Bedrijven en overheden in de EU krijgen dit jaar te maken met strengere cyberregels onder NIS2. De richtlijn moet uiterlijk 17 oktober 2024 in nationale wetgeving staan en raakt ook Nederlandse organisaties. De impact is groot: meer sectoren vallen onder toezicht, met zwaardere plichten en hogere boetes. Dit grijpt in op IT-beheer, data en het gebruik van algoritmen, en sluit aan op discussie over de Europese AI-verordening en de gevolgen voor de overheid.
Reikwijdte wordt veel breder
NIS2 (Network and Information Security Directive 2) vergroot het aantal sectoren dat onder de regels valt. Naast vitale diensten zoals energie, zorg en vervoer komen ook industrie, post en koeriers, afval, digitale infrastructuur en sommige overheden in beeld. Cloud- en datacenterproviders, beheerde dienstverleners (MSP/MSSP) en domeinnaambeheerders horen daar ook bij.
De richtlijn richt zich in principe op middelgrote en grote organisaties. Dat betekent 50 of meer werknemers of minstens 10 miljoen euro omzet of balanstotaal. Kleinere partijen kunnen toch onder NIS2 vallen als zij een kritieke rol hebben, bijvoorbeeld als enige leverancier of als zij een essentiële ketenfunctie vervullen.
Organisaties worden ingedeeld als “essentieel” of “belangrijk”. Essentieel krijgt zwaarder toezicht; belangrijk valt onder lichtere controle maar moet aan dezelfde basismaatregelen voldoen. Publieke diensten op centraal en regionaal niveau vallen meestal in scope; rechtspraak en parlement zijn uitgezonderd.
Verplichte beveiligingsmaatregelen
NIS2 verplicht tot aantoonbaar risicobeheer. Denk aan een actuele risicoanalyse, beleid voor toegangsbeheer en het trainen van personeel. Ook moeten organisaties hun bedrijfskritieke systemen en leveranciers in kaart brengen, en maatregelen treffen tegen veelvoorkomende aanvallen zoals ransomware en phishing.
Technische basismaatregelen worden expliciet genoemd. Voorbeelden zijn meerfactorauthenticatie (inloggen met extra stap), versleuteling van data in opslag en transport, en regelmatige back-ups die getest worden. Ook patchbeheer en kwetsbaarheden melden (coordinated vulnerability disclosure) horen erbij.
Continuïteitsbeheer is verplicht. Dat betekent draaiboeken voor incidentrespons, uitwijk en herstel. Bestuurders moeten toezicht houden op deze maatregelen. Zij kunnen persoonlijk aansprakelijk zijn bij ernstige nalatigheid, wat de betrokkenheid van de top vergroot.
Snel melden van incidenten
Bij een ernstig cyberincident geldt een strakke meldplicht. Organisaties moeten snel een eerste signaal doen bij het nationale CSIRT of de toezichthouder. Daarna volgt een uitgebreidere melding en een eindrapport met oorzaken en maatregelen.
Incidentmeldingen onder NIS2: binnen 24 uur een early warning, binnen 72 uur een eerste rapport, en binnen 1 maand een eindrapport.
In Nederland verloopt incidentrespons via het Nationaal Cyber Security Centrum (NCSC) en sectorale loketten. Het Digital Trust Center (DTC) ondersteunt bedrijven met advies, maar is geen toezichthouder. Het is verstandig nu al interne procedures en contactpunten te oefenen, inclusief escalatie buiten kantooruren.
Toezicht, boetes en bestuurders
De sancties onder NIS2 zijn fors. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten is dat tot 7 miljoen euro of 1,4% van de omzet. Naast boetes kan de toezichthouder bindende aanwijzingen geven of tijdelijke maatregelen opleggen.
Bestuurdersverantwoordelijkheid is expliciet vastgelegd. Leidinggevenden moeten scholing krijgen en toezicht houden op cyberrisico’s. Bij ernstig falen kan tijdelijke schorsing van verantwoordelijk management volgen.
In Nederland is de implementatiewet op het moment van schrijven nog in voorbereiding. Beoogde bevoegde autoriteiten verschillen per sector; denk aan bestaande toezichthouders zoals De Nederlandsche Bank (financiën) en de Rijksinspectie Digitale Infrastructuur (digitale infrastructuur). Definitieve indeling en handhavingskaders worden bij de nationale invoering vastgelegd.
Impact op AI en data
NIS2 raakt direct aan het beheer van data en algoritmen. Loggen en monitoring worden strenger, wat invloed heeft op AI-systemen die productiekritisch zijn, bijvoorbeeld in zorg of industrie. Leveranciers van AI-diensten via de cloud vallen mogelijk onder de categorie digitale dienstverleners en moeten aan ketenveiligheid voldoen.
De AVG blijft leidend voor persoonsgegevens: dataminimalisatie, versleuteling en toegang op need-to-know-basis. Deze eisen sluiten aan op NIS2 en helpen bij het beperken van schade na een incident. Let op: forensisch onderzoek en incidentmelding moeten AVG-conform gebeuren, inclusief tijdige communicatie bij datalekken.
De Europese AI-verordening (AI Act) introduceert daarnaast risicoklassen voor AI-toepassingen. Voor hoog-risico systemen in gereguleerde sectoren komen audit- en documentatieplichten. Samen met NIS2 ontstaat zo een dubbele lat: veilige infrastructuur plus controleerbare algoritmen en datamodellen.
Zo bepaal je jouw plicht
Begin met een scopecheck: val je in een NIS2-sector, en ben je middelgroot of groter? Kijk daarna naar uitzonderingen en kritieke rollen in de keten. Lever je cloud-, hosting-, of beheerde beveiligingsdiensten, dan is de kans groot dat je onder NIS2 valt, ook als je kleiner bent.
Maak vervolgens een gap-analyse tegen de NIS2-maatregelen. Leg verantwoordelijkheden vast bij het bestuur, stel incidentprocedures op en test die. Regel contractuele eisen voor leveranciers, zoals patchtermijnen, logging en meldplichten.
Wacht niet op nationale details. De Europese minimumeisen zijn helder en sluiten aan op bestaande best practices. Vroege stappen beperken risico’s, versnellen compliance en geven houvast bij toezicht wanneer de Nederlandse wetgeving van kracht wordt.
