Bedrijven en overheden in de Europese Unie, ook in Nederland, moeten dit jaar hun cyberbeveiliging aanscherpen. De NIS2-richtlijn dwingt organisaties om van ‘compliance’ naar echte digitale weerbaarheid te gaan. Lidstaten moeten de regels op het moment van schrijven uiterlijk 17 oktober 2024 omzetten in nationale wetgeving. De stap is nodig door meer aanvallen en ketenrisico’s, en raakt ook de Europese AI-verordening gevolgen overheid door overlap in eisen aan risicobeheer en logging.
NIS2 vraagt meer dan vinkjes
NIS2 legt de nadruk op continu risicobeheer in plaats van een jaarlijkse checklist. Organisaties moeten hun systemen, data en processen doorlopend monitoren en verbeteren. Dat vraagt om actuele dreigingsinformatie, duidelijke rollen en een werkend incidentplan. Alleen policies op papier zijn niet meer genoeg.
De richtlijn breidt het aantal sectoren flink uit, van energie en gezondheidszorg tot digitale infrastructuur en delen van de publieke sector. Ook toeleveranciers van deze sectoren vallen vaker in scope. Daarmee verplaatst de aandacht zich van de eigen serverruimte naar de hele waardeketen. Weerbaarheid wordt een eigenschap van het hele netwerk, niet van één afdeling.
Technische basismaatregelen blijven essentieel: multi-factorauthenticatie, segmentatie van netwerken en tijdig patchen. Maar NIS2 vraagt ook om bestuurlijke verankering. Bestuurders moeten geïnformeerd zijn en besluiten kunnen uitleggen. Dat verandert beveiliging van een IT-vraagstuk in een organisatievraagstuk.
Toezicht en boetes strenger
De richtlijn maakt onderscheid tussen ‘essentiële’ en ‘belangrijke’ entiteiten, met bijbehorende toezichtintensiteit. Voor essentiële organisaties kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke organisaties is het plafond lager, maar nog steeds fors. Daarmee wordt niet-naleving een financieel en reputatierisico.
Toezichthouders in EU-lidstaten krijgen meer middelen om te handhaven, inclusief audits en bindende aanwijzingen. In Nederland worden op het moment van schrijven rollen verdeeld tussen sectorale autoriteiten, het Nationaal CSIRT (NCSC) en toezichthouders zoals de Rijksinspectie Digitale Infrastructuur. Organisaties moeten voorbereid zijn op vragen over beleid, processen, controles en testresultaten. Bewijsvoering vraagt dus gestructureerde documentatie en meetbare resultaten.
Bestuurders krijgen onder NIS2 een expliciete verantwoordelijkheid voor cyberweerbaarheid. Training van het management wordt genoemd als vereiste maatregel. Dit versterkt de interne druk om beveiliging te borgen in strategie, budget en cultuur. Zo staat digitale veiligheid dichter bij de kern van de bedrijfsvoering.
Keten en leveranciers centraal
NIS2 legt een duidelijke plicht op om leveranciersrisico’s te beheersen. Denk aan due diligence bij inkoop, contractuele beveiligingseisen en zicht op subleveranciers. Cloudproviders en managed service providers vallen nadrukkelijk in beeld. Een zwak punt bij een partner kan direct impact hebben op essentiële diensten.
Organisaties zullen daarom meer eisen stellen aan audits, certificeringen en testresultaten van leveranciers. Continuïteitsafspraken, zoals exit-scenario’s en hersteltermijnen, worden concreter. Voor Nederlandse overheden en vitale aanbieders sluit dit aan bij bestaande inkoopkaders, maar de lat gaat hoger. Transparantie in de keten wordt een voorwaarde om überhaupt zaken te doen.
Technische integraties verdienen aparte aandacht. API’s, identity-federaties en software-updates vormen veelvoorkomende aanvalsroutes. Het borgen van software supply chain security – van broncode tot uitrol – hoort nu standaard in het risicobeeld. Daarmee groeit de noodzaak van software bills of materials en strenge wijzigingsprocedures.
Meldplichten met strakke termijnen
NIS2 introduceert vaste meldtermijnen voor significante incidenten. Organisaties moeten snel een eerste signaal afgeven en daarna details aanleveren. Dit sluit deels aan op de AVG, die datalekken binnen 72 uur eist, maar de scope van NIS2 is breder dan alleen persoonsgegevens. Processen moeten dus op beide regimes zijn ingericht.
De richtlijn vraagt om gestandaardiseerde rapportage richting CSIRTs en toezichthouders. Dat vereist heldere drempelwaarden, vooraf getrainde teams en oefening met scenario’s. Zonder geoefend proces is 24 of 72 uur erg kort. Logging, forensische tooling en contactlijsten moeten klaarstaan vóórdat er iets misgaat.
Binnen 24 uur een early warning, binnen 72 uur een incidentmelding en binnen een maand een eindrapport: NIS2 maakt tijd cruciaal voor herstel en toezicht.
Voor Nederlandse organisaties betekent dit nauwe afstemming met het NCSC en sectorale contactpunten. Ook communicatierichtlijnen naar klanten en publiek horen in het draaiboek. Een transparante melding kan reputatieschade beperken als die professioneel en tijdig gebeurt. Stilte of onduidelijkheid vergroot juist de impact.
Europese AI-verordening gevolgen overheid
Waar organisaties AI inzetten voor kritieke diensten, kruisen NIS2 en de Europese AI-verordening elkaar. De AI-verordening verlangt risicobeheer, datakwaliteit en logging voor hoogrisico-systemen. Die maatstaven helpen om ook aan NIS2 te voldoen, bijvoorbeeld bij incidentanalyse en herstel. Voor overheden versterkt dit de plicht tot verantwoorde inzet van algoritmen.
AI-gestuurde detectie kan sneller afwijkingen in netwerken zien, maar brengt eigen risico’s mee. Denk aan foutpositieven, datalekken in trainingsdata en modeldrift (langzame kwaliteitsachteruitgang). Organisaties moeten daarom controles inbouwen, zoals menselijke review en periodieke hertraining. Dat past bij het zorgvuldigheidsprincipe uit zowel NIS2 als de AVG.
Bij gebruik van datamodellen in beveiliging geldt dataminimalisatie: alleen data verzamelen die nodig is. Versleuteling en toegangsbeheer blijven verplichtingen die auditeerbaar moeten zijn. Publieke instellingen die essentiële diensten leveren moeten extra letten op uitlegbaarheid van modellen. Dit ondersteunt zowel toezicht als het publieke vertrouwen.
Praktische stappen naar weerbaarheid
Begin met een actuele scopebepaling: val je onder NIS2, en als welke categorie? Koppel daar een risicobeoordeling aan van processen, systemen en ketenpartners. Werk risico’s weg met concrete maatregelen, deadlines en verantwoordelijken. Monitor continu en rapporteer periodiek aan het bestuur.
Richt basisbeveiliging strak in: identiteiten met MFA, snel patchen, segmentatie en back-ups die offline te herstellen zijn. Voeg daarop detectie en response toe via een SOC of een betrouwbare externe dienst. Test herstelplannen met table-tops en technische oefeningen. Zo wordt weerbaarheid aantoonbaar in plaats van aannames.
Veranker leveranciersbeheer in inkoop en contracten met duidelijke beveiligingseisen en toetsing. Leg vast hoe updates, kwetsbaarheden en incidenten in de keten worden gemeld en opgelost. Zorg voor een werkend meldproces richting CSIRTs en toezichthouders. Train teams en bestuur, en evalueer na elke oefening of echt incident.
