Compliancegids

NIS2-compliance voor Nederlandse bedrijven

Alles wat u moet weten over de Cyberbeveiligingswet — vereisten, boetes, tijdlijnen en hoe u zich voorbereidt voordat de handhaving begint.

Vragen over NIS2? Neem contact op

Wat is NIS2?

De Network and Information Security Directive 2 (NIS2) is het geactualiseerde kader van de Europese Unie voor cybersecurityregelgeving in alle lidstaten. Het vervangt de oorspronkelijke NIS-richtlijn uit 2016 en breidt zowel de reikwijdte van de betrokken organisaties als de diepgang van de gestelde eisen aanzienlijk uit.

In Nederland wordt NIS2 omgezet in nationale wetgeving als de Cyberbeveiligingswet. De handhaving begint naar verwachting in Q2 2026, en organisaties die binnen de reikwijdte vallen, moeten vanaf dat moment kunnen aantonen dat zij voldoen.

NIS2 betekent een fundamentele verschuiving in de manier waarop de EU cybersecurity benadert: van vrijwillige best practices naar verplichte, afdwingbare eisen met aanzienlijke boetes bij niet-naleving.

Wie wordt geraakt?

NIS2 breidt het aantal organisaties dat aan cybersecurityregelgeving moet voldoen drastisch uit. Alleen al in Nederland zullen naar schatting 8.000 organisaties onder de richtlijn vallen — vergeleken met slechts enkele honderden onder de oorspronkelijke NIS.

De richtlijn is van toepassing op organisaties op basis van twee criteria: sector en omvang.

Essentiële entiteiten

Grote organisaties die actief zijn in kritieke sectoren worden geclassificeerd als "essentiële entiteiten" en krijgen te maken met de strengste eisen en de hoogste boetes. De omvangsdrempel is:

  • 250 of meer medewerkers, OF
  • Een jaaromzet van meer dan €50 miljoen, OF
  • Een jaarlijks balanstotaal van meer dan €43 miljoen

Belangrijke entiteiten

Middelgrote organisaties in betrokken sectoren worden geclassificeerd als "belangrijke entiteiten". De eisen zijn weliswaar gelijk, maar de boetes liggen iets lager. De omvangsdrempel is:

  • 50 of meer medewerkers, OF
  • Een jaaromzet van meer dan €10 miljoen, OF
  • Een jaarlijks balanstotaal van meer dan €10 miljoen

Uitzonderingen en bijzondere gevallen

Sommige organisaties kunnen ongeacht hun omvang worden geclassificeerd als zij door nationale autoriteiten worden aangewezen als kritieke exploitanten, of als zij de enige aanbieder zijn van een dienst die essentieel is voor de samenleving. Bepaalde subsectoren — zoals DNS-aanbieders, TLD-registers en gekwalificeerde vertrouwensdienstverleners — vallen automatisch binnen de reikwijdte, ongeacht hun omvang.

Sectoren die onder NIS2 vallen

NIS2 dekt een breed scala aan sectoren, verdeeld in twee groepen:

Sectoren met een hoge mate van kritiek belang (bijlage I)

  • Energie: elektriciteit, olie, gas, waterstof, stadsverwarming
  • Vervoer: lucht, spoor, water, weg
  • Bankwezen en infrastructuur voor de financiële markt
  • Gezondheidszorg: ziekenhuizen, laboratoria, fabrikanten van medische hulpmiddelen, farmaceutische bedrijven
  • Levering en distributie van drinkwater
  • Afvalwaterbeheer
  • Digitale infrastructuur: internetknooppunten, DNS, TLD-registers, cloud computing, datacenters, CDN's, vertrouwensdiensten, elektronische communicatie
  • Beheer van ICT-diensten (B2B): managed service providers, managed security service providers
  • Openbaar bestuur (centrale en regionale overheid)
  • Ruimtevaart: exploitanten van grondinfrastructuur

Andere kritieke sectoren (bijlage II)

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Vervaardiging, productie en distributie van chemische stoffen
  • Productie, verwerking en distributie van levensmiddelen
  • Productie: medische hulpmiddelen, computers, elektronica, machines, motorvoertuigen, overige transportmiddelen
  • Digitale aanbieders: onlinemarktplaatsen, zoekmachines, socialenetwerkplatforms
  • Onderzoeksorganisaties

Vereisten van artikel 21

Artikel 21 van de NIS2-richtlijn definieert de maatregelen voor het beheer van cybersecurityrisico's die alle betrokken entiteiten moeten implementeren. Deze eisen zijn bedoeld om evenredig te zijn aan de risicoblootstelling van de organisatie en zijn afdwingbaar vanaf de datum van nationale omzetting.

1. Risicoanalyse en beveiligingsbeleid

Organisaties moeten een uitgebreide risicoanalyse en een beleid voor de beveiliging van informatiesystemen opstellen en onderhouden. Dit omvat:

  • Regelmatige risicobeoordelingen van alle kritieke systemen en gegevens
  • Gedocumenteerd beveiligingsbeleid, goedgekeurd door het management
  • Periodieke herziening en actualisering van het beleid op basis van veranderende dreigingen

2. Incidentafhandeling

Een gestructureerde aanpak van het beheer van beveiligingsincidenten is verplicht:

  • Mogelijkheden voor incidentdetectie en -monitoring
  • Vastgestelde procedures voor incidentrespons en escalatiepaden
  • Processen voor analyse achteraf en geleerde lessen
  • Naleving van de verplichte rapportagetermijnen (zie hieronder)

3. Bedrijfscontinuïteit en crisismanagement

Organisaties moeten plannen voor operationele weerbaarheid:

  • Back-upbeheer en procedures voor disaster recovery
  • Crisismanagementplannen en communicatieprotocollen
  • Regelmatig testen van continuïteitsplannen
  • Vastgestelde Recovery Time Objectives (RTO's) voor kritieke systemen

4. Beveiliging van de toeleveringsketen

NIS2 legt sterke nadruk op risico's in de toeleveringsketen:

  • Beoordeling van cybersecurityrisico's van directe leveranciers en dienstverleners
  • Contractuele beveiligingseisen voor kritieke leveranciers
  • Monitoring van de securityposture van leveranciers
  • Verplichtingen tot incidentmelding die zich uitstrekken tot de toeleveringsketen

5. Beveiliging bij aanschaf, ontwikkeling en onderhoud van systemen

Beveiliging moet worden ingebed in de levenscyclus van informatiesystemen:

  • Veilige ontwikkelpraktijken
  • Beleid voor het afhandelen en bekendmaken van kwetsbaarheden
  • Procedures voor patchbeheer
  • Beveiligingstests tijdens de ontwikkeling en vóór implementatie

6. Beoordeling van de effectiviteit

Organisaties moeten regelmatig evalueren of hun beveiligingsmaatregelen werken:

  • Cybersecurityaudits en -beoordelingen
  • Penetratietests
  • Beveiligingsmetrieken en KPI's
  • Managementbeoordeling van de beveiligingseffectiviteit

7. Cyberhygiëne en training

Basismaatregelen voor cybersecurity moeten in de hele organisatie worden gehandhaafd:

  • Bewustwordingstraining voor alle medewerkers
  • Phishingsimulaties en -tests
  • Duidelijk acceptabel-gebruiksbeleid
  • Regelmatige actualisering van trainingen op basis van actuele dreigingen

8. Cryptografie en encryptie

Passend gebruik van cryptografische maatregelen:

  • Encryptiebeleid voor data in rust en onderweg
  • Procedures voor sleutelbeheer
  • Regelmatige herziening van cryptografische standaarden

9. Personeel en toegangsbeheer

Beheer van mensen en toegang:

  • Achtergrondcontroles voor personeel in gevoelige functies
  • Role-based access control (RBAC)
  • Principe van minimale rechten
  • Procedures voor toegangsbeoordeling en -intrekking

10. Multi-factor authenticatie

Technische authenticatie-eisen:

  • MFA voor toegang tot kritieke systemen
  • Veilige authenticatiemechanismen
  • Continue authenticatie waar passend
  • Veilige procedures voor noodtoegang

Boetes

NIS2 introduceert een boetekader naar het model van de AVG, met boetes die afschrikwekkend zijn bedoeld:

Voor essentiële entiteiten

  • Boetes tot €10 miljoen of 2% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
  • Tijdelijke schorsing van certificeringen of vergunningen
  • Tijdelijk verbod op managementfuncties voor verantwoordelijke personen

Voor belangrijke entiteiten

  • Boetes tot €7 miljoen of 1,4% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
  • Dezelfde administratieve maatregelen als voor essentiële entiteiten, hoewel de handhaving vooral reactief is in plaats van proactief

Persoonlijke aansprakelijkheid

In tegenstelling tot veel eerdere cybersecurityregelgeving introduceert NIS2 expliciet verantwoordelijkheid op bestuursniveau. De directie kan persoonlijk aansprakelijk worden gesteld voor nalevingstekortkomingen, en toezichthoudende autoriteiten kunnen personen tijdelijk verbieden managementfuncties te vervullen.

Vereisten voor incidentrapportage

NIS2 stelt strikte termijnen vast voor het melden van significante beveiligingsincidenten aan het nationale CSIRT (in Nederland het NCSC):

TermijnVereiste
24 uurVroegtijdige waarschuwing: eerste melding dat een significant incident heeft plaatsgevonden
72 uurIncidentmelding: bijgewerkte beoordeling met ernst, impact en indicators of compromise
1 maandEindrapport: gedetailleerde analyse, hoofdoorzaak, herstelmaatregelen en grensoverschrijdende impact

Een "significant incident" wordt gedefinieerd als een incident dat ernstige operationele verstoring of financiële schade veroorzaakt of kan veroorzaken, of dat andere organisaties treft of kan treffen.

Het niet naleven van deze rapportage-eisen leidt tot boetes los van het onderliggende incident.

Verantwoordelijkheid op bestuursniveau

NIS2 maakt van cybersecurity een governancevraagstuk, niet slechts een technisch vraagstuk. Bestuursorganen zijn verplicht om:

  • De maatregelen voor het beheer van cybersecurityrisico's onder artikel 21 te goedkeuren
  • Toe te zien op de implementatie van die maatregelen
  • Cybersecuritytraining af te ronden zodat zij weloverwogen beslissingen kunnen nemen
  • Aansprakelijkheid te aanvaarden voor niet-naleving van de richtlijn

Dit betekent dat bestuursleden en C-level executives cybersecurity niet langer volledig kunnen delegeren aan technische teams. Zij moeten aantonen dat zij actief betrokken zijn bij en inzicht hebben in de securityposture van hun organisatie.

Hoe Zybur u helpt te voldoen

Voldoen aan de NIS2-eisen hoeft niet te betekenen dat u vanaf nul een intern securityteam moet opbouwen. Het managed security-platform van Zybur dekt de kernvereisten van artikel 21:

Risicoanalyse en monitoring

Onze 24/7 AI-gedreven monitoring beoordeelt continu uw securityposture. Wekelijkse posture-rapporten bieden een gedocumenteerde risicoanalyse die voldoet aan de wettelijke vereisten.

Incidentafhandeling

Met 1.300+ detectieregels en AI-gedreven triage detecteert Zybur dreigingen binnen 30 minuten. Onze geautomatiseerde incidentrapportage zorgt ervoor dat u voldoet aan de vereiste van een vroegtijdige waarschuwing binnen 24 uur, met gedetailleerde, auditklare documentatie.

Identiteits- en toegangsbeheer

Onze Identity Threat Detection and Response (ITDR)-capaciteiten monitoren op gecompromitteerde inloggegevens, privilege-escalatie en laterale beweging — een directe ondersteuning van de eisen voor toegangsbeheer en MFA.

Correlatie van meerdere meldingen

Onze AI-correlatie-engine verbindt losse gebeurtenissen tot aanvalsverhalen en levert het soort uitgebreide dreigingsanalyse dat toezichthouders verwachten van volwassen security operations.

Compliance-bewijs

Elke detectie, elk onderzoek en elke responsactie wordt automatisch gedocumenteerd. Zo ontstaat het compliance-bewijs en het audittraject dat NIS2 vereist, zonder handmatige inspanning van uw team.

Rapportage op bestuursniveau

Onze rapportage is ontworpen om klaar te zijn voor de directie. Managementsamenvattingen, trendanalyses en risicobeoordelingen geven het management het inzicht dat het nodig heeft om aan zijn toezichtverplichtingen onder de richtlijn te voldoen.

Monitoring van de toeleveringsketen

Ons Enterprise-plan omvat mogelijkheden voor het monitoren van de toeleveringsketen, waarmee u de cybersecurityrisico's van uw leveranciers en dienstverleners kunt beoordelen en beheren.

Tijdlijn en volgende stappen

De verwachte tijdlijn voor de handhaving van NIS2 in Nederland:

  • Oorspronkelijke omzettingsdeadline: 17 oktober 2024
  • Nederlandse wetgeving (Cyberbeveiligingswet): verwachte handhaving Q2 2026
  • Naleving vereist: vanaf de datum van handhaving

Aanbevolen acties

  1. Bepaal uw classificatie — Bent u een essentiële of belangrijke entiteit?
  2. Voer een gap-assessment uit — Breng uw huidige securityposture in kaart ten opzichte van de eisen van artikel 21
  3. Prioriteer herstel — Richt u eerst op de hiaten met het hoogste risico
  4. Implementeer monitoring — Zorg dat u over 24/7 detectie- en responscapaciteiten beschikt
  5. Stel rapportageprocedures op — Bereid u voor op de incidentmelding binnen 24 uur
  6. Documenteer alles — Bouw uw audittraject voor compliance op
  7. Betrek het management — Zorg voor bewustzijn en training op bestuursniveau
  8. Beoordeel de toeleveringsketen — Beoordeel de securityposture van uw leveranciers

Wacht niet tot de handhaving begint. Organisaties die zich nu voorbereiden, zijn er klaar voor; wie wacht, krijgt te maken met een kostbare en ontwrichtende inhaalslag.

Klaar om te beginnen? Neem contact op met Zybur voor een gratis NIS2-readiness-assessment en ontdek hoe ons managed security-platform u kan helpen om compliance te bereiken en te behouden.