De Europese NIS2-richtlijn legt vanaf eind 2024 strengere cybersecurity-eisen op aan bedrijven en overheden in de hele EU. In Nederland raken de regels niet alleen grote organisaties, maar ook toeleveranciers zoals cloudproviders, datacenters en beheerde IT-diensten. De verplichtingen gelden zodra een organisatie in een aangewezen sector actief is of cruciale digitale diensten levert. De regels sluiten aan op de AVG en de Europese AI-verordening, met gevolgen voor overheid en ketenpartners.
Keteneisen worden norm
NIS2 draait om weerbaarheid in de hele toeleveringsketen. Organisaties moeten aantonen dat zij leveranciers selecteren en controleren op hun beveiligingsniveau. Dit raakt vooral managed service providers (MSP’s), securitydienstverleners (MSSP’s), cloud- en datacenterdiensten, en softwareleveranciers. Ook onderaannemers vallen binnen scope als zij kritieke onderdelen leveren.
De richtlijn geldt in principe voor middelgrote en grote organisaties in aangewezen sectoren. Denk aan gezondheidszorg, drinkwater, energie, vervoer, digitale infrastructuur en delen van de maakindustrie. Voor enkele categorieën, zoals beheerde ICT-diensten en bepaalde digitale infrastructuur, geldt de drempel van bedrijfsomvang niet. Klein kan dus toch in scope zijn als de impact groot is.
Contracten met leveranciers moeten worden aangescherpt. Leg beveiligingseisen vast, zoals patchtermijnen, logging en versleuteling. Spreek af hoe en binnen welke termijnen incidenten worden gemeld en opgelost. Vraag bewijs, zoals audits, certificeringen (bijvoorbeeld ISO 27001) of onafhankelijke penentests.
Strengere meldplichten
NIS2 verplicht snelle incidentmelding bij het nationale CSIRT of de toezichthouder. Er is een vroege waarschuwing binnen 24 uur, gevolgd door een gedetailleerde melding binnen 72 uur. Een eindrapport volgt binnen een maand met oorzaken en maatregelen. Dit komt boven op meldplichten uit de AVG bij datalekken.
Naast melden geldt een pakket basismaatregelen. Denk aan multifactor-authenticatie, netwerksegmentatie, encryptie, back-ups, monitoring, en procedures voor kwetsbaarheden en updates. Organisaties moeten de doeltreffendheid van maatregelen toetsen en regelmatig oefenen. Ook continuïteits- en herstelplannen zijn verplicht.
Leveranciersrisico is expliciet onderdeel van het risicobeheer. Bedrijven moeten zicht hebben op gebruikte componenten en afhankelijkheden. Open-source bibliotheken en herbruikte code vragen extra aandacht voor updates en kwetsbaarheden. Een software-stuklijst (SBOM) is niet verplicht, maar helpt wel om risico’s te beheren.
NIS2 (EU 2022/2555) verplicht een vroege waarschuwing binnen 24 uur en een incidentmelding binnen 72 uur. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet.
Boetes en bestuur aansprakelijk
De handhaving wordt steviger dan bij NIS1. Voor “essentiële” entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet. Voor “belangrijke” entiteiten is dat tot 7 miljoen euro of 1,4%. Daarnaast kunnen toezichthouders bindende aanwijzingen geven en openbaar maken dat een organisatie tekortschiet.
Bestuurders krijgen expliciete verantwoordelijkheid. Zij moeten beveiligingsmaatregelen goedkeuren, toezicht houden en passende training volgen. Bij ernstige nalatigheid zijn sancties tegen leidinggevenden mogelijk, zoals tijdelijke functiestops. Dit vergroot de druk om cybersecurity structureel te verankeren.
Auditrechten worden ruimer. Toezichthouders kunnen ter plaatse controleren, documentatie opvragen en technische tests laten uitvoeren. Organisaties doen er goed aan hun documentatie op orde te hebben. Denk aan risicoregisters, beleidsstukken, testverslagen en rapportages over incidentafhandeling.
Impact op AI-diensten
NIS2 raakt aanbieders en gebruikers van kunstmatige intelligentie in kritieke ketens. Cloud-ML-platformen, MLOps-diensten en data-infrastructuur vallen vaak onder digitale infrastructuur of beheerde ICT-diensten. Zij moeten aantoonbaar zorgen voor toegangszekerheid, encryptie, logging en patchbeleid. Ook modelopslag, API-toegang en sleutelbeheer horen daarbij.
Voor afnemers betekent dit beter zicht op de “model supply chain”. Welke modellen, datasets en open-source componenten worden gebruikt, en hoe worden zij geüpdatet? Leg in contracten met AI-leveranciers incidentmeldingen, auditrechten en hersteltermijnen vast. Vraag om technische en organisatorische maatregelen, inclusief monitoring en misbruikdetectie.
Gebruik van generatieve AI in kritieke processen vereist extra waarborgen. Denk aan validatie van uitkomsten, bescherming van invoergegevens en misleidingsrisico’s. NIS2 focust op beveiliging en continuïteit; de AVG blijft gelden voor persoonsgegevens. Voor hoog-risico AI-systemen komt daarnaast de AI-verordening met aanvullende eisen.
Europese AI-verordening gevolgen overheid
Overheidsorganisaties vallen onder NIS2 als “publieke administratie” boven een bepaalde omvang. Zij moeten leveringszekerheid en beveiliging eisen bij inkoop van AI en cloud. Dit raakt ook gemeentelijke IT, landelijke diensten en zorg- en onderwijsinstellingen met kritieke processen. Functioneel beheer en aanbestedingen moeten hierop worden aangepast.
De AI-verordening introduceert eisen voor hoog-risico AI, zoals documentatie, logging en toezicht. Dat overlapt met NIS2 op punten als monitoring en incidentprocessen. Combineren van beide kaders geeft efficiëntie: één set log- en auditvereisten voor veiligheid én naleving. Let wel op aparte meldplichten voor datalekken onder de AVG.
Voor de overheid is transparantie richting burgers belangrijk. Leg vast welke algoritmen worden gebruikt en met welk doel. Beperk dataverzameling (dataminimalisatie) en versleutel gevoelige informatie. Evalueer leveranciers op continuïteit, inclusief exit-strategies en data-portabiliteit.
Nederlandse invoering en toezicht
EU-lidstaten moeten NIS2 uiterlijk 17 oktober 2024 omzetten in nationale wetgeving. In Nederland is de implementatiewet op het moment van schrijven in voorbereiding. Verwacht wordt dat toezicht en handhaving gefaseerd op gang komen vanaf 2024–2025. Organisaties doen er goed aan nu al te starten met voorbereidingen.
De Rijksinspectie Digitale Infrastructuur (RDI) en sectorale toezichthouders krijgen belangrijke rollen. Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) ondersteunen met richtlijnen en dreigingsinformatie. Eén nationaal meldpunt voor incidenten wordt verder ingericht. Sectorale uitwerking volgt via specifieke aanwijzingen en normen.
Nederlandse sectorstandaarden blijven relevant. In de zorg sluiten NEN 7510 en NEN 7512 aan op NIS2-maatregelen. Voor industrie en maakbedrijven helpen IEC 62443 en ISO 27001/2 voor OT en IT. Harmoniseer interne controles, zodat één auditset meerdere kaders dekt.
Wat organisaties nu doen
Begin met een scopetoets: val je onder NIS2 als essentiële of belangrijke entiteit, of als leverancier binnen de keten? Maak daarna een gap-analyse tegen de NIS2-maatregelen. Prioriteer quick wins zoals MFA, back-ups, logging en patchmanagement. Leg verantwoordelijkheden vast en stel een incidentproces op.
Breng leveranciersrisico’s in kaart. Gebruik gestandaardiseerde vragenlijsten en bewijsstukken (certificaten, pentests, rapporten). Actualiseer contracten en SLA’s met meldtermijnen (24/72 uur), auditrechten en exit-regelingen. Overweeg een SBOM-vereiste om afhankelijkheden inzichtelijk te maken.
Betrek bestuur en operatie. Train management over hun plichten en risicoacceptatie. Oefen met crisissimulaties, inclusief communicatie en wettelijke meldingen. Stem NIS2 af met AVG-procedures en, waar van toepassing, de AI-verordening voor hoog-risico systemen.
