← Terug naar Blog
Onderzoek ⏱️ 12 min leestijd

NIS2-richtlijn: De complete gids voor Europese bedrijven

Alles wat u moet weten over de NIS2-richtlijn: op wie het van toepassing is, vereisten, boetes tot €10M, deadlines en hoe u uw organisatie voorbereidt op compliance.


NIS2-richtlijn: De complete gids voor Europese bedrijven

De NIS2-richtlijn (Richtlijn (EU) 2022/2555) vertegenwoordigt de meest ingrijpende herziening van de EU-cyberbeveiligingsregelgeving in tien jaar. Als uw organisatie actief is in Europa, zal deze wetgeving fundamenteel veranderen hoe u cyberbeveiliging benadert — en de boetes voor niet-naleving zijn aanzienlijk.

Deze gids behandelt alles wat u moet weten: wat NIS2 is, op wie het van toepassing is, de specifieke vereisten, deadlines, boetes en een duidelijk routekaart om compliance te bereiken.

Wat is de NIS2-richtlijn?

De NIS2-richtlijn is het bijgewerkte kader van de Europese Unie om een hoog gemeenschappelijk niveau van cyberbeveiliging in alle lidstaten te waarborgen. Ze vervangt de oorspronkelijke NIS-richtlijn (2016/1148), die breed werd bekritiseerd vanwege inconsistente implementatie en een te beperkte reikwijdte voor het huidige dreigingslandschap.

Aangenomen door het Europees Parlement op 28 november 2022, breidt NIS2 het aantal organisaties dat onder verplichte cyberbeveiligingsverplichtingen valt drastisch uit. De Europese Commissie schatte dat de oorspronkelijke NIS-richtlijn ongeveer 15.000 entiteiten in de EU dekte. Onder NIS2 springt dat aantal naar meer dan 160.000 organisaties — een vertienvoudiging.

Waarom was NIS2 noodzakelijk?

De oorspronkelijke NIS-richtlijn liet te veel hiaten:

NIS2 pakt al deze tekortkomingen aan met geharmoniseerde vereisten, uitgebreide reikwijdte en handhavingsmechanismen met echte slagkracht.

Op wie is NIS2 van toepassing?

NIS2 gebruikt een omvangdrempelregel in combinatie met sectorgebaseerde classificatie. Organisaties worden gecategoriseerd als essentiële entiteiten of belangrijke entiteiten.

Essentiële entiteiten (Bijlage I — "Zeer kritieke sectoren")

Deze sectoren worden als vitaal beschouwd voor het functioneren van de samenleving en de economie:

Belangrijke entiteiten (Bijlage II — "Andere kritieke sectoren")

De omvangdrempelregel

NIS2 is van toepassing op organisaties in bovengenoemde sectoren die voldoen aan ten minste één van deze drempels:

Belangrijke uitzonderingen: Bepaalde entiteiten vallen ongeacht hun omvang onder de richtlijn, waaronder: - DNS-dienstverleners - TLD-naamregisters - Aanbieders van openbare elektronische communicatienetwerken - Vertrouwensdienstverleners - Enige aanbieders van een dienst in een lidstaat die essentieel is voor maatschappelijke/economische activiteiten

Implicaties voor de toeleveringsketen

Zelfs als uw organisatie niet rechtstreeks onder NIS2 valt, kunt u worden beïnvloed via toeleveringsketenvereisten. Essentiële en belangrijke entiteiten moeten cyberbeveiligingsrisicobeheersmaatregelen voor hun toeleveringsketens implementeren, wat betekent dat zij compliancevereisten doorschuiven naar leveranciers en partners.

NIS2-vereisten: Wat u moet doen

NIS2 Artikel 21 beschrijft tien minimale cyberbeveiligingsrisicobeheersmaatregelen die alle gedekte entiteiten moeten implementeren:

1. Risicoanalyse en beveiligingsbeleid voor informatiesystemen

Stel uitgebreid beleid op voor risicoanalyse en beveiliging van informatiesystemen. Dit omvat regelmatige risicobeoordelingen, gedocumenteerd beveiligingsbeleid en een governancekader voor cyberbeveiliging.

2. Incidentafhandeling

Implementeer procedures voor het voorkomen, detecteren en reageren op cyberbeveiligingsincidenten. Dit omvat: - Incidentresponsplannen - Incidentdetectiecapaciteiten - Communicatieprocedures tijdens incidenten

3. Bedrijfscontinuïteit en crisisbeheer

Waarborg operationele veerkracht door middel van: - Back-upbeheer - Rampenherstelplannen - Crisisbeheerprocedures - Regelmatig testen van continuïteitsplannen

4. Toeleveringsketenbeveiliging

Pak beveiligingsrisico's aan in relaties met directe leveranciers en dienstverleners. Voer due diligence uit op cyberbeveiligingspraktijken van leveranciers en neem beveiligingseisen op in contracten.

5. Beveiliging van netwerk- en informatiesystemen

Implementeer beveiligingsmaatregelen voor de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, inclusief kwetsbaarhedenafhandeling en -openbaarmaking.

6. Beoordeling van cyberbeveiligingsrisicobeheer

Stel beleid en procedures op om de effectiviteit van cyberbeveiligingsrisicobeheersmaatregelen te beoordelen. Regelmatige audits en beoordelingen zijn vereist.

7. Basale cyberhygiënepraktijken en training

Implementeer cyberhygiënepraktijken en bied regelmatige cyberbeveiligingsbewustzijnstraining voor alle medewerkers, inclusief het management.

8. Cryptografie en versleuteling

Stel beleid en procedures op met betrekking tot het gebruik van cryptografie en, waar passend, versleuteling om gegevens te beschermen tijdens transport en opslag.

9. Personeelsbeveiliging en toegangscontrole

Implementeer passend beleid voor toegangscontrole, procedures voor assetbeheer en multi-factorauthenticatie of continue authenticatieoplossingen.

10. Beveiligde communicatie

Gebruik beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de organisatie.

Vereisten voor incidentmelding

NIS2 introduceert een meerfasige incidentmeldingsverplichting die aanzienlijk zwaarder is dan de voorganger:

Fase Deadline Vereiste
Vroegtijdige waarschuwing Binnen 24 uur Meld het CSIRT of de bevoegde autoriteit over een significant incident
Incidentmelding Binnen 72 uur Geef een eerste beoordeling inclusief ernst, impact en indicatoren van compromittering
Tussentijds rapport Op verzoek Statusupdate over het incident en responsmaatregelen
Eindrapport Binnen 1 maand Gedetailleerde beschrijving, oorzaak, mitigatiemaatregelen en grensoverschrijdende impact

Een significant incident wordt gedefinieerd als een incident dat: - Ernstige operationele verstoring of financieel verlies heeft veroorzaakt of kan veroorzaken - Andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken

Boetes en handhaving

De handhavingsbepalingen van NIS2 vormen een grote stap vooruit ten opzichte van de oorspronkelijke richtlijn:

Voor essentiële entiteiten:

Voor belangrijke entiteiten:

Verantwoordelijkheid van het bestuur

Een van de meest ingrijpende bepalingen van NIS2 is Artikel 20, dat vereist dat: - Bestuursorganen cyberbeveiligingsrisicobeheersmaatregelen goedkeuren - Bestuursorganen toezicht houden op de implementatie van deze maatregelen - Leden van bestuursorganen training volgen in cyberbeveiliging - Het bestuur persoonlijk aansprakelijk kan worden gesteld voor overtredingen

Dit betekent dat cyberbeveiliging niet langer volledig aan de IT-afdeling kan worden gedelegeerd. Bestuursleden en C-level bestuurders dragen directe verantwoordelijkheid.

NIS2-omzettingstijdlijn

De richtlijn is in werking getreden op 16 januari 2023 en lidstaten waren verplicht deze vóór 17 oktober 2024 in nationaal recht om te zetten.

Omzettingsstatus in belangrijke markten

Duitsland — Het NIS2-Umsetzungsgesetz (NIS2UmsuCG) was vertraagd maar is naar verwachting van kracht geworden in 2025. Het treft naar schatting 29.000 organisaties in Duitsland alleen — een stijging van ruwweg 2.000 onder de oorspronkelijke KRITIS-regulering. De Duitse implementatie gaat op meerdere gebieden verder dan de minimumvereisten van de richtlijn.

Oostenrijk — Het NISG 2024 (Netz- und Informationssystemsicherheitsgesetz) bevindt zich in een gevorderd stadium. Oostenrijk zal naar verwachting circa 4.000 organisaties dekken.

Zwitserland — Hoewel geen EU-lid, stemt Zwitserland zijn cyberbeveiligingskader af op NIS2-principes. De herziene Informationssicherheitsgesetz (ISG) bevat vergelijkbare eisen, en Zwitserse bedrijven die zakendoen in de EU moeten rechtstreeks aan NIS2 voldoen.

Frankrijk — Frankrijk heeft de richtlijn grotendeels op tijd omgezet, voortbouwend op het reeds robuuste ANSSI-kader.

Nederland — De Wet beveiliging netwerk- en informatiesystemen 2 (Wbni 2) wordt afgerond en breidt de dekking uit naar circa 10.000 Nederlandse organisaties.

Hoe bereidt u zich voor op NIS2-compliance

Stap 1: Bepaal of u binnen de scope valt

Gebruik de bovenstaande sectorlijsten en omvangdrempels om te beoordelen of uw organisatie kwalificeert als essentiële of belangrijke entiteit. Vergeet niet de toeleveringsketenverplichtingen mee te nemen — zelfs als u niet rechtstreeks binnen de scope valt, kunnen uw klanten NIS2-afgestemde beveiligingspraktijken vereisen.

Stap 2: Voer een gap-analyse uit

Vergelijk uw huidige cyberbeveiligingshouding met de tien minimale maatregelen in Artikel 21. Identificeer hiaten in: - Risicobeheerprocessen - Incidentdetectie- en responsecapaciteiten - Bedrijfscontinuïteitsplanning - Toeleveringsketenbeveiligingspraktijken - Medewerkersopleidingen en bewustwording

Stap 3: Beoordeel uw aanvalsoppervlak

U kunt niet beschermen wat u niet kent. Voer een grondige beoordeling uit van uw externe aanvalsoppervlak, waaronder: - Webapplicaties en API's - Clouddiensten en -infrastructuur - Integraties met derden - Legacy-systemen met internetverbinding

KENSAI biedt geautomatiseerde, AI-gestuurde aanvalsoppervlakscanning die uw volledige externe voetafdruk in kaart brengt en kwetsbaarheden identificeert voordat aanvallers dat doen. In tegenstelling tot traditionele momentopnamebeoordelingen levert KENSAI continue scanning die aansluit bij de NIS2-eis voor doorlopend risicobeheer.

Stap 4: Implementeer technische maatregelen

Op basis van uw gap-analyse, implementeer de noodzakelijke technische maatregelen: - Netwerksegmentatie en monitoring - Endpoint detection and response (EDR) - Multi-factorauthenticatie - Versleuteling voor gegevens in transit en opslag - Kwetsbaarheidsbeheer met regelmatige scanning - Webapplicatiefirewalls en API-beveiliging

Stap 5: Richt governance en documentatie in

NIS2 vereist gedocumenteerd beleid en procedures. U heeft minimaal nodig: - Informatiebeveiligingsbeleid - Risicobeoordelingsmethodologie en -rapporten - Incidentresponsplan - Bedrijfscontinuïteits- en rampenherstelplannen - Toeleveringsketenbeveiligingsbeleid - Trainingsregistraties

Stap 6: Bereid incidentresponsecapaciteiten voor

De 24-uurs vroegtijdige waarschuwingsvereiste betekent dat u nodig heeft: - 24/7 monitoringcapaciteiten (of uitbestede SOC-diensten) - Vooraf gedefinieerde incidentclassificatiecriteria - Communicatiesjablonen voor CSIRT-melding - Aangewezen incidentresponsteam met duidelijke rollen

Stap 7: Train uw medewerkers

NIS2 verplicht cyberbeveiligingstraining voor bestuursorganen en personeel. Implementeer: - Regelmatige beveiligingsbewustzijnstraining voor alle medewerkers - Specifieke training voor het bestuur over hun toezichtverantwoordelijkheden - Technische training voor IT- en beveiligingspersoneel - Phishing-simulaties en beveiligingsoefeningen

Stap 8: Betrek uw toeleveringsketen

Beoordeel uw leveranciersrelaties en: - Beoordeel de cyberbeveiligingshouding van kritieke leveranciers - Neem beveiligingseisen op in inkoopprocessen en contracten - Stel informatie-uitwisselingsmechanismen in met belangrijke leveranciers - Monitor de beveiliging van leveranciers doorlopend

NIS2 en geautomatiseerde beveiligingstests

Een van de meest effectieve manieren om aan de continue risicobeheersvereisten van NIS2 te voldoen is door middel van geautomatiseerde beveiligingstests. De richtlijn vereist expliciet kwetsbaarhedenafhandeling en regelmatige beoordeling van cyberbeveiligingsmaatregelen — handmatige, jaarlijkse penetratietests zijn niet langer voldoende.

Het geautomatiseerde kwetsbaarheidsscanningplatform van KENSAI stelt organisaties in staat om:

Voor organisaties die zich voorbereiden op NIS2 is geautomatiseerde scanning niet optioneel — het is essentieel om de "passende en evenredige" technische maatregelen aan te tonen die de richtlijn vereist.

Veelgestelde vragen

Geldt NIS2 voor niet-EU-bedrijven?

Ja. Als uw organisatie diensten verleent binnen de EU of aan EU-gevestigde entiteiten in gedekte sectoren, is NIS2 van toepassing. Niet-EU-bedrijven moeten een vertegenwoordiger in de EU aanwijzen.

Wat is de relatie tussen NIS2 en AVG?

NIS2 en AVG zijn complementair. AVG richt zich op bescherming van persoonsgegevens; NIS2 richt zich op cyberbeveiliging van netwerk- en informatiesystemen. Een datalek kan verplichtingen onder beide verordeningen oproepen. NIS2 specificeert zelfs dat AVG-boetes in overweging moeten worden genomen bij het beoordelen van NIS2-sancties.

Kunnen we bestaande ISO 27001-certificering gebruiken voor NIS2-compliance?

ISO 27001 biedt een sterke basis, maar betekent niet automatisch NIS2-compliance. NIS2 heeft specifieke eisen (zoals de 24-uurs incidentmelding) die verder gaan dan ISO 27001. Organisaties met ISO 27001-certificering zullen de overgang echter aanzienlijk eenvoudiger vinden.

Wat als onze lidstaat NIS2 nog niet heeft omgezet?

Zelfs als de nationale omzetting vertraagd is, zijn de vereisten van de richtlijn duidelijk. Organisaties moeten nu beginnen met voorbereiden. Zodra de nationale wet van kracht wordt, kan handhaving onmiddellijk beginnen — er is mogelijk geen overgangsperiode.

Hoe werkt NIS2 samen met sectorspecifieke regelgeving?

NIS2 bevat een lex specialis-bepaling: wanneer sectorspecifieke EU-wetgeving cyberbeveiligingseisen oplegt die ten minste gelijkwaardig zijn aan NIS2, hebben de sectorspecifieke regels voorrang. Voorbeelden zijn DORA voor de financiële sector.

De conclusie

NIS2 is geen ver verwijderd regelgevingsrisico — het is er, en de handhaving wordt in heel Europa opgevoerd. Organisaties die de voorbereiding uitstellen riskeren niet alleen boetes maar ook de reputatie- en operationele schade die gepaard gaat met ontoereikende cyberbeveiliging.

De eisen van de richtlijn zijn uitgebreid maar haalbaar, vooral met de juiste tools en aanpak. Begin met het begrijpen van uw scope, beoordeel uw hiaten en implementeer systematische, continue beveiligingsmaatregelen.


Begin vandaag nog met uw NIS2-compliancetraject

Wacht niet tot de handhavingsacties beginnen. Het AI-gestuurde beveiligingsplatform van KENSAI helpt u kwetsbaarheden te identificeren, uw aanvalsoppervlak te beoordelen en de continue beveiligingsmonitoring aan te tonen die NIS2 vereist.

👉 Krijg uw gratis beveiligingsscan op kensai.app/free-scan — zie uw blootstelling in minuten, niet maanden.

Probeer KENSAI gratis

Scan uw infrastructuur op kwetsbaarheden in enkele minuten — geen creditcard vereist.

Start gratis scan →

Gepubliceerd door KENSAI Beveiligingsonderzoek — AI-gestuurd cyberbeveiligingsplatform

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home