NIS2-richtlijn

De NIS2-richtlijn is een Europese richtlijn die de cybersecurityvereisten voor organisaties in kritieke sectoren aanzienlijk aanscherpt en uitbreidt ten opzichte van de oorspronkelijke NIS-richtlijn uit 2016. NIS staat voor Network and Information Security. De richtlijn is eind 2022 vastgesteld door de Europese Unie en wordt in Nederland omgezet naar de Cyberbeveiligingswet. Het doel is om de digitale en economische weerbaarheid van alle EU-lidstaten naar een uniform hoger niveau te tillen en ervoor te zorgen dat organisaties in kritieke sectoren adequate cybersecuritymaatregelen treffen.

Van NIS1 naar NIS2: wat is er veranderd?

De oorspronkelijke NIS-richtlijn had een beperkt toepassingsgebied en liet lidstaten veel ruimte in de implementatie, wat leidde tot grote verschillen in cybersecurityniveaus binnen de EU. NIS2 pakt deze tekortkomingen aan door het toepassingsgebied fors uit te breiden en de eisen te harmoniseren.

Waar NIS1 zich richtte op een beperkt aantal esssentiele dienstverleners en digitale dienstverleners, brengt NIS2 een veel breder scala aan sectoren onder de regelgeving. Naast de bestaande sectoren zoals energie, transport, gezondheidszorg, financien, waterbeheer en digitale infrastructuur, vallen nu ook providers van openbare elektronische communicatie, afval- en afvalwaterbeheer, productie van kritieke producten, post- en koerierdiensten, voedselproductie en -distributie, de ruimtevaartsector en openbaar bestuur onder de richtlijn.

De richtlijn maakt onderscheid tussen esssentiele entiteiten en belangrijke entiteiten. Esssentiele entiteiten zijn grote organisaties in de meest kritieke sectoren en worden onderworpen aan strenger toezicht. Belangrijke entiteiten zijn middelgrote en grote organisaties in de overige sectoren en worden reactief gecontroleerd, doorgaans na een incident of melding.

Kernverplichtingen onder NIS2

De NIS2-richtlijn legt drie hoofdverplichtingen op aan organisaties die onder het toepassingsgebied vallen: een registratieplicht, een zorgplicht en een meldplicht. Elk van deze verplichtingen stelt specifieke eisen waaraan organisaties moeten voldoen.

De registratieplicht vereist dat organisaties zich registreren bij de bevoegde autoriteit. In Nederland komt er een centraal registratieportaal waar organisaties zich kunnen aanmelden. De registratie helpt toezichthouders om een overzicht te krijgen van alle entiteiten die onder de wet vallen en vergemakkelijkt communicatie over dreigingen en incidenten.

De zorgplicht is het meest omvangrijke onderdeel van NIS2. Organisaties moeten een risicobeoordeling uitvoeren en op basis daarvan passende technische en organisatorische maatregelen treffen. De richtlijn noemt specifiek maatregelen op het gebied van risicoanalyse, incidentafhandeling, bedrijfscontinuiteit, supply chain security, beveiligingsbeleid voor netwerk- en informatiesystemen, cryptografie, personeelsbeveiliging, toegangsbeheer en het gebruik van multifactorauthenticatie.

De meldplicht verplicht organisaties om significante incidenten te melden. Een eerste waarschuwing moet binnen 24 uur na het ontdekken van een significant incident worden ingediend bij de toezichthouder en het aangewezen Computer Security Incident Response Team (CSIRT). Binnen 72 uur moet een uitgebreidere incidentmelding volgen, en binnen een maand een eindverslag met de resultaten van het onderzoek en de genomen maatregelen.

Implementatie in Nederland

In Nederland wordt de NIS2-richtlijn omgezet in de Cyberbeveiligingswet. Het wetsvoorstel is in juni 2025 ingediend bij de Tweede Kamer. Hoewel de NIS2-richtlijn sinds oktober 2024 geldig is in de EU, is het Nederland niet gelukt om de richtlijn op tijd om te zetten in nationale wetgeving. De verwachting is dat de Cyberbeveiligingswet in het derde kwartaal van 2025 in werking treedt.

Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) bereiden organisaties voor op de komst van de wet. Zij bieden informatie, zelfevaluatietools en richtlijnen om te bepalen of je organisatie onder de wet valt en welke maatregelen je moet treffen. Het is verstandig om niet te wachten op de formele inwerkingtreding maar nu al te beginnen met voorbereidingen.

De toezichtstructuur onder de Cyberbeveiligingswet wordt sectoraal georganiseerd. Dit betekent dat verschillende toezichthouders verantwoordelijk zijn voor verschillende sectoren. De Rijksinspectie Digitale Infrastructuur (RDI) is aangewezen als toezichthouder voor een aantal sectoren. Andere sectoren vallen onder hun bestaande sectorale toezichthouder, aangevuld met cybersecuritybevoegdheden.

Wie valt er onder NIS2?

De NIS2-richtlijn hanteert een combinatie van sectorale criteria en omvangcriteria om te bepalen welke organisaties eronder vallen. In principe vallen middelgrote en grote organisaties in de aangewezen sectoren onder de richtlijn. Een middelgrote organisatie heeft minimaal 50 werknemers of een jaarlijkse omzet van minimaal 10 miljoen euro.

Sommige organisaties vallen ongeacht hun omvang onder NIS2, zoals aanbieders van DNS-diensten, topleveldomeinnaamregisters, aanbieders van openbare elektronische communicatienetwerken en organisaties die als enige aanbieder van een kritieke dienst fungeren in een lidstaat. Dit voorkomt dat kleine maar kritieke spelers buiten het bereik van de wet vallen.

De richtlijn heeft ook impact op de supply chain. Organisaties die onder NIS2 vallen, moeten de cybersecurityrisico's in hun toeleveringsketen beoordelen en beheersen. Dit betekent dat ook leveranciers en dienstverleners die zelf niet direct onder NIS2 vallen, indirect te maken kunnen krijgen met de eisen als hun klanten contractuele beveiligingseisen stellen.

Sancties en handhaving

NIS2 voorziet in stevige sanctiemogelijkheden voor niet-naleving. Esssentiele entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaarlijkse omzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten gelden boetes tot 7 miljoen euro of 1,4% van de wereldwijde omzet. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld voor het niet naleven van de zorgplicht.

De mogelijkheid van persoonlijke aansprakelijkheid van bestuurders is een van de meest opvallende aspecten van NIS2. Het bestuur moet de cybersecuritymaatregelen goedkeuren, toezien op de naleving ervan en cybersecuritytraining volgen. Het niet voldoen aan deze verplichtingen kan leiden tot tijdelijke schorsing van managementfuncties, wat een sterke prikkel vormt om cybersecurity serieus te nemen op bestuursniveau.

Voorbereiding op NIS2

Begin met een gap-analyse om te bepalen waar je organisatie staat ten opzichte van de NIS2-vereisten. Vergelijk je huidige beveiligingsmaatregelen met de eisen uit de richtlijn en identificeer de gebieden waar verbetering nodig is. Focus hierbij niet alleen op technische maatregelen, maar ook op organisatorische aspecten zoals beleid, procedures en bewustwording.

Stel een risicobeoordelingsproces in als dat er nog niet is. NIS2 vereist dat maatregelen proportioneel zijn aan de risico's. Een gedegen risicoanalyse vormt de basis voor het bepalen van de juiste maatregelen en het prioriteren van investeringen. Overweeg het gebruik van gestandaardiseerde methodieken zoals ISO 27001 als raamwerk voor je informatiebeveiligingsbeleid.

Richt een incident response proces in dat voldoet aan de meldtermijnen van NIS2. De 24-uurs termijn voor de eerste melding vereist dat je organisatie in staat is om incidenten snel te detecteren, te classificeren en te melden. Dit vergt niet alleen technische detectiecapaciteiten maar ook duidelijke procedures en geoefende teams.

Veelgestelde vragen over de NIS2-richtlijn

Wanneer treedt NIS2 in werking in Nederland?

De NIS2-richtlijn is sinds oktober 2024 geldig in de EU. De Nederlandse Cyberbeveiligingswet, die NIS2 implementeert, is in juni 2025 ingediend bij de Tweede Kamer. De verwachting is dat de wet in het derde kwartaal van 2025 in werking treedt. Het is verstandig om nu al te beginnen met voorbereidingen.

Hoe weet je of jouw organisatie onder NIS2 valt?

Check of je organisatie actief is in een van de aangewezen sectoren en of je voldoet aan de omvangcriteria (minimaal 50 medewerkers of 10 miljoen euro omzet). Het Digital Trust Center biedt een zelfevaluatietool om te bepalen of je onder de wet valt.

Wat zijn de boetes voor niet-naleving?

Esssentiele entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde omzet. Belangrijke entiteiten riskeren boetes tot 7 miljoen euro of 1,4% van de omzet. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld.

Moet het bestuur cybersecuritytraining volgen?

Ja, NIS2 vereist dat bestuursleden cybersecuritytraining volgen en de beveiligingsmaatregelen goedkeuren. Het bestuur is eindverantwoordelijk voor de naleving van de zorgplicht en kan persoonlijk aansprakelijk worden gesteld bij niet-naleving.

Wat is het verschil tussen NIS2 en ISO 27001?

NIS2 is wetgeving met verplichtend karakter en sancties bij niet-naleving. ISO 27001 is een vrijwillige certificeringsstandaard. Het implementeren van ISO 27001 kan helpen bij het voldoen aan NIS2-vereisten, maar is op zichzelf niet voldoende om volledige NIS2-compliance te garanderen.

NIS2-compliance realiseren

Het voldoen aan de NIS2-richtlijn vereist een integrale aanpak van cybersecurity. Via het platform vind je GRC-consultants en compliance specialisten die je begeleiden bij de voorbereiding op de Cyberbeveiligingswet en het inrichten van een compliant beveiligingsbeleid.

Bereid je voor op NIS2-compliance met deskundige begeleiding via IBgidsNL.