Volledige NIS2-Gids 2025

De oorspronkelijke NIS-richtlijn (Netwerk- en Informatiebeveiliging) uit 2016 was de eerste bindende EU-wetgeving op het gebied van cybersecurity. Ze verplichtte lidstaten bevoegde autoriteiten aan te wijzen en minimale beveiligingseisen op te stellen voor aanbieders van essentiële diensten en digitale dienstverleners. Hoewel ze de basis legde voor een gemeenschappelijke aanpak, werden door de ongelijke uitvoering per land aanzienlijke harmonisatietekortkomingen zichtbaar.

Gezien de snelle evolutie van cyberdreigingen en de aanhoudende fragmentatie tussen lidstaten publiceerde de Europese Commissie op 27 december 2022 de NIS2-richtlijn (2022/2555). Deze tekst hervormt het vorige kader grondig: hij vergroot de reikwijdte van betrokken entiteiten aanzienlijk, versterkt de beveiligingsverplichtingen, verzwaart de sancties en verplicht tot intensievere samenwerking tussen nationale autoriteiten. De richtlijn trad op 17 oktober 2024 in werking, de deadline waarop lidstaten de bepalingen in nationaal recht moesten omzetten.

In Nederland is het NCSC-NL (Nationaal Cyber Security Centrum) de bevoegde autoriteit voor de uitvoering van NIS2. De Nederlandse implementatiewet (Wet beveiliging netwerk- en informatiesystemen 2) vormt het wettelijk kader. Het NCSC-NL zal betrokken entiteiten identificeren en individueel informeren. Bedrijven wordt aangeraden alvast hun huidige cyberbeveiligingsstatus te beoordelen en de nodige maatregelen voor te bereiden.

NIS2 onderscheidt twee categorieën van verplichte entiteiten: essentiële entiteiten (EE) en belangrijke entiteiten (BE). Dit onderscheid bepaalt het toezichtsniveau van het NCSC-NL en de toepasselijke sancties. Essentiële entiteiten zijn grote organisaties (meer dan 250 werknemers of meer dan 50 miljoen euro jaaromzet) die actief zijn in de sterk kritieke sectoren van Bijlage I. Belangrijke entiteiten omvatten middelgrote organisaties (meer dan 50 werknemers of meer dan 10 miljoen euro omzet) in de sectoren van Bijlage I of II.

De richtlijn bestrijkt 18 sectoren verdeeld over twee bijlagen. Bijlage I (sterk kritieke sectoren) omvat: energie, transport, bankwezen, financiëlemarktinfrastructuren, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheidsbestuur en ruimtevaart. Bijlage II voegt toe: post- en koerierdiensten, afvalbeheer, vervaardiging en distributie van chemische stoffen, voedselproductie en -distributie, vervaardiging van medische hulpmiddelen en elektronica, digitale aanbieders en onderzoek.

Ook als uw organisatie niet direct tot een gedekte sector behoort, kunt u toch betrokken zijn als u diensten of producten levert aan een essentiële of belangrijke entiteit. NIS2 verplicht in-scope entiteiten immers te waarborgen dat ook hun kritieke leveranciers een adequaat beveiligingsniveau handhaven, in de praktijk via contractuele clausules, beveiligingsvragenlijsten en audits.

Artikel 21 van de NIS2-richtlijn definieert de technische, operationele en organisatorische maatregelen die in-scope entiteiten moeten implementeren. Deze maatregelen moeten evenredig zijn aan het risiconiveau, de omvang van de entiteit en de potentiële gevolgen van incidenten. Er worden acht kernverplichtingen vastgesteld.

Ten eerste governance en verantwoordelijkheid van het management: bestuursorganen moeten cyberbeveiligingsmaatregelen goedkeuren en persoonlijk aansprakelijk zijn bij ernstige overtredingen. Ten tweede risicobeheer: regelmatige risicoanalyses, identificatie van kritieke activa en een gedocumenteerd beveiligingsbeleid. Ten derde beveiliging van de toeleveringsketen: beoordeling en toezicht op kritieke leveranciers via contractuele clausules, vragenlijsten en audits.

Ten vierde incidentbeheer en melding binnen 72 uur: vroege waarschuwing aan het NCSC-NL binnen 24 uur na detectie van een significant incident, volledige melding binnen 72 uur en eindrapport binnen een maand. Ten vijfde bedrijfscontinuïteit: geformaliseerde en regelmatig geteste bedrijfscontinuïteitsplannen (BCP) en herstelplannen (DRP). Ten zesde HR-beveiliging: achtergrondcontroles voor gevoelige functies, cyberbeveiligingstraining en onmiddellijke intrekking van toegang bij vertrek. Ten zevende cryptografie: versleuteling van gevoelige gegevens in transit en in rust, gedocumenteerd sleutelbeheer en certificaatbeheer. Ten achtste toegangscontrole: multi-factor authenticatie (MFA) verplicht voor kritieke systemen en een IAM-beleid op basis van het principe van minimale rechten.

NIS2 stelt een aanzienlijk strenger sanctieregime in dan zijn voorganger. Boetes worden berekend op basis van het hoogste bedrag tussen een vaste bovengrens en een percentage van de wereldwijde jaaromzet, om afschrikkend te werken ongeacht de omvang van de entiteit. Voor essentiële entiteiten bedraagt de maximale boete € 10.000.000 of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten is dit € 7.000.000 of 1,4% van de wereldwijde jaaromzet.

Een belangrijke innovatie ten opzichte van NIS1 is de persoonlijke aansprakelijkheid van senior managers bij ernstige schendingen van cyberbeveiligingsverplichtingen. Lidstaten kunnen individuele sancties opleggen aan natuurlijke personen die leidinggevende functies bekleden bij essentiële entiteiten, tot en met een tijdelijk verbod op het uitoefenen van managementfuncties. Deze bepaling is bedoeld om bestuursorganen direct verantwoordelijk te maken voor het cyberbeveiligingsbeleid.

Het NCSC-NL beschikt over ruime handhavingsbevoegdheden: beveiligingsaudits op locatie en op afstand, informatieverzoeken, nalevingsopdrachten met deadlines en publicatie van overtredingen (name and shame). Voor essentiële entiteiten kunnen audits proactief worden gestart zonder dat er vooraf een incident heeft plaatsgevonden.

NIS2-naleving bereiken is een organisatieproject van meerdere maanden. Het volgende vijfstappenplan is gebaseerd op NCSC-NL-aanbevelingen en ENISA-richtlijnen.

Stap 1 (maanden 1-2) — Activabelasting: identificeer en catalogiseer alle digitale activa (servers, applicaties, netwerkapparatuur, werkstations, cloudtoegang) en classificeer ze op bedrijfskritikaliteit. Stap 2 (maanden 2-3) — Risicobeoordeling: voer een risicoanalyse uit die dreigingen, kwetsbaarheden en potentiële gevolgen voor elk kritiek activum identificeert; het NCSC-NL Cybersecurity Assessment Framework of ISO 27005 zijn geschikte methodieken. Stap 3 (maanden 3-6) — Implementatie van maatregelen: implementeer door uw risicoanalyse geprioriteerde technische en organisatorische maatregelen (MFA, versleuteling, netwerksegmentatie, patchbeheer, back-ups, incidentdetectie) en documenteer elke maatregel.

Stap 4 (maanden 6-9) — Personeelstraining: vergroot het bewustzijn van alle medewerkers over cyberrisico's en goede praktijken; geef IT-teams gerichte training in nieuwe procedures voor incidentdetectie en -melding; betrek senior management bij trainingen over NIS2-governance en aansprakelijkheid. Stap 5 (doorlopend) — Audit en voortdurende verbetering: plan regelmatige interne en externe audits, update uw risicoanalyse minimaal jaarlijks, test uw bedrijfscontinuïteitsplan via crisisoefeningen en houd de documentatie van alle nalevingsactiviteiten actueel.

Verschillende officiële bronnen helpen u NIS2 beter te begrijpen en uw nalevingsproces te starten.

De volledige tekst van Richtlijn (EU) 2022/2555 is beschikbaar op EUR-Lex, het Publicatieblad van de Europese Unie. Het NCSC-NL (ncsc.nl) publiceert praktische handleidingen, zelfbeoordelingstools en actuele informatie over de Nederlandse implementatie van NIS2 via de Wbni 2. Het Nationaal Cybersecurity Centrum werkt nauw samen met sectorale Computer Security Incident Response Teams (CSIRT's) voor sectorspecifiek advies.

Voor risicobeheer biedt het Cybersecurity Assessment Framework van het NCSC-NL een gestructureerde aanpak die aansluit op de NIS2-vereisten. De ISO/IEC 27001-certificering wordt door Nederlandse toezichthouders erkend als bewijs van naleving en vormt een solide basis voor uw NIS2-conformiteitsproject. ENISA biedt aanvullende technische richtlijnen en implementatieaanbevelingen.