Het voldoen aan de NIS2-richtlijn vergt van bedrijven aanzienlijke tijd, middelen en inzet van medewerkers, vaak aangevuld met externe ondersteuning. Voor grote en middelgrote organisaties kan het traject om volledig compliant te worden zes tot tweeëntwintig maanden duren, voornamelijk door de complexiteit van processen en het aantal ketenpartners. Kleinere bedrijven zijn meestal na vier tot zes maanden klaar.
Ook na implementatie blijven structurele inspanningen nodig, omdat cybersecurity voortdurend in ontwikkeling is. Organisaties moeten beleid, procedures en incidentenbeheer continu aanpassen om te voldoen aan de zorgplicht van NIS2.
De tijd- en kostenimpact verschilt per type organisatie. Voor grote ondernemingen wordt geschat dat 3.500 tot 5.000 uur per jaar nodig is, met een bijbehorende kostenpost van ongeveer 50.000 euro per jaar. Middelgrote bedrijven kunnen rekenen op 1.250 tot 2.500 uur per jaar en circa 30.000 euro aan jaarlijkse kosten. Voor het klein mkb liggen de schattingen tussen de 300 en 800 uur per jaar, met kosten variërend van 1.000 tot 20.000 euro per jaar. Het gaat hierbij om indicatieve cijfers die afhankelijk zijn van de organisatie en het bestaande beveiligingsniveau.
Vroegtijdig starten is raadzaam. Veel maatregelen, zoals ketenbeveiliging en incidentenbeheer, vragen langdurige voorbereiding en afstemming met klanten en leveranciers. Door op tijd te beginnen, kunnen bedrijven de investering spreiden, piekbelasting beperken en op tijd voldoen aan de wettelijke eisen.
