NIS2: Wat betekent het voor jouw organisatie?
De Europese NIS2-richtlijn legt nieuwe, strengere eisen op aan cybersecurity voor duizenden Nederlandse organisaties. Of je nu IT-beheerder bent, security professional, of beslisser: NIS2 raakt jouw werk direct.
Wat is NIS2?
NIS2 (Network and Information Security Directive 2) is de opvolger van de originele NIS-richtlijn uit 2016. De richtlijn is op 17 oktober 2024 formeel van kracht gegaan binnen de EU en verplicht organisaties in kritieke sectoren om hun digitale weerbaarheid aantoonbaar op orde te hebben.
Het doel: Europa als geheel weerbaarder maken tegen cyberaanvallen door minimumstandaarden voor beveiliging en incidentrespons af te dwingen.
Nederland specifiek: Nederland heeft de EU-deadline van 17 oktober 2024 gemist. Het wetsvoorstel voor de Nederlandse Cyberbeveiligingswet (Cbw) is op 4 juni 2025 ingediend bij de Tweede Kamer. De inwerkingtreding wordt verwacht in Q2 2026, afhankelijk van de behandeling in de Tweede en Eerste Kamer. De Europese Commissie heeft Nederland al formeel aangesproken op de vertraging en dreigt met juridische stappen. Organisaties doen er verstandig aan zich nu al voor te bereiden — de verplichtingen zelf veranderen niet door het uitstel.
Wie valt onder NIS2?
NIS2 onderscheidt twee categorieën organisaties:
Essentiële entiteiten
Organisaties in sectoren die cruciaal zijn voor de samenleving, zoals:
- Energie (elektriciteit, gas, olie)
- Transport (lucht, spoor, water, weg)
- Drinkwater en afvalwater
- Financiële infrastructuur
- Gezondheidszorg
- Digitale infrastructuur (DNS, datacenters, cloudproviders)
- Overheid
Belangrijke entiteiten
Organisaties die een significante rol spelen maar niet in de essentiële categorie vallen:
- Voedselproductie en -distributie
- Chemische industrie
- Post- en koeriersdiensten
- Afvalverwerking
- Digitale dienstverleners (zoekmachines, online marktplaatsen)
- Maakindustrie (medische apparatuur, elektronica, machines)
Vuistregel: Val je in een van deze sectoren én heb je meer dan 50 medewerkers of een jaaromzet boven €10 miljoen? Dan val je vrijwel zeker onder NIS2.
Wat zijn de verplichtingen?
NIS2 verplicht organisaties op vier hoofdgebieden.
Risicobeheersing
Je moet aantoonbaar risico's identificeren, beoordelen en beheersen. Dit omvat:
- Beleid voor informatiebeveiliging
- Beheer van kwetsbaarheden en patches
- Beveiliging van de toeleveringsketen (supply chain)
- Toegangscontrole en authenticatie
Incidentrespons
Bij een significant cyberincident ben je verplicht dit te melden bij de bevoegde autoriteit (in Nederland: het NCSC of een sectorale toezichthouder):
- Binnen 24 uur: eerste melding
- Binnen 72 uur: volledige melding met impact en maatregelen
- Binnen 1 maand: eindrapportage
Bedrijfscontinuïteit
Je organisatie moet kunnen aantonen dat zij een ernstige cyberaanval kan overleven. Denk aan:
- Back-up- en herstelplannen
- Crisismanagement en communicatieplannen
- Business continuity planning (BCP)
Beveiliging van de keten
NIS2 reikt verder dan je eigen organisatie. Je bent mede verantwoordelijk voor de cybersecurity van je leveranciers en dienstverleners. Contractuele beveiligingseisen stellen is geen optie meer — het is een verplichting.
Wat zijn de sancties?
De handhaving is aanzienlijk aangescherpt ten opzichte van de oude NIS-richtlijn:
| Categorie | Maximale boete |
|---|---|
| Essentiële entiteiten | €10 miljoen of 2% van de wereldwijde jaaromzet |
| Belangrijke entiteiten | €7 miljoen of 1,4% van de wereldwijde jaaromzet |
Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld bij aantoonbare nalatigheid. NIS2 maakt cybersecurity expliciet een bestuurskwestie.
Praktische stappen richting compliance
NIS2-compliance is geen eenmalig project maar een doorlopend proces. Een realistische aanpak in vier stappen:
Stap 1 — Scope bepalen
Stel vast of en hoe jouw organisatie onder NIS2 valt. Raadpleeg eventueel juridisch advies voor sector-specifieke nuances.
Stap 2 — Nulmeting uitvoeren
Breng je huidige beveiligingsniveau in kaart. Gebruik de checklist onderaan deze pagina als startpunt.
Stap 3 — Gaps dichten
Prioriteer maatregelen op basis van risico. Begin met de meest kritieke tekortkomingen: patchbeheer, toegangscontrole en incidentrespons.
Stap 4 — Documenteer en onderhoud
NIS2 vereist aantoonbaarheid. Zorg voor beleidsdocumenten, logboeken en periodieke reviews.
NIS2 in de praktijk: OrangeGuard artikelen
De kwetsbaarheden en dreigingen die we op OrangeGuard behandelen zijn vrijwel altijd direct relevant voor NIS2-compliance. Hieronder vind je onze artikelen gegroepeerd per NIS2-thema.
🔐 Kwetsbaarheidsbeheer & patching
Artikelen over CVE's en patches die illustreren waarom tijdig patchen een NIS2-verplichting is:
- YellowKey: BitLocker-bypass zonder fysieke toegang — een voorbeeld van waarom versleuteling alleen niet voldoende is
- Nightmare Eclipse: Windows zero-days in het wild — actief misbruikte kwetsbaarheden die directe patchactie vereisen
🧱 Netwerkbeveiliging & firewall
Kwetsbaarheden in netwerkinfrastructuur raken direct aan de NIS2-eis voor bescherming van netwerk- en informatiesystemen:
- Palo Alto & Fortinet: twee nieuwe kritieke exploits in het wild — kritieke lekken in veelgebruikte enterprise firewalls
- FortiBleed: wachtwoorden van 74.000 Fortinet-firewalls gekraakt — supply chain risico's bij populaire netwerkapparatuur
🤖 AI-dreigingen & veilig gebruik
NIS2 vereist dat je ook nieuwe aanvalsvectoren beheerst. Onze AI-beveiligingsserie:
- Deel 1: AI als aanvalswapen — hoe aanvallers LLMs inzetten
- Deel 2: Prompt injection in de praktijk
- Deel 3: AI-governance — drie kwart van organisaties heeft geen zicht op hun AI-agents
- Deel 4: Secure prompting — wat typt u eigenlijk in ChatGPT?
📋 Incidentrespons
Binnenkort: artikelen over het opzetten van een incidentresponsproces dat voldoet aan de NIS2-meldplicht.