De Europese Unie voert in 2024 met NIS2 strengere cyberregels in voor bedrijven en overheden. In Nederland moeten organisaties uiterlijk 17 oktober 2024 klaar zijn met nieuwe processen en rapportages. NIS2 legt meer plichten bij bestuurders en in de hele leveranciersketen, met hoge boetes bij fouten. Voor overheden spelen ook de gevolgen van de Europese AI-verordening voor de overheid en de AVG.
Bestuurders krijgen zorgplicht
NIS2 maakt de directie verantwoordelijk voor cyberbeveiliging. Bestuurders moeten beleid goedkeuren, toezicht houden en regelmatig training volgen. Zij moeten ook kunnen aantonen dat maatregelen werken. Dit verschuift cybersecurity van IT naar de bestuurskamer.
De richtlijn kent stevige sancties. Voor essentiële organisaties kunnen boetes oplopen tot 10 miljoen euro of 2 procent van de wereldwijde omzet. Voor belangrijke organisaties is dat 7 miljoen euro of 1,4 procent. Toezichthouders kunnen daarnaast bindende aanwijzingen geven of leidinggevenden tijdelijk beperken in hun taken.
Toezicht verschilt per categorie. Essentiële organisaties krijgen actief toezicht. Belangrijke organisaties worden vooral gecontroleerd na signalen of incidenten. In beide gevallen moet de organisatie altijd kunnen laten zien hoe risico’s zijn beheerst.
Leveranciersketen moet aantoonbaar veilig
NIS2 maakt leveranciersrisico’s expliciet onderdeel van de beveiliging. Organisaties moeten weten welke partijen toegang hebben tot systemen en data. Zij moeten ook toetsen of die partijen passende maatregelen nemen. Dit geldt extra voor cloudproviders en beheerde dienstverleners.
Contracten worden daarmee een beveiligingsinstrument. Leg eisen vast over patchbeleid, logging, versleuteling en incidentmeldingen. Vraag om onafhankelijke audits of certificaten, zoals ISO 27001. Controleer of onderaannemers aan dezelfde eisen voldoen.
De richtlijn vraagt om “security by design” bij inkoop en ontwikkeling. Werk met standaardtesten en duidelijke acceptatiecriteria. Richt processen in voor kwetsbaarheden en responsible disclosure, zodat lekken snel kunnen worden gemeld en verholpen. Koppel deze stappen aan change- en releasebeheer.
Incidenten sneller en beter melden
De meldplichten worden strakker en meerstaps. Organisaties moeten een vroege waarschuwing doen binnen 24 uur na ontdekking. Binnen 72 uur volgt een eerste rapport met impact en oorzaak. Een eindverslag komt binnen een maand met alle lessen en maatregelen.
Binnen 24 uur een vroege waarschuwing, binnen 72 uur een incidentrapport, en binnen een maand een eindverslag.
Deze plichten komen bovenop de AVG-meldplicht bij datalekken. Raakt een incident ook persoonsgegevens, dan geldt beide rapportage. Meldingen gaan naar het nationale CSIRT of de toezichthouder; bij een datalek ook naar de Autoriteit Persoonsgegevens. Maak daarom één geïntegreerde meldprocedure met duidelijke triggers en rollen.
Sneller melden vraagt om betere detectie en voorbereiding. Zorg voor continue monitoring en heldere definities van een “significant incident”. Leg draaiboeken klaar voor forensics, communicatie en herstel. Oefen scenario’s, ook met leveranciers, zodat de keten als geheel kan reageren.
Processen boven losse tools
NIS2 schrijft risicobeheer voor, geen specifieke producten. Vereist zijn onder meer beleid voor risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, back-ups en herstel. Ook testen, training en evaluatie horen erbij. Het doel is aantoonbare beheersing, niet alleen aanschaf van tools.
Bekende raamwerken helpen om structuur te geven. ISO 27001/27002 bieden algemene beheersmaatregelen. NIST CSF geeft een praktische indeling in identificeren, beschermen, detecteren, reageren en herstellen. Voor industriële omgevingen is IEC 62443 relevant voor OT-beveiliging.
Continu verbeteren is essentieel. Meet de effectiviteit met duidelijke indicatoren, zoals patchdoorlooptijd of detectietijd. Laat periodiek een onafhankelijke toets doen, bijvoorbeeld een audit of red team. Leg beslissingen vast, zodat u kunt laten zien waarom maatregelen passend zijn.
Nederlandse invoering en aanpak 2024
Nederland werkt op het moment van schrijven aan de Implementatiewet NIS2. De deadline voor omzetting in nationale regels is 17 oktober 2024. Daarna volgt handhaving per sector, met aangewezen bevoegde autoriteiten en CSIRTs. Organisaties doen er goed aan nu al te starten met een gap-analyse.
De scope wordt breder dan bij NIS1. Naast vitale sectoren vallen ook delen van de maakindustrie, digitale infrastructuur, zorg, drink- en afvalwater, post- en afvaldiensten en een deel van de publieke sector in scope. Meestal geldt: middelgrote en grote organisaties in deze sectoren vallen eronder. Kleine organisaties kunnen toch worden aangewezen als zij cruciaal zijn.
Een pragmatische aanpak helpt. Begin met een actueel assetregister en een overzicht van kritieke processen. Breng leveranciers en toegangspaden in kaart. Werk daarna aan incidentmeldketens, training van bestuurders en aantoonbare risicoafwegingen.
AI-verordening en gevolgen overheid
NIS2 focust op de beveiliging van systemen en netwerken. De Europese AI-verordening (AI Act) legt aparte eisen op aan hoogrisico-algoritmen, zoals documentatie, toezicht en testen. Voor overheden en semipublieke diensten tellen die regimes vaak tegelijk. Combineer daarom governance en audits, zodat u dubbel werk voorkomt.
Ook de AVG blijft leidend bij persoonsgegevens. Dataminimalisatie, versleuteling en toegangsbeheer ondersteunen zowel privacy als NIS2-doelen. Maak één set van technische en organisatorische maatregelen die alle drie kaders dekt. Leg uitzonderingen en rest-risico’s expliciet vast, inclusief besluitvorming door het management.
Praktisch betekent dit: maak één risicoregister voor systemen, algoritmen en leveranciers. Koppel het aan beleid voor inkoop, ontwikkeling en incidentrespons. Richt trainingen in voor zowel data- als securityteams. Zo ontstaat één lijn tussen AI-governance, privacy en cyberweerbaarheid.
