De NIS2-richtlijn (Network and Information Security Directive 2) is een Europese richtlijn die organisaties in een breed scala van sectoren verplicht om hun cybersecurity serieus aan te pakken. Voor veel bedrijven betekent dit een flinke verandering ten opzichte van de huidige situatie. In dit artikel leggen wij uit wat NIS2 precies is, voor wie het geldt en wat u concreet moet regelen.

Wat is NIS2?

NIS2 is de opvolger van de originele NIS-richtlijn uit 2016. De Europese Unie heeft de richtlijn aangescherpt omdat de digitale dreiging de afgelopen jaren sterk is toegenomen. Ransomware-aanvallen, datadiefstal en aanvallen op kritieke infrastructuur zijn aan de orde van de dag — en de originele richtlijn bleek onvoldoende bescherming te bieden.

De kern van NIS2 is simpel: organisaties moeten kunnen aantonen dat zij hun digitale risico's kennen en beheersen. Dat betekent technische maatregelen (firewalls, patching, toegangsbeheer), maar ook organisatorische maatregelen (beleid, procedures, training van medewerkers). Bovendien introduceert NIS2 een meldplicht voor ernstige incidenten en vergroot het de verantwoordelijkheid van het management.

Voor wie geldt NIS2?

Een van de grootste veranderingen ten opzichte van de oude richtlijn is de uitbreiding van de scope. NIS2 onderscheidt twee categorieën organisaties:

Essentiële entiteiten

Dit zijn organisaties in sectoren die als kritiek worden beschouwd voor de samenleving. Denk aan:

  • Energie (elektriciteit, gas, olie, waterstof)
  • Transport (luchtvaart, trein, scheepvaart, wegvervoer)
  • Financiële sector (banken, betalingsinfrastructuur)
  • Gezondheidszorg (ziekenhuizen, farmaceutische bedrijven)
  • Drinkwater en afvalwater
  • Digitale infrastructuur (datacenters, clouddiensten, DNS)
  • Ruimtevaart

Belangrijke entiteiten

Een bredere groep organisaties die minder kritiek zijn, maar waarbij een incident toch grote schade kan veroorzaken:

  • Post- en koeriersdiensten
  • Afvalverwerking
  • Chemische industrie
  • Levensmiddelensector
  • Maakindustrie (medical devices, elektronica, voertuigen)
  • Digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerken)
  • Onderzoeksinstellingen

De grens ligt in principe bij bedrijven met meer dan 50 medewerkers of een jaaromzet of balanstotaal van meer dan 10 miljoen euro. Kleinere organisaties kunnen ook onder NIS2 vallen als zij een kritieke rol spelen in hun sector.

Wat zijn de verplichtingen?

NIS2 introduceert drie hoofdverplichtingen voor organisaties die onder de richtlijn vallen:

1. Risicobeheersing

Organisaties moeten passende technische en organisatorische maatregelen nemen om cyberrisico's te beheersen. De richtlijn noemt specifiek:

  • Beleid voor informatiebeveiliging en risicoanalyse
  • Beveiliging van de toeleveringsketen (supply chain security)
  • Toegangsbeheer en authenticatie (inclusief MFA)
  • Versleuteling van gevoelige data
  • Incidentrespons en bedrijfscontinuïteit
  • Patching en configuratiebeheer
  • Bewustzijnstraining voor medewerkers

2. Meldplicht

Bij een ernstig incident moet u dit melden bij de nationale autoriteit (in Nederland: het NCSC of de relevante toezichthouder). De termijnen zijn strak: binnen 24 uur een eerste melding, binnen 72 uur een gedetailleerdere melding en binnen een maand een eindrapport.

3. Toezicht en aansprakelijkheid

NIS2 vergroot de persoonlijke aansprakelijkheid van het bestuur. Bestuurders kunnen aansprakelijk worden gesteld als blijkt dat zij de cybersecurity structureel hebben verwaarloosd. Boetes voor essentiële entiteiten kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.

Wanneer gaat het in?

De Europese NIS2-richtlijn had door EU-lidstaten uiterlijk op 17 oktober 2024 in nationale wetgeving omgezet moeten zijn. In Nederland loopt de implementatie via de Cyberbeveiligingswet (Cbw), die naar verwachting in de loop van 2025 in werking treedt. Organisaties die nu al weten dat zij onder de richtlijn vallen, doen er goed aan om alvast te beginnen — de eis om compliant te zijn geldt zodra de wet van kracht wordt, zonder extra overgangsperiode.

Hoe helpt 5iX?

Wij begeleiden organisaties bij de voorbereiding op NIS2. Dat begint altijd met een eerlijke gap-analyse: wat heeft u al geregeld, wat ontbreekt er nog en wat is de prioriteit? Vanuit die analyse werken wij aan concrete verbeteringen:

  • CIS Hardening: Wij configureren servers en werkstations conform CIS Benchmarks — de technische standaard die uitstekend aansluit op NIS2-vereisten.
  • Wazuh SIEM: Open-source security monitoring die afwijkend gedrag detecteert en een audittrail bijhoudt voor incidentrapportage.
  • Patchbeheer: Geautomatiseerd via Ansible, zodat kwetsbaarheden snel worden gedicht.
  • Procedures en beleid: Wij helpen u de vereiste documentatie op te stellen die past bij uw organisatie — geen standaardteksten, maar werkende procedures.
  • Meldprocedure: Wij stellen een incidentresponsplan op zodat u bij een incident snel en correct handelt.

NIS2 is geen checkbox-exercise. Het is een kans om de beveiliging van uw IT-omgeving structureel te verbeteren. Wij helpen u daarbij op een pragmatische manier — zonder onnodig complex te maken wat eenvoudig kan zijn.