NIS2 is de nieuwe Europese richtlijn voor cybersecurity die aanzienlijk meer bedrijven raakt dan zijn voorganger. Of u nu een energiebedrijf runt, actief bent in de gezondheidszorg, of IT-diensten levert aan andere bedrijven - de kans is groot dat NIS2 op uw organisatie van toepassing is. In deze whitepaper leggen we helder uit wat NIS2 inhoudt, hoe u bepaalt of het voor u geldt, en welke stappen u moet zetten om compliant te worden.
Wat is NIS2?
NIS2, voluit Network and Information Security Directive 2, is de nieuwe Europese richtlijn voor cybersecurity die de oorspronkelijke NIS-richtlijn uit 2016 vervangt. De eerste NIS-richtlijn was een belangrijke stap in het harmoniseren van cybersecurity-eisen binnen de Europese Unie, maar bleek in de praktijk tekortkomingen te hebben. Lidstaten interpreteerden de regels verschillend, de scope was beperkt, en de handhaving was inconsistent.
Met NIS2 pakt de EU deze problemen aan. De richtlijn is aanzienlijk strenger dan zijn voorganger en heeft een veel bredere reikwijdte. Waar de eerste NIS-richtlijn voornamelijk gericht was op kritieke infrastructuur zoals energie en transport, brengt NIS2 een groot aantal nieuwe sectoren onder de wetgeving. Daarnaast worden de eisen concreter, de meldplichten strenger, en de boetes substantieel hoger. Het doel is helder: de cyberweerbaarheid van Europa als geheel verhogen door een minimumniveau van beveiliging te garanderen bij alle organisaties die een belangrijke rol spelen in de samenleving of economie.
Welke bedrijven vallen onder NIS2?
Een van de grootste veranderingen in NIS2 is de uitbreiding van de scope. De richtlijn is van toepassing op veel meer sectoren dan de oorspronkelijke NIS-richtlijn. Waar voorheen vooral de traditionele kritieke infrastructuur onder de regels viel, worden nu ook sectoren als voedselproductie, afvalbeheer, chemie en digitale dienstverlening meegenomen. Dit betekent dat duizenden bedrijven in Nederland die tot nu toe geen specifieke cybersecurity-wetgeving kenden, nu wel aan strikte eisen moeten voldoen.
NIS2 maakt onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten. Het verschil zit voornamelijk in de intensiteit van het toezicht en de hoogte van mogelijke boetes. Essentiële entiteiten zijn organisaties waarvan uitval direct grote maatschappelijke gevolgen heeft - denk aan elektriciteitsnetwerken, ziekenhuizen of drinkwatervoorziening. Belangrijke entiteiten zijn organisaties die weliswaar van belang zijn voor economie en samenleving, maar waarbij de directe impact van uitval minder acuut is. Beide categorieën moeten aan dezelfde beveiligingseisen voldoen, maar essentiële entiteiten worden proactief gecontroleerd terwijl bij belangrijke entiteiten vooral reactief wordt gehandhaafd.
Essentiële sectoren (Essential Entities)
| Sector | Voorbeelden |
|---|---|
| Energie | Elektriciteit, gas, olie, warmte |
| Transport | Lucht, spoor, water, weg |
| Bankwezen | Kredietinstellingen |
| Gezondheidszorg | Ziekenhuizen, labs, farmaceutisch |
| Drinkwater | Waterleveranciers |
| Digitale infrastructuur | DNS, datacenters, cloud |
| Overheidsdiensten | Centrale en regionale overheid |
| Ruimtevaart | Satellietdiensten |
Belangrijke sectoren (Important Entities)
| Sector | Voorbeelden |
|---|---|
| Post & koeriersdiensten | Pakketbezorgers |
| Afvalbeheer | Afvalverwerkers |
| Chemie | Chemische productie |
| Voedsel | Voedselproductie en -distributie |
| Productie | Machines, apparaten, voertuigen |
| Digitale diensten | Marktplaatsen, zoekmachines, sociale media |
| Onderzoek | Onderzoeksinstellingen |
De vier hoofdeisen
NIS2 schrijft tien categorieën van beveiligingsmaatregelen voor die organisaties moeten implementeren. Deze maatregelen dekken het volledige spectrum van cybersecurity, van technische controles tot organisatorische processen. Hoewel alle tien belangrijk zijn, springen er vier uit die de kern vormen van NIS2-compliance en waar toezichthouders in de praktijk de meeste aandacht aan zullen besteden.
Het is belangrijk om te begrijpen dat NIS2 geen specifieke technische oplossingen voorschrijft. De richtlijn hanteert een risicogebaseerde aanpak: u moet passende maatregelen nemen die in verhouding staan tot de risicos die uw organisatie loopt. Wat passend is voor een ziekenhuis kan anders zijn dan wat passend is voor een voedselproducent. Dit geeft flexibiliteit, maar legt ook de verantwoordelijkheid bij de organisatie om zelf te bepalen wat nodig is en dit goed te onderbouwen.
1
Risicobeheer
identificeer en beheer risico's
2
Incidentmelding
meld binnen 24 uur
3
Supply chain
beveilig leveranciers
4
Continuïteit
blijf functioneren
Eis 1: Risicobeheer
U moet cybersecurity-risico's systematisch identificeren, analyseren en beheersen.
Eis 2: Incidentmelding
Bij een significant cybersecurity-incident moet u snel handelen en melden.
Vroegtijdige waarschuwing
Binnen 24 uur - eerste melding dat er een incident is
Incidentmelding
Binnen 72 uur - gedetailleerde melding met eerste analyse
Eindrapport
Binnen 1 maand - volledig rapport met oorzaak en genomen maatregelen
Eis 3: Supply chain security
U bent niet alleen verantwoordelijk voor uw eigen beveiliging, maar ook voor die van uw leveranciers.
Eis 4: Business continuity
U moet kunnen blijven functioneren tijdens en na een cybersecurity-incident.
Tijdlijn: wanneer moet u compliant zijn?
De Europese Unie heeft lidstaten een duidelijke deadline gegeven voor de implementatie van NIS2 in nationale wetgeving: oktober 2024. In de praktijk betekent dit dat de richtlijn nu van kracht is, ook al zijn sommige lidstaten nog bezig met het finaliseren van hun nationale wetgeving. Nederland werkt aan de Cyberbeveiligingswet, de Nederlandse implementatie van NIS2. Hoewel deze wet mogelijk iets later van kracht wordt dan de oorspronkelijke Europese deadline, is het verstandig om niet te wachten met voorbereiden.
De reden om nu al actie te ondernemen is tweeledig. Ten eerste kost het implementeren van de vereiste maatregelen tijd - maanden tot soms meer dan een jaar, afhankelijk van uw huidige volwassenheidsniveau op het gebied van cybersecurity. Ten tweede kunnen toezichthouders zodra de wet van kracht is direct gaan handhaven. Organisaties die dan nog niet compliant zijn, lopen het risico op boetes en andere sancties. Door nu te starten geeft u uzelf de ruimte om de implementatie zorgvuldig aan te pakken zonder onder tijdsdruk te werken.
December 2022
NIS2 gepubliceerd - richtlijn aangenomen door EU
Oktober 2024
Deadline implementatie - lidstaten moeten nationale wet hebben
2025
Handhaving start - toezichthouders gaan controleren
Doorlopend
Continue compliance - jaarlijkse audits en updates
Stappenplan naar compliance
NIS2-compliance bereiken is een project dat gestructureerd moet worden aangepakt. Door een duidelijk stappenplan te volgen voorkomt u dat u belangrijke zaken over het hoofd ziet en zorgt u ervoor dat uw inspanningen effectief zijn. Het onderstaande stappenplan is gebaseerd op best practices en biedt een praktisch kader om van uw huidige situatie naar volledige compliance te komen.
De snelheid waarmee u dit traject kunt doorlopen hangt af van uw startpositie. Organisaties die al werken met erkende frameworks zoals ISO 27001 of die al onder sectorspecifieke regelgeving vallen, zullen merken dat veel zaken al op orde zijn. Voor organisaties die nog weinig geformaliseerde cybersecurity hebben, is het traject langer maar zeker niet onhaalbaar. Het belangrijkste is om te beginnen en gestaag voortgang te boeken.
Bepaal of NIS2 van toepassing is
Check sector en omvang
Voer een gap-analyse uit
Waar staat u nu vs. waar moet u zijn?
Stel een projectplan op
Prioriteer en plan de acties
Implementeer maatregelen
Voer technische en organisatorische verbeteringen door
Documenteer alles
Bewijs dat u compliant bent
Train medewerkers
Awareness en specifieke trainingen
Test en oefen
Incidentrespons en business continuity
Continue verbetering
Jaarlijkse review en updates
Documentatie die u nodig hebt
Boetes en handhaving
Een van de meest opvallende verschillen tussen NIS2 en zijn voorganger is de verscherping van het sanctieregime. De Europese Unie heeft duidelijk willen maken dat cybersecurity serieus genomen moet worden, en heeft dit onderstreept met boetebedragen die vergelijkbaar zijn met die van de AVG. Voor veel organisaties vormen deze potentiële boetes een belangrijke motivatie om compliance serieus te nemen.
Naast de financiële sancties introduceert NIS2 ook andere handhavingsinstrumenten. Toezichthouders krijgen de bevoegdheid om audits uit te voeren, documentatie op te vragen, en bindende aanwijzingen te geven die organisaties moeten opvolgen. In extreme gevallen kunnen zij zelfs leidinggevenden tijdelijk schorsen of de uitoefening van bepaalde activiteiten verbieden. Dit maakt duidelijk dat NIS2 geen papieren tijger is, maar een richtlijn met serieuze consequenties voor organisaties die hun verantwoordelijkheden niet nakomen.
€10M
of 2%
essentiële entiteiten
€7M
of 1,4%
belangrijke entiteiten
Quick-start NIS2 checklist
Nu u begrijpt wat NIS2 inhoudt en welke eisen het stelt, is het tijd voor actie. Deze checklist biedt een overzicht van alle belangrijke stappen en documenten die nodig zijn voor NIS2-compliance. Gebruik deze lijst als leidraad voor uw implementatieproject en als controlemiddel om te verifiëren dat u niets over het hoofd hebt gezien.
Het is verstandig om deze checklist te gebruiken in combinatie met het eerder beschreven stappenplan. Werk systematisch door de items en documenteer bij elk punt wat de huidige status is, welke acties nodig zijn, en wie verantwoordelijk is voor de implementatie. Op deze manier creëert u niet alleen compliance, maar ook de documentatie die toezichthouders willen zien bij een eventuele audit.
