De Europese NIS2-richtlijn legt strengere cyberregels op aan bedrijven en overheden in Nederland en de rest van de EU. Vanaf 17 oktober 2024 moeten organisaties in essentiële en belangrijke sectoren kunnen aantonen dat zij risico’s beheren en incidenten snel melden. Dit raakt ook IT-leveranciers zoals cloud- en managed service providers. In deze gids staan de tien vragen die klanten nu stellen én de antwoorden, met aandacht voor de AVG en de Europese AI-verordening gevolgen overheid.
Wie valt onder NIS2
NIS2 geldt voor ‘essentiële’ en ‘belangrijke’ entiteiten in sectoren als energie, zorg, transport, digitale infrastructuur, water, financiën en overheid. In de praktijk vallen middelgrote en grote organisaties in deze sectoren automatisch in scope, met uitzonderingen voor kleinere spelers bij hoog risico. Ook aanbieders van digitale diensten, zoals cloudplatforms, datacenters, DNS- en registratiediensten, vallen standaard onder NIS2.
Managed service providers (MSP’s) en managed security service providers (MSSP’s) worden expliciet genoemd, ongeacht de sector van hun klanten. Dit betekent dat ook IT-dienstverleners, system integrators en softwarebeheerders te maken krijgen met directe verplichtingen. Resellers die diensten beheren of configureren kunnen daardoor óók als ‘belangrijk’ worden aangemerkt.
In Nederland wordt NIS2 geïmplementeerd via een aanpassing van de Wet beveiliging netwerk- en informatiesystemen (Wbni), op het moment van schrijven in behandeling. Organisaties moeten rekening houden met registratieplichten en toezicht door sectorale autoriteiten en de Rijksinspectie Digitale Infrastructuur (RDI). Het toezicht verschuift daarmee van vrijwillige richtlijnen naar handhaafbare eisen.
Strakke deadlines en meldplichten
De meldplicht voor ernstige incidenten is strakker en stapsgewijs. Een vroege waarschuwing volgt snel, daarna een eerste rapport, en later een definitief verslag met oorzaken en maatregelen. Dit vraagt om ingestelde processen, 24/7 bereikbaarheid en duidelijke rolverdeling met leveranciers.
Organisaties moeten binnen 24 uur een vroege waarschuwing geven, binnen 72 uur een eerste rapport delen en binnen één maand een eindrapport aanleveren.
Waar meld je een incident? In elk land wijst de overheid een CSIRT en toezichthouders aan; in Nederland zijn dat op het moment van schrijven sectorale autoriteiten en het NCSC voor coördinatie. Leg nu al vast wie intern en extern meldt, welke drempelwaarden gelden en hoe je klantcommunicatie inregelt.
De sancties zijn fors: voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet. Voor belangrijke entiteiten geldt tot 7 miljoen euro of 1,4%. Naast boetes kunnen toezichthouders bindende instructies geven en aanvullende audits eisen.
Zware ketenverplichtingen voor leveranciers
NIS2 legt nadruk op ketenrisico’s: organisaties moeten hun leveranciers beoordelen en contractueel borgen hoe beveiliging is geregeld. Denk aan eisen voor patchmanagement, kwetsbaarheden melden, continuïteit, locatie van data en toegang door onderaannemers. Een SBOM (software bill of materials: een onderdelenlijst van gebruikte software) helpt om snel op kwetsbaarheden te reageren.
Voor IT-dienstverleners verandert verkoop in ‘verified delivery’: je levert niet alleen een dienst, maar ook aantoonbare beveiligingsmaatregelen. Klanten vragen daarom nu al om externe audits (bijvoorbeeld ISO 27001/2, SOC 2) en testrapporten. Let wel: certificering helpt, maar is geen automatische NIS2-compliance.
Dit zijn tien concrete vragen die klanten vandaag stellen en waarop leveranciers een helder antwoord klaar moeten hebben:
- Valt uw organisatie zelf onder NIS2 en in welke categorie (essentieel of belangrijk)?
- Welke 24/7 incidentprocedure en escalatieroute hanteert u, inclusief meldtermijnen?
- Waar worden data verwerkt en opgeslagen (land, cloudregio, datacenter)?
- Welke onderaannemers gebruikt u en hoe worden zij beoordeeld en gemonitord?
- Welke logging, monitoring en detectie levert u standaard mee, en hoe lang bewaart u logs?
- Welke versleuteling, multi-factor-authenticatie en toegangssturing zijn verplicht gesteld?
- Levert u een SBOM en beleid voor kwetsbaarheden, inclusief tijdlijnen voor patching?
- Hoe ondersteunt u bij continuïteit en herstel (RTO/RPO, testen, back-ups, offline-kopieën)?
- Welke certificeringen en onafhankelijke audits zijn actueel en opvraagbaar?
- Welke AVG-maatregelen en dataminimalisatie gelden voor beheer en support?
Bestuur draagt directe verantwoordelijkheid
NIS2 legt bestuurlijke verantwoordelijkheid expliciet bij directie en bestuur. Zij moeten beveiligingsmaatregelen goedkeuren, training volgen en toezicht houden op uitvoering. Bij ernstige nalatigheid kan persoonlijke aansprakelijkheid of tijdelijke uitsluiting van leidinggevende taken volgen.
Praktisch betekent dit dat organisaties een verantwoordelijke aanwijzen, vaak een CISO of directeur, met duidelijke mandaten en budget. Beleid, risicoanalyses en keuzes worden vastgelegd, inclusief afwegingen over rest-risico’s. Bestuurlijke rapportages moeten periodiek en begrijpelijk zijn.
Het proportionaliteitsprincipe blijft gelden, maar ‘proportioneel’ is in NIS2 geen excuus voor minimale maatregelen. Ook middelgrote bedrijven moeten aantoonbaar werken met risicobeheer, incidentrespons en ketenbeheersing. Externe expertise, zoals een gedeelde SOC-dienst of MDR (managed detection and response), kan hierbij passend zijn.
Technische eisen en bewijsvoering
NIS2 verwacht een samenhangend pakket aan maatregelen: risicobeoordeling, beleid, incidentrespons, encryptie, back-ups, netwerksegmentatie, patching en kwetsbaarhedenbeheer. Multi-factorauthenticatie (MFA: inloggen met een extra stap, zoals een app-code) is de norm voor beheerders en externe toegang. Ook veilig ontwikkelen en een responsible disclosure-proces horen erbij.
Bewijs is cruciaal: log wat je beveiligt en bewaar dat aantoonbaar lang genoeg. Een SIEM (Security Information and Event Management: systeem dat logbestanden centraliseert en analyseert) helpt bij detectie en rapportage. Leg vast wie toegang heeft tot logs, hoe integriteit is geborgd en hoe je fouten voorkomt.
Testen is niet optioneel. Voer regelmatige pentests, phishing-simulaties en uitwijktesten uit en documenteer resultaten en opvolging. Zorg dat audit-trails, beleid en draaiboeken klaarstaan voor toezicht, ook bij toeleveranciers.
AI, AVG en AI-verordening
NIS2 raakt AI op twee manieren: via beveiligingseisen voor systemen én via ketenafspraken met AI-dienstverleners. AI die kritieke infrastructuur aanstuurt kan onder de Europese AI-verordening als hoog risico tellen, met extra eisen. Organisaties moeten dus NIS2, AVG en AI-regels samen laten sporen.
Let op privacy: uitgebreide logging en monitoring moeten passen bij de AVG. Voer waar nodig een DPIA uit, beperk persoonsgegevens in logs en stel bewaartermijnen vast. Versleutel gevoelige data en scherm beheerdersrechten af.
AI-tools voor detectie kunnen nuttig zijn, maar vragen beheer van foutpositieven en uitleg over beslissingen. Bewaak trainingsdata en modelupdates, en leg vast welke data de leverancier ziet. Neem deze punten expliciet op in contracten en exit-afspraken, inclusief overdraagbaarheid van logs en modellen.
