Wat is NIS2? Alles wat uw organisatie moet weten

De NIS2-richtlijn (Richtlijn (EU) 2022/2555) is de meest uitgebreide cyberbeveiligingswet van de Europese Unie tot nu toe. Het vervangt de oorspronkelijke NIS-richtlijn (2016) en breidt zowel de reikwijdte als de verplichtingen aanzienlijk uit voor organisaties die essentiële of belangrijke diensten leveren.

Kortom: NIS2 stelt basisvereisten voor cyberbeveiliging en incidentrapportage vast voor een breed scala aan sectoren — van energie en gezondheidszorg tot financiën, productie en digitale infrastructuur. Naleving is niet optioneel; boetes voor overtredingen kunnen oplopen tot €10 miljoen of 2% van de wereldwijde omzet, afhankelijk van welk bedrag hoger is.

1. Achtergrond: Waarom NIS2 bestaat

De oorspronkelijke NIS-richtlijn van 2016 was de eerste poging van de EU om de cyberbeveiligingseisen in alle lidstaten te harmoniseren. Hoewel de coördinatie verbeterde, had de richtlijn belangrijke zwakke punten:

  • Beperkte reikwijdte – Er werden te weinig sectoren gedekt, waardoor veel kritieke industrieën buiten het bereik vielen.
  • Inconsistente handhaving – Verschillende lidstaten hanteerden sterk uiteenlopende eisen.
  • Evoluerende dreigingen – Ransomware, supply chain-aanvallen en door staten gesponsorde cyberoperaties zijn geavanceerder geworden.

Spraakmakende incidenten zoals de Colonial Pipeline-aanval in de VS, ransomware in Duitse ziekenhuizen en supply chain-inbreuken zoals SolarWinds maakten duidelijk dat kritieke sectoren in heel Europa behoefte hadden aan sterkere, uniforme bescherming.

2. Wie moet voldoen aan NIS2?

Onder NIS2 worden organisaties gecategoriseerd als:

CategorieVoorbeeldenToezichtbenaderingPlafond boete
Essentiële EntiteitenElektriciteitsnetbeheerders, grote ziekenhuizen, belangrijke transportknooppunten, centrale bankenProactieve audits, streng toezicht€10 mln of 2% van wereldwijde omzet
Belangrijke EntiteitenCloudhostingproviders, fabrikanten van medische hulpmiddelen, voedselproductiebedrijven, toeleveranciers in de maakindustrieReactief toezicht (na incidenten of klachten)€7 mln of 1,4% van wereldwijde omzet

Groottedrempel: Van toepassing op middelgrote en grote ondernemingen (50+ werknemers of €10 mln+ omzet), maar micro-ondernemingen kunnen er toch onder vallen als hun diensten kritiek zijn — bijvoorbeeld een waterzuiveringsleverancier met 20 werknemers in een landelijke regio.

3. Gedekte sectoren

NIS2 is van toepassing op 18 sectoren, verdeeld in zeer kritieke en andere kritieke sectoren.

Zeer kritieke sectoren zijn onder meer:

  • Energie (elektriciteit, gas, olie, waterstof)
  • Vervoer (lucht, spoor, water, weg)
  • Bankwezen & Financiële marktinfrastructuur
  • Gezondheid (ziekenhuizen, privéklinieken, laboratoria)
  • Drinkwater en afvalwater
  • Digitale infrastructuur (DNS, TLD-registers, datacenters, cloudcomputing)

Andere kritieke sectoren zijn onder meer:

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Productie van chemische stoffen
  • Voedselproductie, -verwerking en -distributie
  • Productie van kritieke producten (medische hulpmiddelen, elektronica, machines)

Voorbeeld: Een Nederlands bedrijf dat medische zuurstof produceert, valt onder de regels voor zowel de maakindustrie als de toeleveringsketen in de gezondheidszorg.

4. Belangrijkste vereisten van NIS2

Elke entiteit die onder de richtlijn valt, moet:

  1. Robuuste risicobeheersmaatregelen implementeren
    Voorbeelden zijn: het scheiden van operationele netwerken van bedrijfs-IT, het afdwingen van strikt beleid voor wachtwoordroulatie, het versleutelen van data-at-rest en het toepassen van zero-trust-principes.
  2. Belangrijke incidenten snel melden
    • Eerste melding binnen 24 uur na kennisneming
    • Incidentupdate binnen 72 uur
    • Eindrapport binnen één maand
      Voorbeeld: Als een ransomware-aanval de activiteiten bij een logistiek knooppunt lamlegt, moet het eerste rapport naar de nationale autoriteit worden gestuurd voordat het herstel is voltooid.
  3. Supply chain-risico’s beheren
    • Leveranciers en contractanten doorlichten
    • Cyberbeveiligingsclausules opnemen in contracten
    • Regelmatige nalevingsverklaringen eisen
  4. Toezicht op bestuursniveau waarborgen
    Het senior management moet cyberbeveiligingsmaatregelen goedkeuren en kan persoonlijk aansprakelijk worden gesteld voor nalatigheid.
  5. Klaar zijn voor audits
    Toezichthoudende autoriteiten kunnen op elk moment toegangslogboeken, beveiligingsbeleid en incidentdocumentatie opvragen.

5. Gedetailleerde workflow voor incidentrapportage

Om de strikte rapportagetermijnen te halen, moeten bedrijven een gestructureerd proces volgen:

Stap 1 – Detectie: Incident wordt gedetecteerd door monitoringtools of personeel.
Stap 2 – Eerste beoordeling: Bevestig de omvang, impact en of het voldoet aan de drempel van een “belangrijk incident”.
Stap 3 – Eerste melding: Stuur binnen 24 uur een eerste rapport naar de bevoegde nationale autoriteit (bijv. BSI in Duitsland, ANSSI in Frankrijk).
Stap 4 – Indamming & Herstel: Isoleer de getroffen systemen, begin met herstel.
Stap 5 – Update rapport: Geef binnen 72 uur details over de oorzaak, mitigatiestappen en mogelijke grensoverschrijdende impact.
Stap 6 – Eindrapport: Dien binnen één maand de volledige forensische bevindingen en verbetermaatregelen in.

Pro-tip: Geautomatiseerde incidentsjablonen, zoals die in GetNistra, verkorten de rapportagetijd drastisch.

6. Nalevingstermijnen per land

Hoewel de EU-deadline voor omzetting 17 oktober 2024 was, heeft elk land zijn eigen handhavingskader:

  • Duitsland – Geïmplementeerd via de IT-Sicherheitsgesetz 3.0 (IT-SiG 3.0); onder toezicht van BSI; eerste audits verwacht begin 2025.
  • Frankrijk – Nationale decreten onder ANSSI; sectorspecifieke richtlijnen gepubliceerd in 2024; inspecties starten Q4 2025.
  • Italië – Wetsdecreet nr. 138/2024; onder toezicht van ACN; gefaseerde implementatie, risicobeoordelingen verwacht medio 2025.
  • Nederland – Wet beveiliging netwerk- en informatiesystemen bijgewerkt; gehandhaafd door NCSC-NL; nalevingscontroles vanaf eind 2025.

7. Veelvoorkomende uitdagingen bij naleving

  • Bewustzijn op bestuursniveau – Veel directieleden zien cyberbeveiliging nog steeds puur als een IT-kwestie.
  • Complexiteit van de toeleveringsketen – MKB-bedrijven kunnen afhankelijk zijn van tientallen kleine leveranciers.
  • Paraatheid voor incidenten – Zonder automatisering is een 24-uursrapportage moeilijk.
  • Grensoverschrijdende activiteiten – Verschillende toezichthoudende autoriteiten kunnen verschillende formaten vereisen.

8. NIS2 vs. ISO 27001: Hoe ze zich verhouden

NIS2-vereisteISO 27001-equivalent
RisicobeheersmaatregelenAnnex A-controles
IncidentrapportageA.16 (Incidentenbeheer)
Beveiliging van de toeleveringsketenA.15 (Leveranciersrelaties)
Verantwoordelijkheid op bestuursniveauLeiderschapsclausules
AuditgereedheidISMS-monitoring & -beoordeling

Belangrijkste conclusie: ISO 27001-certificering is een sterke basis, maar geen garantie voor NIS2-naleving.

9. Misvattingen over NIS2

  1. “Alleen grote bedrijven worden getroffen” – Onjuist. Kleinere entiteiten in kritieke toeleveringsketens kunnen er ook onder vallen.
  2. “Het is slechts een IT-project” – Fout. Het is een organisatiebrede governance-eis.
  3. “Als we ISO 27001 hebben, zijn we al compliant” – Niet noodzakelijkerwijs; NIS2 voegt eisen toe voor incidentrapportage en bestuursverantwoordelijkheid.
  4. “We kunnen wachten tot de handhaving begint” – Gevaarlijk; sommige maatregelen hebben maanden nodig om te implementeren.

10. Integratie met andere EU-regelgeving

NIS2 overlapt met verschillende andere verordeningen:

  • AVG (GDPR) – Verplichtingen voor incidentrapportage kunnen overlappen, maar NIS2 richt zich op systeembeveiliging, niet op persoonsgegevens.
  • DORA – Van toepassing op de financiële sector, met aanvullende regels voor ICT-veerkracht.
  • CER-richtlijn – Dekt de fysieke veerkracht van kritieke entiteiten, vaak naast NIS2-maatregelen.

Een geïntegreerde aanpak voor naleving vermindert dubbel werk.

11. Boetes voor niet-naleving

  • Essentiële Entiteiten – tot €10 mln of 2% van de wereldwijde omzet
  • Belangrijke Entiteiten – tot €7 mln of 1,4% van de wereldwijde omzet
  • Mogelijke bestuursverboden, openbaarmaking van overtredingen en contractuele uitsluiting van openbare aanbestedingen.

12. Wereldwijde context

NIS2 maakt deel uit van een wereldwijde trend naar strengere cyberbeveiligingsregelgeving:

  • Verenigde Staten – CISA-richtlijnen vereisen rapportage voor kritieke infrastructuur binnen 72 uur.
  • Verenigd Koninkrijk – NCSC houdt toezicht op vergelijkbare regels voor exploitanten van essentiële diensten.

Dit maakt NIS2-naleving niet alleen een wettelijke verplichting, maar ook een voordeel voor de internationale concurrentiepositie.

13. Praktische stappen om vandaag te beginnen

  1. Identificeer of uw organisatie wordt geclassificeerd als Essentieel of Belangrijk.
  2. Breng uw huidige controles in kaart ten opzichte van de NIS2-vereisten.
  3. Stel een incidentrespons-proces op dat kan voldoen aan de 24-uursdeadline.
  4. Controleer contracten op cyberbeveiligingsverplichtingen voor leveranciers.
  5. Plan briefings op bestuursniveau over persoonlijke aansprakelijkheid.

14. Veelgestelde vragen (FAQ’s)

V: Is NIS2 van toepassing op kleine bedrijven?
Ja, als ze kritieke diensten of producten leveren in een gedekte toeleveringsketen.

V: Hoe snel moeten we beginnen met voorbereiden?
Onmiddellijk — audits kunnen met weinig aankondiging plaatsvinden zodra de richtlijn wordt gehandhaafd.

V: Kunnen we naleving uitbesteden?
U kunt processen uitbesteden, maar niet de verantwoordelijkheid.

15. Hoe GetNistra u helpt sneller te voldoen

Handmatige naleving is kostbaar en tijdrovend. Het AI-gestuurde platform van GetNistra automatiseert tot 70% van het proces:

  • Gap-analyse ten opzichte van NIS2- en ISO 27001-controles.
  • Geautomatiseerde beleidsgeneratie, afgestemd op uw sector en omvang.
  • Sjablonen voor incidentrapportage die zijn afgestemd op de ENISA-richtlijnen.
  • Risicomonitoring van leveranciers in uw hele toeleveringsketen.

→ Vraag vandaag nog uw gratis AI-gegenereerde NIS2-roadmap aan en zie hoe snel u nalevingshiaten kunt dichten.

Referenties:
Richtlijn (EU) 2022/2555 – Officiële tekst
ENISA – NIS2-richtlijnen
BSI – Duitse IT-beveiligingswet
ANSSI – Implementatie van NIS2 in Frankrijk
ACN – Agenzia per la Cybersicurezza Nazionale
NCSC-NL – NIS2-richtlijnen

Related Posts