NIS2 voor Nederlandse IT'ers: wat verandert er praktisch
De Europese NIS2-richtlijn had op 17 oktober 2024 in Nederland omgezet moeten zijn. Dat is niet gelukt. De Cyberbeveiligingswet, de Nederlandse implementatie, werd in 2025 verwacht en is op het moment van schrijven nog in behandeling. Maar de inhoudelijke verplichtingen staan vast, en organisaties die wachten op de officiële inwerkingtreding missen de voorbereidingstijd die ze nodig hebben.
Wie valt er onder
NIS2 maakt onderscheid tussen essentiële en belangrijke entiteiten. Beide vallen onder de wet, maar de toezichtsintensiteit verschilt.
Essentiële entiteiten zitten in sectoren als energie, transport, drinkwater, digitale infrastructuur, bankwezen en gezondheidszorg. Belangrijke entiteiten zitten in sectoren als post, afvalverwerking, levensmiddelen, chemie, machinebouw, digitale aanbieders en onderzoek.
De drempel is grootte: organisaties met meer dan 50 medewerkers of meer dan 10 miljoen euro omzet die actief zijn in een van de 18 aangewezen sectoren. Kleine ondernemingen vallen er in de meeste gevallen buiten, tenzij ze een kritieke rol spelen in een sector.
Publieke diensten als gemeenten en rijksoverheid vallen er ook onder, ongeacht grootte.
Wat je verplicht bent te doen
NIS2 schrijft geen specifieke technologieën voor. Het schrijft voor dat je risicobeheer inricht, incidenten meldt en maatregelen neemt die proportioneel zijn aan de risico’s. In de praktijk betekent dat het volgende.
Risicobeheer en beleid. Je moet aantoonbaar beleid hebben voor informatiebeveiliging, risicoanalyse en hoe je met incidenten omgaat. Dat is meer dan een ISO 27001-document in een la; het moet actueel zijn en worden nageleefd.
Incidentmelding. Bij een significant incident moet je binnen 24 uur een eerste melding doen bij het Nationaal Cyber Security Centrum (NCSC) of de sector-specifieke CSIRT. Binnen 72 uur volgt een gedetailleerdere melding. Dit is strenger dan de huidige praktijk bij veel organisaties, waar incidenten wekenlang intern worden afgehandeld.
Technische maatregelen. MFA is geen optie meer, het is een verplichting voor systemen die onder NIS2 vallen. Encryptie van data in transit en at rest, toegangscontrole op basis van least privilege, en patch management zijn allemaal onderdeel van de verwachte basishygiene.
Supply chain. Je bent verantwoordelijk voor de beveiliging van je leveranciers die toegang hebben tot je systemen of kritieke diensten leveren. In de praktijk betekent dit dat je contractuele afspraken over beveiliging nodig hebt en dat je die afspraken ook controleert.
Bestuurdersaansprakelijkheid
Dit is het onderdeel dat veel aandacht trekt: NIS2 legt persoonlijke aansprakelijkheid bij bestuurders. Als een organisatie tekortschiet in de naleving, kunnen bestuurders individueel aansprakelijk worden gesteld. Ze kunnen ook tijdelijk worden verboden bepaalde leidinggevende functies te vervullen.
Dat maakt NIS2 anders dan eerdere beveiligingsregelgeving, waarbij de organisatie als geheel werd aangesproken. Bestuurders die cybersecurity delegeren en er verder niets mee doen, lopen nu een persoonlijk risico.
Wat je nu al kunt regelen
Wacht niet op de inwerkingtreding van de Cyberbeveiligingswet. De maatregelen die NIS2 vereist, zijn goede praktijk ongeacht de wetgeving.
Begin met een gap-analyse: waar staat je organisatie nu op het gebied van risicobeheer, incidentrespons, toegangscontrole en leveranciersbeheer? Dat geeft je een realistisch beeld van het werk dat er ligt.
Zorg dat het bestuur betrokken is. NIS2-compliance is een bestuursvraagstuk, geen IT-vraagstuk dat je aan een securityteam kunt overlaten.
Train je mensen. Technische maatregelen werken alleen als de mensen die ze gebruiken begrijpen waarom. Phishing, social engineering en verkeerd geconfigureerde toegangscontrole zijn verantwoordelijk voor het grootste deel van de incidenten.
Als je team concrete kennis wil opdoen over cybersecurity en compliance, bekijk dan het aanbod op ict-trainingen.com.
NIS2 dwingt iets af wat eigenlijk al lang had moeten bestaan: dat organisaties beveiliging serieus nemen en dat bestuurders daar persoonlijk voor verantwoordelijk zijn.