1. Wat is NIS2?
De NIS2-richtlijn (2022/2555), van kracht sinds 17 oktober 2024 (Artikel 41, Richtlijn 2022/2555), breidt de cyberbeveiligingsverplichtingen uit naar meer dan 160.000 entiteiten in 18 sectoren in de EU. Ze vervangt NIS1 met boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.
De oorspronkelijke NIS-richtlijn (Netwerk- en Informatiebeveiliging) uit 2016 was de eerste bindende EU-wetgeving op het gebied van cybersecurity. Ze verplichtte lidstaten bevoegde autoriteiten aan te wijzen en minimale beveiligingseisen op te stellen voor aanbieders van essentiële diensten en digitale dienstverleners. Hoewel ze de basis legde voor een gemeenschappelijke aanpak, werden door de ongelijke uitvoering per land aanzienlijke harmonisatietekortkomingen zichtbaar.
Gezien de snelle evolutie van cyberdreigingen en de aanhoudende fragmentatie tussen lidstaten publiceerde de Europese Commissie op 27 december 2022 de NIS2-richtlijn (2022/2555). Deze tekst hervormt het vorige kader grondig: hij vergroot de reikwijdte van betrokken entiteiten aanzienlijk — meer dan 160.000 entiteiten (Artikel 2, Richtlijn 2022/2555) —, versterkt de beveiligingsverplichtingen, verzwaart de sancties en verplicht tot intensievere samenwerking tussen nationale autoriteiten. De richtlijn trad op 17 oktober 2024 (Artikel 41, Richtlijn 2022/2555) in werking, de deadline waarop lidstaten de bepalingen in nationaal recht moesten omzetten.
In Nederland is het NCSC-NL (Nationaal Cyber Security Centrum) de bevoegde autoriteit voor de uitvoering van NIS2. De Nederlandse implementatiewet (Wet beveiliging netwerk- en informatiesystemen 2) vormt het wettelijk kader. Het NCSC-NL zal betrokken entiteiten identificeren en individueel informeren. Bedrijven wordt aangeraden alvast hun huidige cyberbeveiligingsstatus te beoordelen en de nodige maatregelen voor te bereiden.
2. Wie is betrokken?
NIS2 classificeert organisaties in essentiële entiteiten (meer dan 250 werknemers of 50 miljoen euro omzet) en belangrijke entiteiten (meer dan 50 werknemers of 10 miljoen euro omzet) in 18 sectoren van Bijlagen I en II van Richtlijn 2022/2555, waaronder energie, gezondheidszorg, transport en digitale infrastructuur.
Essentiële vs belangrijke entiteiten
NIS2 onderscheidt twee categorieën van verplichte entiteiten: essentiële entiteiten (EE) en belangrijke entiteiten (BE). Dit onderscheid bepaalt het toezichtsniveau van het NCSC-NL en de toepasselijke sancties. Essentiële entiteiten zijn grote organisaties (meer dan 250 werknemers of meer dan 50 miljoen euro jaaromzet) (Artikel 2, Richtlijn 2022/2555) die actief zijn in de sterk kritieke sectoren van Bijlage I. Belangrijke entiteiten omvatten middelgrote organisaties (meer dan 50 werknemers of meer dan 10 miljoen euro omzet) (Artikel 2, Richtlijn 2022/2555) in de sectoren van Bijlage I of II.
Groottecriteria
Om te bepalen of uw organisatie kwalificeert als essentiële of belangrijke entiteit gelden twee criteria: het aantal werknemers en de jaaromzet. Een organisatie wordt als groot beschouwd (drempel essentiële entiteit) als zij meer dan 250 werknemers of meer dan 50 miljoen euro omzet heeft (Artikel 2, Richtlijn 2022/2555). Zij wordt als middelgroot beschouwd (drempel belangrijke entiteit) als zij meer dan 50 werknemers of meer dan 10 miljoen euro omzet heeft (Artikel 2, Richtlijn 2022/2555). Deze drempels worden beoordeeld op het niveau van de rechtspersoon, niet van de groep.
De 18 gedekte sectoren
De richtlijn bestrijkt 18 sectoren (Bijlagen I en II, Richtlijn 2022/2555) verdeeld over twee bijlagen. Bijlage I omvat 11 sterk kritieke sectoren: energie — transport — bankwezen — financiëlemarktinfrastructuren — gezondheidszorg — drinkwater — afvalwater — digitale infrastructuur — beheer van ICT-diensten — overheidsbestuur — ruimtevaart. Bijlage II voegt 7 kritieke sectoren toe: post- en koerierdiensten — afvalbeheer — vervaardiging en distributie van chemische stoffen — voedselproductie en -distributie — verwerkende industrie — digitale aanbieders — onderzoek.
Ook als uw organisatie niet direct tot een gedekte sector behoort, kunt u toch betrokken zijn als u diensten of producten levert aan een essentiële of belangrijke entiteit. NIS2 verplicht in-scope entiteiten immers te waarborgen dat ook hun kritieke leveranciers een adequaat beveiligingsniveau handhaven, in de praktijk via contractuele clausules, beveiligingsvragenlijsten en audits.
3. Concrete verplichtingen
Artikel 21 van Richtlijn 2022/2555 legt acht kernverplichtingen op: governance, risicobeheer, beveiliging van de toeleveringsketen, melding van incidenten binnen 24 u/72 u (Artikel 23), bedrijfscontinuïteit, HR-beveiliging, cryptografie en toegangscontrole (MFA).
Artikel 21 van de NIS2-richtlijn definieert de technische, operationele en organisatorische maatregelen die in-scope entiteiten moeten implementeren. Deze maatregelen moeten evenredig zijn aan het risiconiveau, de omvang van de entiteit en de potentiële gevolgen van incidenten. Er worden acht kernverplichtingen vastgesteld.
Governance en verantwoordelijkheid
Ten eerste governance en verantwoordelijkheid van het management: bestuursorganen moeten cyberbeveiligingsmaatregelen goedkeuren en persoonlijk aansprakelijk zijn bij ernstige overtredingen. Ten tweede risicobeheer: regelmatige risicoanalyses, identificatie van kritieke activa en een gedocumenteerd beveiligingsbeleid. Ten derde beveiliging van de toeleveringsketen: beoordeling en toezicht op kritieke leveranciers via contractuele clausules, vragenlijsten en audits.
Melding van incidenten
Ten vierde incidentbeheer en melding binnen 72 uur (Artikel 23, Richtlijn 2022/2555): vroege waarschuwing aan het NCSC-NL binnen 24 uur (Artikel 23, Richtlijn 2022/2555) na detectie van een significant incident, volledige melding binnen 72 uur en eindrapport binnen een maand.
Bedrijfscontinuïteit
Ten vijfde bedrijfscontinuïteit: geformaliseerde en regelmatig geteste bedrijfscontinuïteitsplannen (BCP) en herstelplannen (DRP).
Risicobeheer
Ten zesde HR-beveiliging: achtergrondcontroles voor gevoelige functies, cyberbeveiligingstraining en onmiddellijke intrekking van toegang bij vertrek. Ten zevende cryptografie: versleuteling van gevoelige gegevens in transit en in rust, gedocumenteerd sleutelbeheer en certificaatbeheer. Ten achtste toegangscontrole: multi-factor authenticatie (MFA) verplicht voor kritieke systemen en een IAM-beleid op basis van het principe van minimale rechten.
4. Sancties en toezicht
NIS2-boetes bedragen tot € 10.000.000 of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en € 7.000.000 of 1,4% voor belangrijke entiteiten (Artikel 34, Richtlijn 2022/2555). Senior managers zijn persoonlijk aansprakelijk, tot en met een tijdelijk managementverbod.
NIS2 stelt een aanzienlijk strenger sanctieregime in dan zijn voorganger. Boetes worden berekend op basis van het hoogste bedrag tussen een vaste bovengrens en een percentage van de wereldwijde jaaromzet, om afschrikkend te werken ongeacht de omvang van de entiteit. Voor essentiële entiteiten bedraagt de maximale boete € 10.000.000 of 2% van de wereldwijde jaaromzet (Artikel 34, Richtlijn 2022/2555). Voor belangrijke entiteiten is dit € 7.000.000 of 1,4% van de wereldwijde jaaromzet (Artikel 34, Richtlijn 2022/2555).
Een belangrijke innovatie ten opzichte van NIS1 is de persoonlijke aansprakelijkheid van senior managers bij ernstige schendingen van cyberbeveiligingsverplichtingen. Lidstaten kunnen individuele sancties opleggen aan natuurlijke personen die leidinggevende functies bekleden bij essentiële entiteiten, tot en met een tijdelijk verbod op het uitoefenen van managementfuncties. Deze bepaling is bedoeld om bestuursorganen direct verantwoordelijk te maken voor het cyberbeveiligingsbeleid.
Het NCSC-NL beschikt over ruime handhavingsbevoegdheden: beveiligingsaudits op locatie en op afstand, informatieverzoeken, nalevingsopdrachten met deadlines en publicatie van overtredingen (name and shame). Voor essentiële entiteiten kunnen audits proactief worden gestart zonder dat er vooraf een incident heeft plaatsgevonden.
5. Hoe te voldoen aan NIS2
NIS2-naleving verloopt in 5 stappen over minimaal 9 maanden: activakartering, risicobeoordeling (NCSC-NL Cybersecurity Assessment Framework of ISO 27005), implementatie van technische maatregelen, personeelstraining en continue audits. Het senior management moet het nalevingsproject aansturen.
NIS2-naleving bereiken is een organisatieproject van meerdere maanden. Het volgende vijfstappenplan is gebaseerd op NCSC-NL-aanbevelingen en ENISA-richtlijnen.
Stap 1: Activa in kaart brengen
Stap 1 (maanden 1-2) — Activakartering: identificeer en catalogiseer alle digitale activa (servers, applicaties, netwerkapparatuur, werkstations, cloudtoegang) en classificeer ze op bedrijfskritikaliteit.
Stap 2: Risico's beoordelen
Stap 2 (maanden 2-3) — Risicobeoordeling: voer een risicoanalyse uit die dreigingen, kwetsbaarheden en potentiële gevolgen voor elk kritiek activum identificeert; het NCSC-NL Cybersecurity Assessment Framework of ISO 27005 zijn geschikte methodieken.
Stap 3: Maatregelen implementeren
Stap 3 (maanden 3-6) — Implementatie van maatregelen: implementeer door uw risicoanalyse geprioriteerde technische en organisatorische maatregelen (MFA, versleuteling, netwerksegmentatie, patchbeheer, back-ups, incidentdetectie) en documenteer elke maatregel.
Stap 4: Teams opleiden
Stap 4 (maanden 6-9) — Personeelstraining: vergroot het bewustzijn van alle medewerkers over cyberrisico's en goede praktijken; geef IT-teams gerichte training in nieuwe procedures voor incidentdetectie en -melding; betrek senior management bij trainingen over NIS2-governance en aansprakelijkheid.
Stap 5: Continu auditeren en verbeteren
Stap 5 (doorlopend) — Audit en voortdurende verbetering: plan regelmatige interne en externe audits, update uw risicoanalyse minimaal jaarlijks, test uw bedrijfscontinuïteitsplan via crisisoefeningen en houd de documentatie van alle nalevingsactiviteiten actueel.
6. Officiële bronnen
De belangrijkste NIS2-nalevingsbronnen zijn de officiële tekst op EUR-Lex, de NCSC-NL-handleidingen en het Cybersecurity Assessment Framework (ncsc.nl), de ENISA-richtlijnen en ISO/IEC 27001 voor de door artikel 21 vereiste risicoanalyse.
Verschillende officiële bronnen helpen u NIS2 beter te begrijpen en uw nalevingsproces te starten.
De volledige tekst van Richtlijn (EU) 2022/2555 is beschikbaar op EUR-Lex, het Publicatieblad van de Europese Unie. Het NCSC-NL (ncsc.nl) publiceert praktische handleidingen, zelfbeoordelingstools en actuele informatie over de Nederlandse implementatie van NIS2 via de Wbni 2. Het Nationaal Cybersecurity Centrum werkt nauw samen met sectorale Computer Security Incident Response Teams (CSIRT's) voor sectorspecifiek advies.
Voor risicobeheer biedt het Cybersecurity Assessment Framework van het NCSC-NL een gestructureerde aanpak die aansluit op de NIS2-vereisten. De ISO/IEC 27001-certificering wordt door Nederlandse toezichthouders erkend als bewijs van naleving en vormt een solide basis voor uw NIS2-conformiteitsproject. ENISA biedt aanvullende technische richtlijnen en implementatieaanbevelingen.