Officieel nalevingsdocument met rood zegel op donker bureau naast laptop met beveiligingsdashboard, Nederlandse vlag op achtergrond.

Wat zijn de belangrijkste eisen van NIS2?

De belangrijkste eisen van NIS2 zijn: een zorgplicht voor technische en organisatorische beveiligingsmaatregelen, een registratieplicht bij nationale autoriteiten, een meldplicht voor significante cyberincidenten en een trainingsplicht voor bestuurders. Deze verplichtingen gelden voor organisaties in sectoren die als essentieel of belangrijk worden aangemerkt, en zijn in Nederland verankerd in de Cyberbeveiligingswet (Cbw). In dit artikel beantwoorden we de meest gestelde vragen over de NIS2-richtlijn en wat deze concreet betekent voor uw organisatie.

Voor welke organisaties geldt de NIS2-richtlijn?

De NIS2-richtlijn geldt voor organisaties in sectoren die cruciaal zijn voor de samenleving en economie, zoals energie, transport, financiën, gezondheidszorg, drinkwater, digitale infrastructuur en overheid. In Nederland vallen naar schatting ruim 10.000 organisaties direct onder de NIS2, en naar verwachting krijgen circa 50.000 toeleveranciers van deze organisaties er indirect mee te maken.

Voor de publieke sector gelden specifieke regels. De volgende overheidsorganisaties vallen automatisch onder de Cyberbeveiligingswet:

  • Ministeries, inclusief hun diensten en agentschappen
  • Provincies
  • Gemeenten
  • Waterschappen

Voor zelfstandige bestuursorganen (ZBO’s) en gemeenschappelijke regelingen moet per geval worden beoordeeld of zij aan de vier wettelijke criteria voor “overheidsinstantie” voldoen. Het omvangscriterium dat voor private sectoren geldt, namelijk omzet en aantal FTE’s, is uitdrukkelijk niet van toepassing op overheidsinstanties.

Organisaties zijn zelf verantwoordelijk voor het bepalen of zij onder de wet vallen. Hulpmiddelen hiervoor zijn de NIS2 zelfevaluatietool en de Flowchart Registratieplicht van het NCSC. Wacht hier niet te lang mee: wie nu al in kaart brengt of hij onder de wet valt, kan tijdig beginnen met de benodigde maatregelen.

Welke beveiligingsmaatregelen verplicht NIS2?

NIS2 verplicht organisaties passende en evenredige technische en organisatorische maatregelen te nemen om de continuïteit van hun dienstverlening te waarborgen en de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te beschermen. De basis voor al deze maatregelen is een gedegen risicobeoordeling.

De minimummaatregelen die de NIS2-richtlijn voorschrijft, omvatten onder meer:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen
  • Maatregelen voor bedrijfscontinuïteit en crisisbeheer
  • Beveiliging van de toeleveringsketen (supply chain security)
  • Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen
  • Beleid en procedures voor gebruik van cryptografie en encryptie
  • Beveiligingsmaatregelen voor personeel en toegangsbeveiliging
  • Gebruik van multi-factorauthenticatie of continue authenticatie

De concrete invulling van deze zorgplicht is gelaagd opgebouwd. De Cyberbeveiligingswet stelt de hoofdlijnen vast, het Cyberbeveiligingsbesluit werkt deze nader uit, en ministeriële regelingen per sector geven sectorspecifieke invulling. Voor overheidsorganisaties geldt de Baseline Informatiebeveiliging Overheid 2 (BIO2) als het normenkader voor de zorgplicht, omdat deze goed aansluit op de risicogebaseerde benadering van de wet.

Organisaties die twijfelen over de volledigheid van hun beveiligingsmaatregelen kunnen baat hebben bij een grondige penetratietest om kwetsbaarheden in kaart te brengen voordat een toezichthouder dat doet.

Wat zijn de meldplichten onder NIS2?

Onder NIS2 zijn organisaties verplicht significante cyberincidenten te melden bij de bevoegde nationale autoriteiten. Een incident is significant als het de continuïteit van de dienstverlening aanzienlijk kan verstoren. De meldprocedure bestaat uit drie verplichte stappen met strikte termijnen.

  1. Vroegtijdige waarschuwing: Eerste melding binnen 24 uur na ontdekking van het incident.
  2. Vervolgmelding: Aanvullende informatie binnen 72 uur na de eerste melding.
  3. Eindverslag: Een gedetailleerde beschrijving van het incident, de ernst en de gevolgen, uiterlijk één maand na de eerste melding.

Meldingen verlopen via het NCSC-portaal, dat ze automatisch doorstuurt naar zowel het eigen CSIRT als de toezichthouder. Zo wordt dubbele melding voorkomen. Voor de publieke sector zijn de verwachte CSIRT’s het NCSC voor de rijksoverheid, de Informatiebeveiligingsdienst (IBD) voor gemeenten en CERT-Watermanagement voor waterschappen.

Factoren die een incident meldingswaardig maken, zijn onder andere het aantal getroffen personen, de duur van de verstoring en de mogelijke financiële schade. De specifieke drempelcriteria worden per sector verder uitgewerkt in ministeriële regelingen. Naast verplichte meldingen kunnen organisaties ook vrijwillig incidenten melden, ook als zij niet onder de Cbw vallen. Vrijwillige meldingen worden niet gedeeld met de toezichthouder.

Wat is de rol van het bestuur bij NIS2-naleving?

De NIS2-richtlijn legt de eindverantwoordelijkheid voor cyberweerbaarheid expliciet bij het bestuur van een organisatie. Bestuurders moeten voldoende kennis hebben om weloverwogen beslissingen te nemen over netwerk- en informatiebeveiliging en zijn verantwoordelijk voor de keuzes die daarin worden gemaakt.

Voor overheidsorganisaties is de politieke leiding aangewezen als “bestuur” in de zin van de Cyberbeveiligingswet. Dat betekent concreet ministers, wethouders en gedeputeerde staten. Dit sluit beter aan bij de Gemeentewet en vergelijkbare wetgeving dan het aanwijzen van ambtelijke leiding.

Naast de verantwoordelijkheid geldt ook een trainingsplicht. Alle leden van het bestuur zijn verplicht een training te volgen. Via deze training leren bestuurders:

  • Beveiligingsrisico’s voor netwerk- en informatiesystemen te identificeren
  • Risicobeheersmaatregelen te beoordelen
  • De gevolgen van risico’s en maatregelen voor de eigen organisatie te beoordelen

Vanaf de inwerkingtreding van de Cyberbeveiligingswet hebben bestuurders maximaal twee jaar om aan deze trainingsplicht te voldoen. Er worden geen eisen gesteld aan de opleider, zodat organisaties de training kunnen afstemmen op hun eigen context en sector.

Wat zijn de boetes bij niet-naleving van NIS2?

Bij niet-naleving van de NIS2-verplichtingen kunnen organisaties aanzienlijke boetes opgelegd krijgen. Essentiële entiteiten riskeren boetes tot maximaal 10 miljoen euro of 2% van hun wereldwijde jaaromzet, waarbij het hoogste bedrag van toepassing is. Belangrijke entiteiten kunnen boetes tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet verwachten.

Naast financiële sancties voor de organisatie kan ook het senior management persoonlijk aansprakelijk worden gesteld bij ernstige overtredingen. Dit maakt cybersecurity nadrukkelijk een boardroomonderwerp. Voor overheidsinstanties geldt een nuance: de NIS2-bepaling over persoonlijke aansprakelijkheid van bestuurders is uitdrukkelijk niet van toepassing op de publieke sector. De Cyberbeveiligingswet brengt voor overheidsbestuurders geen nieuwe aansprakelijkheden met zich mee buiten wat al bestond.

Het toezicht op de naleving wordt voor de meeste overheidsorganisaties uitgeoefend door de Rijksinspectie Digitale Infrastructuur (RDI). Voor waterschappen is dat de Inspectie Leefomgeving en Transport (ILT). De RDI maakt maximaal gebruik van bestaande verantwoordingsstructuren, zoals de ENSIA-methodiek voor gemeenten, om de administratieve lasten te beperken.

Hoe verschilt NIS2 van de oorspronkelijke NIS-richtlijn?

NIS2 is een fundamentele uitbreiding van de oorspronkelijke NIS-richtlijn uit 2016. Waar de eerste NIS-richtlijn een beperkte groep sectoren en organisaties raakte, vergroot NIS2 de reikwijdte aanzienlijk, stelt strengere eisen en introduceert expliciete bestuursverantwoordelijkheid die in de oorspronkelijke richtlijn ontbrak.

De belangrijkste verschillen zijn:

  • Bredere reikwijdte: NIS2 omvat meer sectoren en meer organisatietypen dan de originele richtlijn, waaronder de gehele overheid als aparte categorie.
  • Strengere zorgplicht: De minimummaatregelen zijn concreter en uitgebreider omschreven, met expliciete eisen voor supply chain security, cryptografie en multi-factorauthenticatie.
  • Bestuursverantwoordelijkheid: NIS2 legt voor het eerst expliciet de verantwoordelijkheid bij het bestuur neer en introduceert een verplichte trainingsplicht voor bestuurders.
  • Strengere meldplichten: De termijnen en het driestappenproces voor incidentmelding zijn strakker geregeld dan onder de oorspronkelijke richtlijn.
  • Hogere sancties: De maximale boetes zijn aanzienlijk verhoogd ten opzichte van de eerste NIS-richtlijn.
  • Toezicht: NIS2 schrijft onafhankelijk toezicht voor, met aangewezen toezichthouders per sector.

NIS2 is kortom geen cosmetische update maar een structurele versterking van de Europese cybersecuritywetgeving. De verschuiving van een reactieve naar een proactieve en risicogebaseerde benadering is daarin de rode draad. Voor organisaties die al voldeden aan de eerste NIS-richtlijn betekent dit dat aanvullende inspanning nodig is, met name op het gebied van beleid, governance en supply chain.

Hoe Q-Cyber helpt bij NIS2-compliance

NIS2 stelt hoge eisen aan zowel de technische als de beleidsmatige kant van cybersecurity. Wij bij Q-Cyber begeleiden organisaties door dit volledige traject, van de eerste oriëntatie tot concrete implementatie. Onze aanpak is onafhankelijk, pragmatisch en volledig afgestemd op uw specifieke situatie, zonder binding aan softwarepartijen of andere toeleveranciers.

Wat wij concreet voor u kunnen doen:

  • Gap-analyse: We brengen in kaart waar uw organisatie nu staat ten opzichte van de NIS2-eisen en welke stappen nog gezet moeten worden.
  • Beleidsschrijving: We stellen beleidsdocumenten op die aansluiten bij de zorgplicht, inclusief risicoanalyse, incidentresponsbeleid en supply chain security.
  • Bestuurstrainingen: We verzorgen trainingen voor bestuurders die voldoen aan de trainingsplicht uit de Cyberbeveiligingswet.
  • Technische testing: Via red teaming en penetratietests testen we uw weerbaarheid in de praktijk.
  • Virtuele CISO: Via Continuous-Q® bieden we doorlopende begeleiding door een team van specialisten, zodat cybersecurity een levende capaciteit wordt binnen uw organisatie.

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet in werking treedt. De risico’s zijn er nu al, en wie nu in actie komt, is straks beter voorbereid. Neem contact op en ontdek hoe wij uw organisatie kunnen helpen NIS2-compliant te worden.