving stroomlijnen en het gemakkelijker maken om kernpraktijken in meerdere rechtsgebieden aan te tonen. Dergelijke raamwerken bieden een structuur om op voort te bouwen, maar vormen slechts een basis en moeten worden aangepast aan lokale verplichtingen”, voegt hij eraan toe. “Regelmatige evaluaties zorgen ervoor dat het programma geschikt blijft voor het beoogde doel, ook als de eisen in de loop der tijd veranderen.”

Voor complexe bedrijfsactiviteiten die zich over meerdere rechtsgebieden uitstrekken, worden best practices nog belangrijker, aldus Wong. Hij wijst op "proactief leiderschap", het prioriteren van risico's en beheersmaatregelen, regelmatige simulatieoefeningen, sterke relaties met de toeleveringsketen en het inzetten van de juiste tools.

Hoe je het ook bekijkt, de kosten voor het opereren in het VK en de EU zullen naar verwachting stijgen.

Breid je kennis uit

webinar: Het beheersen van NIS 2-conformiteit met ISO 27001

Blog: Van NIS2 tot de Cyber Resilience Act: de "product"-kant van governance.

Blog: Eén keer bouwen, overal voldoen: het Multi-Framework Compliance Handboek

Waarom de Britse NIS-update mogelijk extra werk betekent voor organisaties die onder de regeling vallen.

Hoe de CSRB verschilt van NIS2

De nalevingslast neemt toe.

Aan de slag

Breid je kennis uit

Phil Muncaster

Gerelateerde artikelen

Cybercriminaliteit versus geopolitiek: hoe ransomware een geopolitiek instrument wordt.

Noord-Koreaanse IT-medewerkers hebben het Verenigd Koninkrijk als doelwit: wat moet u doen?

De governancekloof: waarom de EU AI-wetgeving hét moment is waarop besturen naleving niet langer als het probleem van iemand anders kunnen beschouwen.

Meer van Phil Muncaster

Noord-Koreaanse IT-medewerkers hebben het Verenigd Koninkrijk als doelwit: wat moet u doen?

Waarom cyberweerbaarheid voor veel Britse bedrijven nog ver weg is

De Troonrede van 2026: De impact van nieuwe wetten op cyberbeveiliging en naleving van regelgeving