剣 KENSAI
← All posts · regulations · 2026-01-01 · 4 min

NIS2 Compliance Security Assessment voor EU-organisaties

De NIS2-richtlijn (in oktober 2024 in nationaal recht omgezet) breidt de reikwijdte van cyberbeveiligingsverplichtingen in de EU-lidstaten aanzienlijk uit. KENSAI helpt essentiële en belangrijke entiteiten te voldoen aan de NIS2 Artikel 21-vereisten met voortdurende kwetsbaarheidsbeoordeling.

NIS2 Beoordeling starten → Boek een demo

Wie valt onder NIS2?

NIS2 breidt de reikwijdte van NIS1 dramatisch uit en omvat nu twee entiteitscategorieën:

CategorieSectorenOverzicht
Essentiële entiteitenEnergie, transport, bankwezen, infrastructuur van de financiële markt, gezondheidszorg, water, digitale infrastructuur, beheer van ICT-diensten, openbaar bestuur, ruimtevaartProactief toezicht; verplichte audits
Belangrijke entiteitenPostdiensten, afvalbeheer, chemicaliën, voedsel, productie, digitale aanbieders, onderzoekReactief toezicht; door onderzoek geactiveerd

Groottedrempels: Geldt doorgaans voor middelgrote entiteiten (≥50 werknemers of ≥€10 miljoen omzet). Voor sommige sectoren (kritieke infrastructuur) geldt geen omvangsdrempel.

NIS2 Artikel 21: Maatregelen voor risicobeheer op het gebied van cyberbeveiliging

Artikel 21 vereist "passende en evenredige technische, operationele en organisatorische maatregelen." Belangrijkste vereisten die relevant zijn voor kwetsbaarheidsbeheer:

Artikel 21, lid 2, onder a) — Risicoanalyse en informatiebeveiligingsbeleid

Beleid voor risicoanalyse, inclusief systematische identificatie van kwetsbaarheden in systemen die worden gebruikt voor essentiële dienstverlening.

Artikel 21, lid 2, onder e) — Zekerheid bij verwerving, ontwikkeling en onderhoud

Beveiligingsmaatregelen gedurende de gehele levenscyclus van het systeem, inclusief kwetsbaarheidsbeheer en openbaarmakingsbeleid.

Artikel 21, lid 2, onder f) — Beleid en procedures om de effectiviteit te beoordelen

Organisaties moeten over procedures beschikken om de effectiviteit van maatregelen voor cyberbeveiligingsrisicobeheer te beoordelen. Beveiligingstests zijn het belangrijkste technische mechanisme.

Artikel 21, lid 2, onder h) — Beveiliging van de toeleveringsketen

Beveiligingsmaatregelen die de kwetsbaarheden in de toeleveringsketen aanpakken, waaronder het beoordelen van beveiligingspraktijken van directe leveranciers en dienstverleners.

🚨 NIS2-boetes: tot € 10 miljoen of 2% wereldwijde omzet

Essentiële entiteiten riskeren maximale boetes van € 10.000.000 of 2% van de totale wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogste is. Belangrijke entiteiten worden geconfronteerd met €7.000.000 of 1,4% van de wereldwijde omzet. NIS2 introduceert ook persoonlijke aansprakelijkheid voor het management: senior managers kunnen persoonlijk aansprakelijk worden gesteld voor nalatigheid die tot NIS2-schendingen leidt.

NIS2-kwetsbaarheidsbeheervereisten

Het Agentschap van de Europese Unie voor Cybersecurity (ENISA) heeft implementatierichtlijnen gepubliceerd waarin de technische vereisten van NIS2 worden verduidelijkt. De verwachtingen van het kwetsbaarheidsbeheer omvatten:

Hoe KENSAI NIS2-compliance ondersteunt

✓ Ontdekking van essentiële servicemiddelen

Ontdekt en inventariseert automatisch alle ICT-middelen die betrokken zijn bij essentiële dienstverlening: de basis voor NIS2-compliance.

✓ Proportionele risicoscans

Configureer de scanfrequentie en -diepte in verhouding tot de kriticiteit van de bedrijfsmiddelen. Essentiële servicesystemen worden vaker en diepgaander getest.

✓ Beoordeling van de toeleveringsketen

Het externe aanvalsbeheer voor ICT-leveranciers voldoet aan de NIS2-beveiligingsvereisten van artikel 21, lid 2, onder h).

✓ Managementrapportage

NIS2 houdt het management persoonlijk aansprakelijk: KENSAI biedt managementdashboards voor inzicht op bestuursniveau in kwetsbaarheidsrisico's.

✓ NIS2 Bewijspakket

Genereer auditklare documentatie voor inspectie door de nationale bevoegde autoriteit: scan de geschiedenis, herstelgegevens en beleidsbewijs.

✓ Incidentcorrelatie

Koppel kwetsbaarheden aan de 24-uurs meldingsvereiste voor incidenten – weet onmiddellijk wanneer een kwetsbaarheid actief wordt uitgebuit.

NIS2 versus NIS1: wat er is veranderd voor beveiligingstests

AspectNIS1 (2016)NIS2 (2022)
DomeinAlleen exploitanten van essentiële dienstenEssentiële + Belangrijke entiteiten (10x meer organisaties)
BeveiligingsmaatregelenVage ‘passende maatregelen’Specifieke lijst met beveiligingsmaatregelen van 10 punten
OverzichtLichte nationale benaderingenGeharmoniseerd proactief toezicht in de hele EU
BoetesVerschilt per lidstaatGeharmoniseerde maxima (€ 10 miljoen / 2% omzet)
BestuursaansprakelijkheidNiet gespecificeerdPersoonlijke aansprakelijkheid voor leidinggevenden
ToeleveringsketenNiet vereistExpliciet vereist

Voldoe aan de NIS2-cyberbeveiligingsvereisten met KENSAI

Met persoonlijke aansprakelijkheid van het management en boetes die kunnen oplopen tot 2% van de wereldwijde omzet, is de naleving van NIS2 een kwestie op bestuursniveau. KENSAI levert het geautomatiseerde kwetsbaarheidsbeheer en de documentatie die nodig is om NIS2-naleving aan te tonen aan nationale bevoegde autoriteiten.

NIS2-compliance starten → Praat met een NIS2-expert

Gerelateerde artikelen