De NISDUC Conference 2026 brengt beveiligingsspecialisten, bestuurders en beleidsmakers in Nederland samen rond de invoering van de EU-richtlijn NIS2. De bijeenkomst vindt in 2026 plaats en richt zich op organisaties die onder de nieuwe regels vallen, van overheid tot vitale sectoren. Doel is duidelijkheid geven over meldplichten, toezicht en leveranciersrisico’s. Ook de Europese AI-verordening gevolgen overheid komen aan bod, omdat veel instellingen kunstmatige intelligentie inzetten in kritieke processen.
NIS2 breidt plichten flink uit
NIS2 is de Europese richtlijn voor netwerk- en informatiebeveiliging en vergroot de reikwijdte van de oude NIS-richtlijn. Meer sectoren vallen er nu onder, zoals gezondheidszorg, digitale infrastructuur, afval- en waterbeheer, post en productie van kritieke goederen. Organisaties worden ingedeeld als essentieel of belangrijk, afhankelijk van sector en omvang. Dat bepaalt hoe streng het toezicht wordt.
De richtlijn verplicht tot basismaatregelen zoals multi-factorauthenticatie, versleuteling en tijdig patchen. Ook horen daar beleid voor continuïteit, crisismanagement en kwetsbaarheden bij, in gewone taal: weten wat je hebt, risico’s beperken en snel kunnen herstellen. Leveranciers en uitbesteding maken expliciet deel uit van de zorgplicht. Dus ook cloud- en IT-dienstverleners moeten aantoonbaar veilig werken.
Bestuurders krijgen expliciete verantwoordelijkheid voor cyberrisico’s. Zij moeten toezicht houden op het beveiligingsbeleid en passende middelen beschikbaar stellen. Niet voldoen kan leiden tot boetes en andere maatregelen. Dat geldt naast bestaande normen zoals ISO 27001 of de Nederlandse BIO voor de overheid.
Incidentmelding wordt strakker geregeld
NIS2 legt vaste termijnen op voor het melden van ernstige incidenten. Er is een vroegtijdige waarschuwing binnen 24 uur nodig en een eerste rapport binnen 72 uur. Een volledig eindrapport volgt binnen een maand. Dit vraagt om continu loggen, detectie en geoefende responsprocedures.
In Nederland melden organisaties bij het nationale CSIRT en de bevoegde toezichthouder, afhankelijk van de sector. Bij datalekken met persoonsgegevens blijft de AVG van kracht, met een aparte melding aan de Autoriteit Persoonsgegevens binnen 72 uur. Processen moeten dus op elkaar aansluiten, zodat één incident niet versnipperd raakt over meerdere loketten. Heldere rollen en draaiboeken helpen om fouten te voorkomen.
Het niet of te laat melden vergroot juridische én reputatierisico’s. Daarom investeren veel organisaties in SIEM-systemen, monitoring en 24/7 bereikbaarheid van het crisisteam. Ook contracten met leveranciers moeten meldplichten en responstijden afdwingen. Zo wordt de hele keten sneller en transparanter.
Boetes onder NIS2 kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet voor essentiële entiteiten, en 7 miljoen euro of 1,4% voor belangrijke entiteiten.
Toezicht verschuift naar strengere handhaving
Het toezicht wordt zichtbaarder en steviger. In Nederland is op het moment van schrijven de Rijksinspectie Digitale Infrastructuur (RDI) een belangrijke toezichthouder voor digitale infrastructuur. Andere sectoren kennen eigen autoriteiten, met coördinatie vanuit het Rijk en advies van het Nationaal Cyber Security Centrum (NCSC). Samenwerken over landsgrenzen heen wordt de norm, omdat incidenten vaak internationaal doorwerken.
Toezichthouders krijgen instrumenten zoals audits, bindende aanwijzingen en aanwijzing van deadlines. Ze kunnen ook bewijsmateriaal opvragen en ter plekke controleren. Voor bedrijven betekent dit: documenteer keuzes, zorg voor actuele risicoregisters en toon aan dat maatregelen werken. Papieren beleid zonder werking in de praktijk is niet genoeg.
Leveranciers komen nadrukkelijk in beeld, waaronder cloudproviders en managed service providers. Contracten moeten beveiliging, toegang tot logs en incidentafspraken vastleggen. Zonder ketenafspraken blijft naleving kwetsbaar. Organisaties die dit vroeg regelen, voorkomen stress bij audits en verstoringen.
Europese AI-verordening gevolgen overheid
De Europese AI-verordening (AI Act) voegt voor overheid en vitale sectoren extra plichten toe bij hoogrisico-algoritmen. Denk aan risicobeoordelingen, dataschetsen, logging en menselijk toezicht. Deze plichten komen bovenop NIS2 en de AVG, en vragen om afstemming tussen CISO, privacy officer en inkoop. De invoering wordt gefaseerd, naar verwachting tussen 2025 en 2027.
NIS2 en de AI Act raken elkaar in de praktijk. Veilig software- en modelbeheer, monitoring en incidentrespons zijn in beide kaders cruciaal. Wie AI-diensten inkoopt, moet eisen stellen aan leveringen: modelupdates, beveiliging van trainingsdata en duidelijke SLA’s bij incidenten. Zo voorkom je dat een algoritme het zwakke punt in de keten wordt.
Voor Nederlandse overheden sluit dit aan bij de BIO en aanbestedingsregels. Transparantie en herstelvermogen zijn kernwoorden. Door architectuurprincipes als “zero trust” en “secure by design” te volgen, voldoe je tegelijk aan NIS2 en leg je de basis voor AI-compliance. De NISDUC-discussies bieden hiervoor praktijkvoorbeelden en checklists.
Wat organisaties nu moeten doen
Begin met een drempelcheck: val je onder NIS2 als essentieel of belangrijk, en voor welke activiteiten? Maak daarna een gap-analyse tegen NIS2-maatregelen en de eigen normen, zoals ISO 27001 of de BIO. Prioriteer acties die incidentdetectie en -melding mogelijk maken, zoals logging, monitoring en contact met CSIRTs. Leg verantwoordelijkheden vast op bestuur-, IT- en leveranciersniveau.
Actualiseer je continuïteits- en crisisplannen en oefen ze twee keer per jaar. Besteed aparte aandacht aan ransomware en aan uitval van externe platforms. Neem in alle leverancierscontracten beveiligingsclausules op, inclusief auditrechten en meldplichten. Dat verkleint juridische onzekerheid en versnelt herstel na een storing.
Investeer in training voor bestuur en sleutelrollen, zodat keuzes aantoonbaar en verdedigbaar zijn. Houd rekening met de AVG bij dataverwerking en met de AI Act waar algoritmen worden ingezet. Wie in 2026 goed beslagen ten ijs komt, beperkt risico’s én kosten. De NISDUC Conference biedt een moment om ervaringen te delen en de laatste eisen te verduidelijken.
