De Europese NIS2-richtlijn maakt bestuurders eindverantwoordelijk voor cyberveiligheid bij een groot aantal organisaties in de EU. In Nederland geldt deze aanscherping sinds de omzetting van NIS2 in nationale wetgeving, met toezicht door onder meer de Rijksinspectie Digitale Infrastructuur. De regels verplichten bedrijven tot snelle incidentmelding, basismaatregelen en beter risicobeheer in de toeleveringsketen. Doel is het beperken van cyberaanvallen en ketenrisico’s die vitale diensten, overheid en bedrijfsleven raken.
Bestuurders dragen eindverantwoording
NIS2 legt de zorgplicht voor cyberbeveiliging expliciet bij het bestuur en de hoogste leiding. Bestuurders moeten beleid vaststellen, middelen vrijmaken en toezicht houden op de uitvoering. Zij moeten zich laten trainen, zodat zij redelijke beslissingen kunnen nemen over risico’s en investeringen.
Bij ernstige nalatigheid kan de toezichthouder het bestuur persoonlijk aanspreken. Sancties kunnen naast geldboetes ook tijdelijke bestuursverboden omvatten. Dit vergroot de druk om cybersecurity structureel te borgen, en voorkomt dat het een puur IT-vraagstuk blijft.
Organisaties moeten aantonen dat besluiten over beveiliging aantoonbaar en risicogestuurd zijn. Denk aan vastgelegde verantwoordelijkheden, periodieke rapportages aan de raad van bestuur en toetsing door interne of externe audits. Zonder die basis is het lastig om aan te tonen dat het bestuur zijn plicht vervult.
Veel meer organisaties in scope
NIS2 breidt de reikwijdte uit naar 18 sectoren, waaronder energie, zorg, vervoer, drinkwater, digitale infrastructuur, post- en koeriersdiensten, afval, voeding en bepaalde maakindustrie. Ook aanbieders van clouddiensten en datacenters vallen onder de regels. Overheidsorganisaties op centraal en decentraal niveau worden in meerdere lidstaten mede aangewezen.
De richtlijn werkt met ‘essentiële’ en ‘belangrijke’ entiteiten. In principe vallen middelgrote en grote organisaties (meer dan 50 werknemers of meer dan €10 miljoen omzet) in de aangewezen sectoren onder NIS2. Kleinere partijen kunnen alsnog binnen scope vallen als hun dienst maatschappelijk cruciaal is.
In Nederland is de sectorindeling en het toezicht per domein uitgewerkt in nationale regels. Op het moment van schrijven houdt de Rijksinspectie Digitale Infrastructuur toezicht op diverse digitale diensten, terwijl sectorspecifieke toezichthouders actief zijn in bijvoorbeeld zorg en energie. Het Nationaal Cyber Security Centrum fungeert als nationaal CSIRT voor vitale sectoren en rijksoverheid.
Strenge meldplichten en boetes
NIS2 kent vaste termijnen voor incidentmelding: een vroege waarschuwing binnen 24 uur, een melding met eerste analyse binnen 72 uur en een eindrapport binnen één maand. De melding gaat naar het nationale CSIRT en de bevoegde toezichthouder. Doel is snelle detectie en informatie-uitwisseling om verdere schade te beperken.
De boeteregimes zijn fors en schalen mee met de ernst en de entiteitscategorie. Voor essentiële entiteiten zijn maxima hoger dan voor belangrijke entiteiten. Herhaalde of opzettelijke overtredingen leiden tot zwaardere maatregelen.
Boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en tot €7 miljoen of 1,4% voor belangrijke entiteiten.
Verplichte basismaatregelen
Organisaties moeten een risicogestuurd beveiligingsniveau aantonen. Dat omvat onder meer multi-factorauthenticatie, versleuteling van gevoelige gegevens, patchmanagement en back-ups met herstelprocedures. Ook continuïteitsplannen, zoals noodprocedures en oefeningen, zijn verplicht.
Ketenrisico’s zijn een speerpunt. Bedrijven moeten leveranciers screenen, eisen opnemen in contracten en toezicht houden op uitbesteding. Een openbaar responsible disclosure-beleid (meldpunt voor kwetsbaarheden) helpt om lekken snel en veilig te verhelpen.
Menselijke factoren blijven cruciaal. Regelmatige awareness-training, duidelijke escalatiepaden en simulaties van phishing of ransomware verhogen de weerbaarheid. Het bestuur moet deze activiteiten volgen en resultaat meten.
Relatie met AVG en AI-regels
NIS2 staat naast bestaande wetgeving zoals de AVG. Een datalek met persoonsgegevens moet nog steeds binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld. Daarnaast kan hetzelfde incident onder NIS2 bij het CSIRT en de toezichthouder moeten worden gemeld.
Voor financiële partijen sluit NIS2 aan op DORA, de Europese verordening voor digitale operationele weerbaarheid. Voor hardware en software-producten sluit de Cyber Resilience Act aan met producteisen voor cyberveiligheid. Zo ontstaat een gelaagd pakket aan verplichtingen.
De Europese AI-verordening (AI Act) eist risicobeheer en logging bij hoog-risico-algoritmen. Die processen overlappen met NIS2-controles op beveiliging en incidentrespons. Overheden en publieke diensten moeten rekening houden met de “Europese AI-verordening gevolgen overheid”, bijvoorbeeld bij inkoop van AI-systemen en beheer van datastromen.
Aanpak voor Nederlandse organisaties
Begin met een gap-analyse: bepaal of uw organisatie onder NIS2 valt, welke eisen gelden en waar tekortkomingen zitten. Leg verantwoordelijkheden vast op bestuursniveau en wijs een eindverantwoordelijke aan voor cyberrisico’s. Zorg voor regelmatige rapportages en toetsing door audit of een onafhankelijke derde.
Breng kritieke processen, assets en leveranciers in kaart en prioriteer maatregelen. Neem beveiligings- en meldplichten op in contracten met IT-leveranciers, cloud- en AI-dienstverleners. Test incidentrespons met tabletop-oefeningen en verbeter plannen en draaiboeken na elke oefening.
Zoek tijdig afstemming met toezichthouders en het nationale CSIRT. In Nederland zijn het Nationaal Cyber Security Centrum en sectorale loketten beschikbaar voor informatie-uitwisseling en advies. Deze samenwerking versnelt detectie, verkleint impact en helpt aantoonbaar te voldoen aan NIS2.
