Wat is NIS2 en waarom is het nu relevant?
De Network and Information Security Directive 2 (NIS2) is een Europese richtlijn die de cybersecurityeisen voor organisaties in kritieke sectoren aanzienlijk aanscherpt ten opzichte van de oorspronkelijke NIS-richtlijn uit 2016. NIS2 is in oktober 2024 van kracht geworden. De Nederlandse implementatiewet — de Cyberbeveiligingswet (Cbw) — is momenteel in voorbereiding en wordt naar verwachting in 2025–2026 van kracht.
Het doel van NIS2 is het verhogen van het algehele cybersecurityniveau in de EU. De richtlijn doet dit door een geharmoniseerde set van beveiligingsmaatregelen en meldplichten op te leggen aan een veel grotere groep organisaties dan voorheen. Schattingen gaan uit van meer dan 160.000 organisaties in de EU die onder NIS2 vallen, waarvan een aanzienlijk deel in Nederland.
Valt uw organisatie: bent u verplicht onder NIS2?
NIS2 maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. De drempelwaarden zijn: meer dan 50 medewerkers óf een jaaromzet van meer dan €10 miljoen én actief in een van de aangewezen sectoren. Grote organisaties (>250 medewerkers of >€50 mln omzet) in Annex I-sectoren worden automatisch als essentieel aangemerkt.
Annex I — Essentiële sectoren: energie (elektriciteit, gas, olie, warmte, waterstof), transport (lucht, rail, water, wegvervoer), bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur (internettoegang, DNS, TLD, cloud, datacenters, CDN, vertrouwensdiensten, elektronische communicatie), beheer van ICT-diensten (MSP/MSSP), overheid, ruimtevaart.
Annex II — Belangrijke sectoren: post- en koeriersdiensten, afvalbeheer, chemische industrie, levensmiddelen, industrie (medische hulpmiddelen, elektronica, machines, motorvoertuigen en aanhangwagens), digitale aanbieders (marktplaatsen, zoekmachines, sociale netwerken), onderzoeksinstellingen.
Twijfelt u of uw organisatie onder NIS2 valt? De Nationaal Cyber Security Centrum (NCSC) en de Rijksinspectie Digitale Infrastructuur (RDI) publiceren nadere guidance. Een quickscan door een NIS2-expert geeft snel duidelijkheid.
De tien kernvereisten van NIS2
NIS2 schrijft maatregelen voor op tien gebieden. Artikel 21 van de richtlijn is hierin leidend:
- 1. Beleid voor risicoanalyse en informatiebeveiliging: Een formeel, gedocumenteerd beleid gebaseerd op een risicogebaseerde aanpak. Dit sluit nauw aan bij ISO 27001.
- 2. Incidentbehandeling: Procedures voor detectie, reactie en herstel van incidenten. Significante incidenten moeten binnen 24 uur worden gemeld bij de toezichthouder (eerste melding), gevolgd door een nadere melding binnen 72 uur en een eindrapportage binnen één maand.
- 3. Bedrijfscontinuïteit en crisismanagement: Back-upbeheer, noodherstelplannen en een crisismanagementplan inclusief procedures voor communicatie tijdens een incident.
- 4. Beveiliging van de toeleveringsketen: Beoordeling van de cybersecuritypraktijken van directe leveranciers en dienstverleners. Dit is een van de meest uitdagende vereisten voor organisaties met complexe leveranciersketens.
- 5. Beveiliging bij netwerk- en informatiesysteemontwikkeling en -onderhoud: Security by design en by default, kwetsbaarheidsbeheer en patchbeleid.
- 6. Beoordeling van de effectiviteit van beveiligingsmaatregelen: Periodieke tests en audits om te verifiëren dat maatregelen daadwerkelijk werken. Voor essentiële entiteiten kan dit penetratietesten omvatten.
- 7. Cyberhygiëne en bewustwordingstraining: Periodieke training voor medewerkers én bestuurders. NIS2 maakt bestuurders expliciet verantwoordelijk voor het goedkeuren en toezicht houden op beveiligingsmaatregelen.
- 8. Gebruik van cryptografie en encryptie: Beleid voor het gebruik van cryptografische maatregelen bij opslag en overdracht van gevoelige informatie.
- 9. Personeelsbeveiliging en toegangsbeheer: Achtergrondcontroles, need-to-know principe en beheer van toegangsrechten.
- 10. Multi-factor authenticatie en beveiligde communicatie: MFA voor alle systemen die toegankelijk zijn via internet en voor beheertoegang tot kritieke systemen.
Persoonlijke aansprakelijkheid van bestuurders
Een van de ingrijpendste aspecten van NIS2 is de persoonlijke aansprakelijkheid van bestuurders. Artikel 20 verplicht de bestuursorganen van essentiële en belangrijke entiteiten om de maatregelen goed te keuren, toezicht te houden op de uitvoering en aansprakelijk te zijn voor eventuele inbreuken. Bestuurders kunnen bij ernstige nalatigheid tijdelijk worden uitgesloten van het uitoefenen van managementfuncties. Dit maakt NIS2 niet alleen een IT-vraagstuk maar een boardroom-prioriteit.
Toezicht en sancties
In Nederland zullen meerdere toezichthouders verantwoordelijk zijn voor NIS2-handhaving, afhankelijk van de sector. De Rijksinspectie Digitale Infrastructuur (RDI) wordt de centrale toezichthouder voor veel sectoren. Toezichthouders krijgen uitgebreide bevoegdheden: inspecties, audits, toegang tot documenten en systemen.
De sancties zijn aanzienlijk:
- Essentiële entiteiten: Maximaal €10 miljoen of 2% van de wereldwijde jaaromzet (het hoogste bedrag geldt)
- Belangrijke entiteiten: Maximaal €7 miljoen of 1,4% van de wereldwijde jaaromzet
Naast financiële sancties kunnen toezichthouders ook tijdelijke maatregelen opleggen zoals het staken van bepaalde activiteiten of het publiceren van vaststellingen van niet-naleving.
NIS2 versus ISO 27001: wat is het verschil?
ISO 27001 is een internationale standaard voor informatiebeveiliging die organisaties vrijwillig kunnen implementeren en waarvoor ze gecertificeerd kunnen worden. NIS2 is een wettelijke verplichting die van buitenaf wordt opgelegd aan aangewezen organisaties. De twee vullen elkaar echter uitstekend aan: een ISO 27001-gecertificeerde organisatie heeft een solide basis voor NIS2-compliance, maar moet aanvullende aandacht besteden aan de specifieke meldplicht-procedures, de toeleveringsketenvereisten en de formele bestuursverplichtingen die NIS2 oplegt.
Praktische stappenplan voor NIS2-compliance
Een gestructureerde aanpak voorkomt dat u overweldigd raakt door de omvang van NIS2. Begin met een NIS2-quickscan om te bepalen of uw organisatie onder de richtlijn valt en in welke categorie (essentieel of belangrijk). Voer vervolgens een gap-analyse uit: welke van de tien vereisten zijn al grotendeels ingevuld en welke vragen nog aandacht? Stel daarna een implementatieplan op met concrete mijlpalen, verantwoordelijken en een realistisch tijdpad. Zorg ook voor bestuursbetrokkenheid: NIS2 vereist dat bestuurders actief toezicht houden op cybersecurity — dit vergt investeringen in boardroom-bewustzijn.