De cyberbeveiligingseisen van NIS2 verplichten organisaties in kritieke sectoren om aantoonbare maatregelen te nemen op het gebied van risicobeheer, incidentmelding, beveiliging van de toeleveringsketen en bestuurlijke verantwoordelijkheid. De richtlijn is in Nederland omgezet in de Cyberbeveiligingswet (Cbw) en geldt voor zowel essentiële als belangrijke entiteiten. In dit artikel beantwoorden we de meest gestelde vragen over NIS2 in de praktijk: van wie eronder valt tot wat de sancties zijn bij niet-naleving.
Welke organisaties vallen onder de NIS2-verplichtingen?
Organisaties in sectoren die als kritiek worden beschouwd vallen onder de NIS2-verplichtingen, ongeacht of zij publiek of privaat zijn. In Nederland gaat het om ruim 10.000 organisaties die direct onder de richtlijn vallen, en naar schatting 50.000 toeleveranciers die er indirect mee te maken krijgen. De wet maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten, waarbij het verschil zit in de intensiteit van het toezicht.
Overheidsorganisaties vormen een aparte categorie binnen de NIS2. De volgende instanties vallen automatisch onder de wet:
- Ministeries, inclusief hun diensten en agentschappen
- Provincies
- Gemeenten
- Waterschappen
Alle gemeenten, provincies en waterschappen worden aangemerkt als essentiële entiteiten. Voor zelfstandige bestuursorganen (ZBO’s) en gemeenschappelijke regelingen moet per geval worden beoordeeld of zij aan de vier wettelijke criteria voor een overheidsinstantie voldoen. Organisaties zijn overigens zelf verantwoordelijk om te bepalen of zij onder de wet vallen. Hulpmiddelen zoals de NIS2 Zelfevaluatietool via regelhulpenvoorbedrijven.nl en de Flowchart Registratieplicht van het NCSC helpen daarbij. Er geldt een uitzondering voor instanties die hoofdzakelijk actief zijn op het gebied van nationale veiligheid, defensie of rechtshandhaving, zoals de AIVD, MIVD en de politie.
Welke technische maatregelen schrijft NIS2 concreet voor?
NIS2 schrijft voor dat organisaties een breed pakket aan technische en organisatorische maatregelen implementeren om hun netwerk- en informatiesystemen te beveiligen. De richtlijn werkt met een risicogebaseerde aanpak: maatregelen moeten proportioneel zijn aan de risico’s die een organisatie loopt. Er is geen vaste checklist, maar de wet benoemt een aantal concrete aandachtsgebieden.
De voornaamste verplichte maatregelen omvatten:
- Beleid voor informatiebeveiliging en risicobeheer, inclusief documentatie en periodieke evaluatie
- Toegangsbeheer en authenticatie, waaronder meerfactorauthenticatie waar van toepassing
- Cryptografie voor de bescherming van gevoelige data in transit en in rust
- Beveiliging van de toeleveringsketen, inclusief afspraken met leveranciers over hun beveiligingsniveau
- Bedrijfscontinuïteit en herstelplannen bij verstoringen
- Patchbeheer en kwetsbaarheidsbeheer om bekende zwakheden tijdig te verhelpen
- Bewustwording en training van medewerkers
De wet vereist dat cybersecurity structureel is ingebed in beleid, processen en bestuur. Een penetratietest kan helpen om technische kwetsbaarheden bloot te leggen voordat aanvallers dat doen. Het gaat bij NIS2 niet om eenmalige maatregelen, maar om een levend systeem van beveiliging dat continu wordt bijgehouden en verbeterd.
Wat zijn de meldplichtregels bij een cyberincident onder NIS2?
Onder NIS2 zijn organisaties verplicht significante cyberincidenten te melden bij de bevoegde autoriteiten. Een incident is significant als het de continuïteit van de dienstverlening aanzienlijk kan verstoren, rekening houdend met factoren zoals het aantal getroffen personen, de duur van de verstoring en de mogelijke financiële schade. De meldprocedure bestaat uit drie stappen:
- Vroegtijdige waarschuwing: binnen 24 uur na ontdekking van het incident
- Eerste melding: een meer gedetailleerde melding, eveneens binnen 24 uur
- Eindrapportage: een volledige beoordeling van het incident na afhandeling
Meldingen verlopen via het NCSC-portaal. Dit portaal stuurt de melding automatisch door naar zowel het eigen CSIRT (Computer Security Incident Response Team) als de toezichthouder, zodat dubbele melding wordt voorkomen. De specifieke drempelcriteria voor wat een incident meldingswaardig maakt, worden per sector uitgewerkt in ministeriële regelingen. Een goed incident response-beleid is daarom geen luxe maar een vereiste.
Hoe verschilt NIS2 van de oorspronkelijke NIS-richtlijn?
NIS2 is een fundamentele uitbreiding van de oorspronkelijke NIS-richtlijn uit 2016, niet slechts een update. De eerste NIS-richtlijn legde een basisniveau van beveiliging vast voor een beperkt aantal sectoren. NIS2 vergroot het toepassingsgebied aanzienlijk, stelt strengere eisen en introduceert persoonlijke aansprakelijkheid voor bestuurders.
De belangrijkste verschillen zijn:
- Breder toepassingsgebied: NIS2 omvat meer sectoren, waaronder levensmiddelen, afvalwater, ruimtevaart en digitale infrastructuur
- Strengere beveiligingseisen: expliciete vereisten voor supply chain-beveiliging, cryptografie en toegangsbeheer
- Bestuurlijke verantwoordelijkheid: het management is persoonlijk verantwoordelijk en verplicht trainingen te volgen
- Harmonisatie: NIS2 streeft naar meer eenheid in implementatie tussen EU-lidstaten
- Hogere boetes: significante sancties bij niet-naleving, ook voor individuele bestuurders
Waar de oorspronkelijke richtlijn nog veel ruimte liet aan lidstaten voor interpretatie, dwingt NIS2 een meer uniforme aanpak af. Dit maakt de wet ook voor grensoverschrijdend opererende organisaties relevanter dan ooit.
Wie is verantwoordelijk voor NIS2-naleving binnen een organisatie?
De eindverantwoordelijkheid voor NIS2-naleving ligt bij het bestuur van de organisatie. NIS2 maakt cybersecurity expliciet tot een boardroomkwestie: bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij ernstige overtredingen en zijn verplicht een training te volgen over cyberbeveiligingsrisico’s.
Via die verplichte training leren bestuurders:
- Beveiligingsrisico’s voor netwerk- en informatiesystemen te identificeren
- Risicobeheersmaatregelen te beoordelen op effectiviteit
- De gevolgen van risico’s en maatregelen voor de organisatie te wegen
Vanaf de inwerkingtreding van de Cyberbeveiligingswet hebben bestuurders maximaal twee jaar om aan deze trainingsplicht te voldoen. Er worden geen eisen gesteld aan de opleider, zodat de training kan worden afgestemd op de eigen organisatiecontext. In de praktijk betekent dit dat organisaties een interne eigenaar moeten aanwijzen voor de NIS2-implementatie, bijvoorbeeld een CISO of een functionaris die daarvoor verantwoordelijk is. Een virtuele CISO kan die rol invullen voor organisaties die geen eigen CISO in dienst hebben.
Wat zijn de boetes en sancties bij niet-naleving van NIS2?
Bij niet-naleving van de NIS2-verplichtingen kunnen organisaties aanzienlijke boetes krijgen. Essentiële entiteiten riskeren boetes tot maximaal 10 miljoen euro of 2% van hun wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.
Naast financiële sancties kunnen toezichthouders ook andere maatregelen opleggen, zoals:
- Bindende instructies om specifieke maatregelen te treffen
- Tijdelijke schorsing van diensten of activiteiten
- Publicatie van de overtreding (naming and shaming)
Bestuurders kunnen bovendien persoonlijk aansprakelijk worden gesteld bij grove nalatigheid. De Cyberbeveiligingswet brengt op dit punt geen nieuwe aansprakelijkheden met zich mee die niet al bestonden, maar maakt de toepassing ervan in de cybersecuritycontext explicieter. In Nederland is de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als toezichthouder voor de overheidssector, met uitzondering van waterschappen, waarvoor de Inspectie Leefomgeving en Transport (ILT) die rol vervult. Voor gemeenten sluit het toezicht aan bij de bestaande ENSIA-methodiek, om de administratieve last te beperken.
Hoe Q-Cyber helpt met NIS2-compliance
NIS2-naleving vraagt om meer dan een technische checklist. Het vereist een combinatie van beleidsvorming, technische maatregelen en bestuurlijk bewustzijn. Wij begeleiden organisaties door het volledige NIS2-traject, van eerste oriëntatie tot aantoonbare compliance.
Wat wij concreet bieden:
- Gap-analyse: we brengen in kaart waar uw organisatie nu staat ten opzichte van de NIS2-eisen
- Beleidsschrijving op maat: we stellen het benodigde informatiebeveiligingsbeleid op, afgestemd op uw risicoprofiel
- Bestuurderstraining: we verzorgen de verplichte training voor uw management, inclusief praktische toepassingen
- Technische toetsing: via red teaming en vulnerability scans testen we of uw technische maatregelen standhouden
- Virtuele CISO: voor organisaties zonder eigen CISO bieden we continue begeleiding via ons team van specialisten
- Onafhankelijk advies: we zijn niet gebonden aan softwarepartijen of leveranciers, zodat ons advies altijd in uw belang is
De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet volledig in werking treedt. De risico’s zijn er nu al. Wilt u weten waar uw organisatie staat en welke stappen nodig zijn? Neem contact met ons op voor een vrijblijvend gesprek.