NIS2 en Europese Cyberwetgeving
NIS2: Besturen Is Niet Delegeren
Bestuurlijke rust ontstaat niet door optimisme, maar door heldere verantwoordelijkheid en aantoonbare opvolging.
Bij NIS2 en Europese Cyberwetgeving draait het om aantoonbaarheid: normen vertalen naar eigenaarschap, planning en toetsing.
Zo wordt dit onderwerp geen periodieke discussie, maar een bestuurbaar onderdeel van reguliere bedrijfsvoering.
Directe maatregelen (15 minuten)
Waarom dit telt
De kern van NIS2 en Europese Cyberwetgeving is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.
Waarom dit u aangaat
Op 16 januari 2023 trad de NIS2-richtlijn in werking – de meest ingrijpende Europese cyberbeveiligingswet ooit. Waar de eerste NIS-richtlijn uit 2016 vooral gericht was op een handvol sectoren, trekt NIS2 het net zo breed dat duizenden organisaties in Nederland er direct mee te maken krijgen. En het bijzondere: bestuurders zijn persoonlijk aansprakelijk als ze hun verplichtingen niet nakomen.
Dit is geen abstract Brusselse bureaucratie. Dit is wetgeving met tanden – forse boetes, bestuurdersaansprakelijkheid en toezichthouders die actief gaan handhaven. Als u in een bestuur of managementteam zit, moet u weten wat er op u afkomt.
Kernboodschap: NIS2 maakt cybersecurity een bestuurskwestie. Niet langer iets dat u kunt delegeren aan IT en vervolgens vergeten. U bent persoonlijk verantwoordelijk.
Wat is NIS2 en waarom bestaat het?
NIS staat voor Network and Information Security. De eerste versie (NIS1, 2016) was een goede eerste stap, maar had flinke tekortkomingen: te weinig sectoren vielen eronder, de handhaving verschilde enorm per EU-lidstaat, en de meldplicht voor incidenten was vaag gedefinieerd.
NIS2 lost die problemen op door:
- Het aantal sectoren fors uit te breiden
- Uniforme regels te stellen voor alle EU-lidstaten
- Duidelijke meldtermijnen vast te leggen
- Boetes en aansprakelijkheid stevig aan te scherpen
- Supply chain security verplicht te maken
NIS1 versus NIS2
| Aspect | NIS1 (2016) | NIS2 (2023) |
|---|---|---|
| Aantal sectoren | 7 | 18 |
| Type organisaties | Alleen grote | Middelgrote en grote |
| Boetes | Niet geharmoniseerd | Tot 10 miljoen EUR of 2% omzet |
| Bestuurdersaansprakelijkheid | Niet expliciet | Ja, persoonlijk |
| Incidentmelding | Vaag | Strikte termijnen (24/72 uur) |
| Supply chain | Niet verplicht | Verplicht |
| Toezicht | Reactief | Proactief en risico-gebaseerd |
Valt uw organisatie eronder?
NIS2 onderscheidt twee categorieen: essentieel en belangrijk. Het verschil zit vooral in de intensiteit van het toezicht – maar de verplichtingen zijn grotendeels gelijk.
Essentieel (strengste toezicht)
| Sector | Voorbeelden |
|---|---|
| Energie | Elektriciteit, olie, gas, waterstof, warmte |
| Transport | Luchtvaart, spoor, water, weg |
| Bankwezen | Kredietinstellingen |
| Financiele marktinfrastructuur | Beurzen, centrale tegenpartijen |
| Gezondheidszorg | Ziekenhuizen, laboratoria, farmaceuten |
| Drinkwater | Waterleidingbedrijven |
| Afvalwater | Rioolbeheerders |
| Digitale infrastructuur | DNS, TLD-registries, datacenters, CDN’s |
| ICT-dienstverlening (B2B) | Managed service providers, managed security |
| Overheid | Centrale en regionale overheden |
| Ruimtevaart | Exploitanten van grondinfrastructuur |
Belangrijk (lichter toezicht, dezelfde verplichtingen)
| Sector | Voorbeelden |
|---|---|
| Post- en koeriersdiensten | Pakketbezorgers, postbedrijven |
| Afvalstoffenbeheer | Inzameling en verwerking |
| Chemie | Productie en distributie |
| Voeding | Productie, verwerking, distributie |
| Maakindustrie | Medische hulpmiddelen, elektronica, machines, voertuigen |
| Digitale aanbieders | Online marktplaatsen, zoekmachines, sociale netwerken |
| Onderzoek | Onderzoeksorganisaties |
De vuistregel: organisaties met meer dan 50 medewerkers of meer dan 10 miljoen euro omzet in deze sectoren vallen onder NIS2. Sommige organisaties – zoals DNS-dienstverleners en overheden – vallen er ongeacht hun omvang onder.
Twijfelt u? Ga er dan vanuit dat u eronder valt. De consequenties van onterecht aannemen dat het niet voor u geldt, zijn vele malen groter dan de moeite van compliance.
De vier kernverplichtingen
1. Risicobeheer
U moet passende en evenredige technische en organisatorische maatregelen nemen om de risico’s voor uw netwerk- en informatiesystemen te beheersen. Dat klinkt abstract, maar de richtlijn is concreet:
- Risicoanalyses en beveiligingsbeleid
- Incidentafhandeling (preventie, detectie, respons)
- Bedrijfscontinuiteit en crisismanagement
- Supply chain security – inclusief beveiliging bij uw leveranciers
- Beveiliging bij het verwerven, ontwikkelen en onderhouden van systemen
- Beleid en procedures om de effectiviteit van maatregelen te toetsen
- Basispraktijken voor cyberhygiene en bewustwordingstraining
- Beleid voor het gebruik van cryptografie en encryptie
- Personeelsbeveiliging en toegangsbeheer
- Multi-factor authenticatie en beveiligde communicatie
Veel van deze maatregelen – met name logging, monitoring en detectie – vereisen een doordachte technische inrichting. Voor de technische achtergrond en praktische aanpak verwijzen wij u naar Logging, Monitoring & SIEM.
2. Incidentmelding
NIS2 hanteert een getrapt meldingsregime:
| Termijn | Wat u moet melden |
|---|---|
| Binnen 24 uur | Vroegtijdige waarschuwing: er is een significant incident |
| Binnen 72 uur | Incidentmelding: eerste beoordeling, ernst, impact, indicatoren |
| Binnen 1 maand | Eindverslag: grondoorzaak, genomen maatregelen, grensoverschrijdende impact |
Een “significant incident” is een incident dat ernstige operationele verstoring of financieel verlies veroorzaakt, of dat andere organisaties aanzienlijk kan treffen. Hoe u zich op deze meldplicht voorbereidt en een werkend incidentresponsproces inricht, leest u in hoofdstuk 7: Incidentrespons en Crisismanagement.
3. Supply chain security
U bent niet alleen verantwoordelijk voor uw eigen beveiliging, maar ook voor die van uw toeleveringsketen. Dat betekent:
- Beoordeel de cybersecurity van uw leveranciers
- Neem beveiligingseisen op in contracten
- Monitor de beveiligingsprestaties van kritieke leveranciers
- Heb een plan B als een leverancier gecompromitteerd wordt
4. Bestuurdersverantwoordelijkheid
Dit is het punt waar het persoonlijk wordt. NIS2 vereist dat:
- Bestuurders de cyberbeveiligingsmaatregelen goedkeuren en toezicht houden op de uitvoering
- Bestuurders cyberbeveiligingstraining volgen
- Bestuurders persoonlijk aansprakelijk gesteld kunnen worden bij nalatigheid
Lees dat nog eens: persoonlijk aansprakelijk. Niet de organisatie. U. Cybersecurity is geen IT-feestje meer – het is een bestuurstaak.
Sancties en handhaving
De boetes zijn navenant:
| Categorie | Maximale boete |
|---|---|
| Essentieel | 10.000.000 EUR of 2% van de wereldwijde jaaromzet (hoogste telt) |
| Belangrijk | 7.000.000 EUR of 1,4% van de wereldwijde jaaromzet (hoogste telt) |
Daarnaast kunnen toezichthouders:
- Bindende instructies opleggen
- Beveiligingsaudits verplichten
- Bestuurders tijdelijk schorsen bij herhaalde overtredingen
- Bevelen dat incidenten openbaar gemaakt worden
Tijdlijn en status in Nederland
| Datum | Gebeurtenis |
|---|---|
| 16 januari 2023 | NIS2-richtlijn in werking getreden |
| 17 oktober 2024 | Deadline omzetting naar nationale wetgeving |
| 2025 | Cyberbeveiligingswet (Cbw) – Nederlandse implementatie verwacht |
| Na inwerkingtreding | Organisaties moeten zich registreren bij het NCSC of sectorale CSIRT |
Nederland heeft de omzettingsdeadline niet gehaald – net als de meeste EU-lidstaten. De Cyberbeveiligingswet is in voorbereiding. Maar wacht daar niet op: de richtlijn geeft duidelijk aan wat er verwacht wordt, en toezichthouders kunnen na omzetting direct handhaven.
Wat moet u NU doen?
Doe dit deze maand
| Stap | Actie | Prioriteit |
|---|---|---|
| 1 | Bepaal of uw organisatie onder NIS2 valt (essentieel of belangrijk) | Hoog |
| 2 | Breng uw huidige cyberbeveiligingsmaatregelen in kaart | Hoog |
| 3 | Voer een gap-analyse uit tegen de NIS2-vereisten | Hoog |
| 4 | Stel een cyberbeveiligingsbeleid op of werk het bij | Hoog |
| 5 | Implementeer incidentresponsprocedures met de juiste meldtermijnen | Hoog |
| 6 | Breng uw supply chain in kaart en beoordeel leveranciersrisico’s | Midden |
| 7 | Regel cyberbeveiligingstraining voor het bestuur | Hoog |
| 8 | Implementeer multi-factor authenticatie en encryptie | Midden |
| 9 | Stel een bedrijfscontinuiteitsplan op | Midden |
| 10 | Bereid uw registratie bij het NCSC of sectorale CSIRT voor | Midden |
| 11 | Documenteer alles – aantoonbaarheid is cruciaal | Doorlopend |
| 12 | Plan regelmatige beveiligingsaudits en pentests | Doorlopend |
Andere Europese wetgeving die u moet kennen
DORA – Digital Operational Resilience Act
DORA richt zich specifiek op de financiele sector en is van toepassing sinds 17 januari 2025. Waar NIS2 breed is, is DORA diep: het stelt gedetailleerde eisen aan ICT-risicobeheer, incidentrapportage, digitale weerbaarheidstests en het beheer van ICT-dienstverleners door derden.
Als uw organisatie in de financiele sector opereert, moet u aan zowel NIS2 als DORA voldoen – waarbij DORA als sectorspecifieke wet voorrang krijgt op de algemene NIS2-bepalingen.
| Aspect | NIS2 | DORA |
|---|---|---|
| Scope | 18 sectoren | Financiele sector |
| Testverplichtingen | Algemeen | Threat-led penetration testing (TLPT) |
| Leveranciersbeheer | Algemene eisen | Gedetailleerd register en oversight |
| Van toepassing | Na nationale omzetting | 17 januari 2025 |
Cyber Resilience Act (CRA)
De CRA richt zich op fabrikanten en importeurs van producten met digitale elementen – van slimme thermostaten tot industriele software. Het verplicht security-by-design en biedt consumenten en bedrijven meer zekerheid dat de producten die ze kopen veilig zijn.
Voor bestuurders is dit relevant als u: - Producten met software of connectiviteit ontwikkelt of verkoopt - Dergelijke producten inkoopt – u kunt straks betere beveiligingsgaranties eisen
De CRA is aangenomen in 2024 en zal gefaseerd van toepassing worden, met de eerste verplichtingen vanaf september 2026.
De rode draad
NIS2, DORA en de CRA zijn geen losstaande wetten – ze vormen samen een Europees raamwerk dat cybersecurity behandelt als wat het is: een maatschappelijk belang. De tijden waarin cybersecurity iets was van de IT-afdeling zijn definitief voorbij.
Wat u moet onthouden: Cybersecurity is een bestuurlijke verantwoordelijkheid. Niet omdat het in de wet staat – hoewel dat nu ook zo is – maar omdat uw organisatie, uw klanten en uw medewerkers erop vertrouwen dat u hun gegevens en systemen beschermt. NIS2 maakt dat alleen maar expliciet.
In het volgende hoofdstuk over de AVG/GDPR behandelen we de andere pijler van digitale compliance. Want waar NIS2 gaat over de beveiliging van systemen, gaat de AVG over de bescherming van persoonsgegevens. En die twee zijn onlosmakelijk met elkaar verbonden.
Verder lezen in de kennisbank
Deze artikelen in het portaal geven je meer achtergrond en praktische context:
- Compliance — regels volgen zonder je verstand te verliezen
- Incident Response — wanneer het misgaat
- Supply chain attacks — het zwakste schakel-probleem
- "Zijn wij een doelwit?"
- Ransomware — digitale gijzeling voor beginners en gevorderden
Je hebt een account nodig om de kennisbank te openen. Inloggen of registreren.
Gerelateerde securitymaatregelen
Deze artikelen bieden aanvullende context en verdieping: