NIS2-gids

Wat is NIS2 en wat betekent het voor u?

De NIS2-richtlijn (Network and Information Security 2) is de bijgewerkte cybersecuritywetgeving van de EU, ter vervanging van de oorspronkelijke NIS-richtlijn uit 2016. Het breidt het toepassingsgebied aanzienlijk uit voor organisaties die cybersecuritymaatregelen moeten implementeren en incidenten moeten melden.

NIS2 is van toepassing op middelgrote en grote organisaties in 18 kritieke sectoren. Het introduceert verplichte beveiligingsvereisten op basis van Artikel 21, die alles bestrijken van risicoanalyse en incidentafhandeling tot supply chain security en encryptie.

Bij niet-naleving dreigen aanzienlijke boetes en, cruciaal, NIS2 maakt bestuurders persoonlijk verantwoordelijk voor het waarborgen dat cybersecuritymaatregelen worden geïmplementeerd.

🇳🇱 Nederlandse context

Nederland zet NIS2 om in de Cyberbeveiligingswet (Cbw), met als streefdatum 1 juli 2026 voor inwerkingtreding. Het wetsvoorstel wordt momenteel behandeld in de Tweede Kamer. De Rijksinspectie Digitale Infrastructuur (RDI) wordt de primaire toezichthouder. Belangrijke data: 1 juli 2026 (Cbw in werking), 1 januari 2027 (basisnaleving vereist), 1 juli 2027 (eerste rapportagedeadline). Let op: gefaseerde handhaving is waarschijnlijk — verschillende bepalingen kunnen op verschillende momenten in werking treden, en een verkorte overgangsperiode wordt verwacht gezien de aanzienlijke vertraging ten opzichte van de oorspronkelijke deadline van oktober 2024. Ga niet uit van een lange overgangsperiode.

Belangrijkste wijzigingen ten opzichte van het vorige regime

  • De Cbw vervangt de Wet beveiliging netwerk- en informatiesystemen (Wbni) met een aanzienlijk breder toepassingsgebied
  • Naar schatting 8.000 Nederlandse organisaties vallen onder NIS2, vergeleken met ~350 onder de Wbni
  • Bestuursorganen zijn persoonlijk aansprakelijk voor het waarborgen van compliance (Art. 20)
  • Boetes tot €10 miljoen of 2% van de wereldwijde omzet voor essentiële entiteiten, €7 miljoen of 1,4% voor belangrijke entiteiten
  • Verplichte incidentmelding aan het NCSC binnen 24 uur (vroegtijdige waarschuwing) en 72 uur (volledige melding)

De 10 NIS2-beveiligingsvereisten

Artikel 21 van NIS2 definieert 10 gebieden van cybersecuritymaatregelen die organisaties moeten implementeren.

a

Risicoanalyse en informatiebeveiligingsbeleid

Hoge prioriteit

NIS2 vereist dat organisaties gedocumenteerd beleid voor risicoanalyse en beveiliging van informatiesystemen opstellen en onderhouden. Het senior management moet dit beleid goedkeuren en actief verantwoordelijkheid nemen voor cybersecurity-risicobeheer.

Aanbevolen acties
  • Stel een informatiebeveiligingsbeleid op en formaliseer dit in lijn met ISO 27001 of een nationaal raamwerk
  • Stel een risicobeoordelingsmethodologie vast en voer een initiële beoordeling uit
  • Maak een risicoregister met behandelbeslissingen en toegewezen eigenaren
  • Stel een jaarlijks schema voor beleidsherziening op met gedefinieerd eigenaarschap
  • Implementeer regelmatige cybersecurityrapportage aan het bestuursorgaan
b

Incidentafhandeling

Hoge prioriteit

Organisaties moeten gedocumenteerde incident response procedures hebben met duidelijke rollen, 24/7 detectiecapaciteit en de mogelijkheid om het relevante CSIRT te informeren binnen NIS2-termijnen (24u vroegtijdige waarschuwing, 72u volledige melding, 1 maand eindrapport).

Aanbevolen acties
  • Ontwikkel een incident response plan dat detectie, triage, inperking, uitroeiing en herstel omvat
  • Definieer een incident response team met benoemde rollen en escalatieprocedures
  • Implementeer continue monitoring via een SIEM of managed detection service
  • Plan jaarlijkse tabletop exercises en documenteer geleerde lessen
  • Stel vooraf CSIRT-meldingstemplates op afgestemd op NIS2-termijnen
c

Bedrijfscontinuïteit en crisisbeheer

Hoge prioriteit

Organisaties moeten bedrijfscontinuïteits- en disaster recovery plannen onderhouden, waarborgen dat kritieke systemen worden geback-upt met geteste herstelprocedures, en een crisismanagementraamwerk hebben met duidelijke beslissingsbevoegdheid.

Aanbevolen acties
  • Ontwikkel een bedrijfscontinuïteitsplan (BCP) en IT disaster recovery plan (DRP)
  • Voer een business impact analyse uit om kritieke functies en afhankelijkheden te identificeren
  • Implementeer geautomatiseerde back-ups met externe opslag en kwartaalhersteltesten
  • Plan jaarlijkse BCP/DRP-tests inclusief failover-drills
  • Stel een crisismanagementteam in met gedefinieerde bevoegdheidsniveaus en communicatietemplates
d

Supply chain security

Gemiddelde prioriteit

NIS2 vereist dat organisaties beveiligingsrisico's vanuit hun supply chain beheren, inclusief het bijhouden van leveranciersinventarissen, het opnemen van cybersecurityvereisten in contracten en het uitvoeren van due diligence-beoordelingen.

Aanbevolen acties
  • Maak en onderhoud een leveranciersregister geclassificeerd op kritikaliteit
  • Actualiseer leverancierscontracten met cybersecurityclausules, datalekmelding en auditrechten
  • Implementeer een leveranciersbeveiligingsbeoordelingsproces met gestandaardiseerde vragenlijsten
  • Stel doorlopende leveranciersmonitoring en dreigingsinformatietracking in
  • Ontwikkel noodplannen voor uitval van kritieke leveranciers
e

Beveiliging van netwerk- en informatiesystemen

Hoge prioriteit

Beveiligingsvereisten moeten worden geïntegreerd in de verwerving, ontwikkeling en het onderhoud van systemen. Organisaties hebben vulnerability management programma's, veilige ontwikkelpraktijken en beleid voor gecoördineerde kwetsbaarheidsmeldingen nodig.

Aanbevolen acties
  • Integreer beveiligingsvereisten in inkoop- en SDLC-processen
  • Implementeer vulnerability scanning tools met gedefinieerde patch management SLA's
  • Adopteer een secure SDLC-framework met beveiligingsactiviteiten in elke ontwikkelfase
  • Maak en publiceer een vulnerability disclosure beleid (security.txt)
  • Pas CIS Benchmarks of gelijkwaardige hardeningsgidsen toe op alle systemen
f

Effectiviteitsbeoordeling

Gemiddelde prioriteit

Organisaties moeten beleid en procedures hebben om de effectiviteit van hun cybersecuritymaatregelen te meten en beoordelen, inclusief regelmatige audits, penetratietesten en een continue verbeteringscyclus.

Aanbevolen acties
  • Definieer cybersecurity-KPI's en implementeer meetdashboards
  • Plan jaarlijkse cybersecurityaudits (intern of extern)
  • Schakel gekwalificeerde penetratietesters in voor jaarlijkse beoordelingen van kritieke systemen
  • Implementeer een bevindingstracker met eigenaren, deadlines en managementrapportage
  • Stel een formeel lessons-learned proces in na incidenten, audits en testen
g

Cyberhygiëne en training

Gemiddelde prioriteit

Alle medewerkers moeten cybersecurity-bewustzijnstraining ontvangen. NIS2 Artikel 20 vereist expliciet dat leden van het bestuursorgaan cybersecuritytraining volgen. Organisaties moeten ook phishing-simulaties uitvoeren en basale cyberhygiëne afdwingen.

Aanbevolen acties
  • Implementeer een cybersecurity-bewustzijnstrainingsprogramma met jaarlijkse opfriscursussen
  • Bied op maat gemaakte training voor leden van het bestuursorgaan (NIS2 Art. 20 vereiste)
  • Voer minimaal per kwartaal phishing-simulaties uit
  • Definieer en dwing een cyberhygiënebeleid af met technische maatregelen
  • Bied rolgebaseerde beveiligingstraining aan medewerkers in kritieke posities
h

Cryptografie en encryptie

Gemiddelde prioriteit

Organisaties moeten beleid hebben voor het gebruik van cryptografie, gegevens at rest en in transit versleutelen, cryptografische sleutels veilig beheren en verouderde algoritmen uitfaseren.

Aanbevolen acties
  • Stel een cryptografiebeleid op met goedgekeurde en verboden algoritmen
  • Schakel encryptie at rest in met AES-256 voor alle gevoelige gegevensopslagen
  • Dwing TLS 1.2+ af op alle extern gerichte diensten
  • Implementeer een sleutelbeheeroplossing met gedefinieerde levenscyclusprocedures
  • Audit alle systemen op verouderde algoritmen en maak een migratieplan
i

HR-beveiliging, toegangsbeheer en assetmanagement

Gemiddelde prioriteit

NIS2 vereist een volledige IT-asset-inventaris, rolgebaseerd toegangsbeheer met least privilege, regelmatige toegangsreviews en formele onboarding-/offboardingprocedures met passende antecedentenonderzoeken.

Aanbevolen acties
  • Implementeer een asset-inventaris die alle hardware, software en data-assets omvat
  • Beoordeel en implementeer role-based access control (RBAC) met least privilege
  • Voer periodieke toegangsreviews uit (per kwartaal voor geprivilegieerd, halfjaarlijks voor standaard)
  • Definieer welke rollen antecedentenonderzoeken vereisen en integreer deze in het wervingsproces
  • Documenteer onboarding- en offboardingchecklists met geautomatiseerde deprovisioning
j

Multi-factor authenticatie en beveiligde communicatie

Hoge prioriteit

MFA moet worden afgedwongen voor alle kritieke systemen, beheerdersaccounts en externe toegang. Organisaties hebben beveiligde communicatiekanalen en een out-of-band noodcommunicatiesysteem nodig voor cyberincidenten.

Aanbevolen acties
  • Implementeer MFA op alle kritieke systemen, met prioriteit voor phishing-resistente methoden (FIDO2)
  • Schakel MFA in op alle externe toegangspunten (VPN, cloud, remote desktop)
  • Implementeer end-to-end versleutelde oplossingen voor gevoelige communicatie
  • Richt een out-of-band noodcommunicatiekanaal in
  • Beoordeel authenticatiemechanismen jaarlijks ten opzichte van actuele dreigingen

Volgende stappen

Toepasselijkheid controleren Start de assessment