De Europese Unie heeft de NIS2 ingevoerd om de digitale weerbaarheid van essentiële en belangrijke sectoren te verhogen. Onder NIS2 is cybersecurity niet langer alleen een technisch vraagstuk, maar een integraal onderdeel van governance en bedrijfsstrategie. De richtlijn vraagt om structurele maatregelen, aantoonbare processen en betrokkenheid op bestuursniveau.
Nis2 is een aangescherpte opvolger van NIS1 en heeft een breder toepassingsgebied, strengere beveiligingseisen, en zwaardere sancties waaronder persoonlijke aansprakelijkheid voor bestuurders.
Wat is de NIS2?
De NIS2, de Network and Information Security Directive 2, is Europese wetgeving die lidstaten verplicht om strengere eisen te stellen aan de beveiliging van netwerk- en informatiesystemen. Het doel is het verhogen van de weerbaarheid tegen cyberincidenten en het verbeteren van samenwerking tussen landen.
De richtlijn verplicht organisaties om passende technische en organisatorische maatregelen te nemen, gebaseerd op risicoanalyses. Hierbij wordt vaak verwezen naar internationale normen zoals ISO 27001 (informatiebeveiligingsmanagement) en NIST Cybersecurity Framework als best practices.
Praktijkvoorbeeld: Een middelgrote cloudprovider die diensten levert aan meerdere gemeenten moet aantonen dat zij toegangsbeveiliging, monitoring en incidentresponsprocessen heeft ingericht conform ISO 27001. Waar dit voorheen een vrijwillige certificering was, wordt het nu een wettelijke eis.
Voor wie geldt de NIS2?
De richtlijn maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten.
Essentiële entiteiten zijn organisaties in sectoren zoals energie, transport, bankwezen, gezondheidszorg, drinkwater en digitale infrastructuur. Deze sectoren zijn cruciaal voor de samenleving en vallen onder het strengste toezicht.
Belangrijke entiteiten zijn organisaties in sectoren zoals post- en koeriersdiensten, voedselproductie, chemische industrie, productie van medische hulpmiddelen en digitale aanbieders (zoals cloud, datacenters en saas).
De richtlijn geldt voor middelgrote en grote organisaties, dat wil zeggen met 50 of meer medewerkers of en een omzet van 10 miljoen euro of hoger. Echter, kleinere organisaties kunnen óók onder NIS2 vallen, als zij een kritieke rol spelen in een keten, bijvoorbeeld als enige leverancier van een essentieel onderdeel.
Praktijkvoorbeeld: Een softwarebedrijf met 60 medewerkers dat een platform levert voor ziekenhuislogistiek valt onder NIS2, ook al is het geen ziekenhuis. De afhankelijkheid van hun software maakt hen een kritieke schakel in de zorgketen.
Hoe kan een organisatie zich voorbereiden op NIS2
Stap 1: scope bepalen
Inventariseer of de organisatie onder NIS2 valt, door sector, omvang en ketenafhankelijkheden te analyseren. Raadpleeg de nationale implementatiewet (in Nederland de Cyberbeveiligingswet) voor de exacte criteria.
Stap 2: risicoanalyse uitvoeren
Breng bedreigingen, kwetsbaarheden en mogelijke impact in kaart. Gebruik erkende methodieken zoals ISO 27005 of het NIST Risk Management Framework om risico’s systematisch te beoordelen.
Stap 3: beveiligingsbeleid opstellen of actualiseren
Leg vast hoe de organisatie omgaat met toegangsbeheer, patchmanagement, logging, en monitoring. Zorg dat het beleid aansluit bij normen als ISO 27001 en de eisen van de AVG voor gegevensbescherming.
Stap 4: technische en organisatorische maatregelen implementeren
Voer maatregelen in zoals multi-factor authenticatie, netwerksegmentatie en een robuuste back-upstrategie. Combineer dit met security awareness-trainingen voor personeel, conform de aanbevelingen van het NCSC.
Stap 5: incidentresponsplan opstellen
Definieer procedures voor detectie, melding en herstel van incidenten. Leg contactpunten en escalatieroutes vast en zorg dat deze aansluiten bij de meldingsplicht van NIS2 en de AVG.
Stap 6: testen en verbeteren
Voer regelmatig penetratietests en table-top oefeningen uit om de effectiviteit van maatregelen te toetsen. Documenteer bevindingen en verwerk verbeterpunten in beleid en processen.
Praktijkvoorbeeld: Een managed service provider voert een war game uit waarbij een ransomware-aanval wordt nagebootst. Het incidentresponsplan wordt getest, inclusief de volledige meldprocedure.
Welke verplichtingen schrijft de NIS2-richtlijn voor?
De richtlijn kent meerdere kernverplichtingen.
Zorgplicht
Organisaties moeten passende technische en organisatorische maatregelen nemen, gebaseerd op een risicoanalyse. Dit omvat onder meer beveiliging van toeleveringsketens, incidentdetectie en -respons, en continuïteitsbeheer. Normen als ISO 27001 en ENISA-richtlijnen bieden hiervoor concrete handvatten.
Praktijkvoorbeeld: Een hostingbedrijf implementeert real-time intrusion detection en segmentatie van klantomgevingen om te voorkomen dat een aanval op één klant overslaat naar anderen.
Meldingsplicht
Significante incidenten moeten binnen 24 uur gemeld worden aan de bevoegde autoriteit en het CSIRT. Binnen 72 uur volgt een gedetailleerd rapport met oorzaken, impact en genomen maatregelen. Deze verplichting sluit aan bij de meldingsplicht datalekken uit de AVG.
Praktijkvoorbeeld: Een saas-leverancier ontdekt dat een kwetsbaarheid in hun API is misbruikt. Binnen 24 uur wordt melding gedaan, inclusief eerste inschatting van de impact en getroffen maatregelen.
Toezicht en handhaving
Toezichthouders krijgen uitgebreide bevoegdheden om naleving af te dwingen. Zij mogen audits uitvoeren, bindende instructies geven en bij ernstige tekortkomingen hoge boetes opleggen. In Nederland zal de Cyberbeveiligingswet deze bevoegdheden formaliseren, waarbij de Autoriteit NIS of een aangewezen toezichthouder verantwoordelijk wordt voor controle.
Bestuurlijke verantwoordelijkheid
Bestuurders moeten actief betrokken zijn bij het cybersecuritybeleid en kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid. Dit betekent dat zij aantoonbaar op de hoogte moeten zijn van risico’s en maatregelen, en dat zij hierover verantwoording kunnen afleggen.
Praktijkvoorbeeld: Een directie van een datacenter wordt door de toezichthouder aangesproken omdat er geen actuele risicoanalyse beschikbaar is. De bestuurders moeten binnen een maand aantonen dat zij maatregelen hebben genomen conform ISO 27001 en NIS2-eisen.
Sinds wanneer is de NIS2 van toepassing?
De NIS2-richtlijn is op 16 januari 2023 in werking getreden op EU-niveau. Lidstaten hebben tot 17 oktober 2024 om de richtlijn om te zetten in nationale wetgeving. In Nederland gebeurt dit via de Cyberbeveiligingswet, die de huidige Wet beveiliging netwerk- en informatiesystemen – de Wbni – vervangt. De verwachting is dat de wet in 2025 in werking treedt, waarna toezicht en handhaving starten.
Wat is het verschil tussen de NIS2 en NIS1?
NIS2 is een forse uitbreiding en aanscherping van NIS1. Dit zijn de belangrijkste verschillen:
- Toepassingsgebied: van beperkt tot enkele vitale sectoren is de richtlijn nu uitgebreid naar meer sectoren en ketenpartijen.
- Verplichtingen: waar die eerst algemeen geformuleerd waren, zijn ze nu concreet en gedetailleerd, inclusief supply chain-beveiliging.
- Meldingstermijnen: die waren niet gedefinieerd, maar nu moet binnen 24 uur de eerste melding gedaan zijn, gevolgd door een volledig rapport binnen 72 uur.
- Sancties: zijn gegroeid van beperkte boetes tot 10 miljoen euro of 2 procent van wereldwijde omzet.
- Bestuurlijke rol: die was niet erg expliciet, maar nu onder NIS2 zijn bestuurders expliciet verantwoordelijk en aansprakelijk.
Praktijkvoorbeelden: Een middelgrote softwareleverancier voor de transportsector viel onder NIS1 buiten de scope, maar moet onder NIS2 aantoonbaar voldoen aan strengere beveiligings- en meldingsplichten. Een datacenter dat onder NIS1 alleen basisrapportages hoefde te leveren, moet nu periodieke audits doorstaan en kan bij nalatigheid direct bindende instructies van de toezichthouder krijgen.
