NIS2 compliance in 2026: wat moet je nu concreet doen?

Compliance8 min leestijd
K

Kees van der Vlies

Partner | IT-auditor

De Europese NIS2-richtlijn is sinds oktober 2024 van kracht. Nederland werkt aan de implementatiewet Cyberbeveiligingswet (Cbw), die NIS2 vertaalt naar Nederlandse wetgeving. Voor veel organisaties voelt NIS2 nog als iets van de toekomst, maar de realiteit is dat de eisen nu al van toepassing zijn en dat toezichthouders actief voorbereiden op handhaving.

De kern van de vraag die wij dagelijks krijgen: wat moeten we concreet doen? Dit artikel geeft antwoord.

Val je onder NIS2?

De eerste stap is bepalen of jouw organisatie onder de scope van NIS2 valt. De richtlijn onderscheidt essentiële en belangrijke entiteiten. Essentiële entiteiten zijn organisaties in sectoren als energie, transport, bankwezen, gezondheidszorg, drinkwater en digitale infrastructuur. Belangrijke entiteiten omvatten sectoren als post- en koeriersdiensten, afvalbeheer, chemische industrie, voedselproductie, maakindustrie en digitale aanbieders.

De drempel is lager dan veel organisaties verwachten. Middelgrote bedrijven met meer dan 50 medewerkers of meer dan 10 miljoen euro omzet in een van deze sectoren vallen er al onder. Daarnaast kunnen toeleveranciers van essentiële entiteiten indirect geraakt worden door de ketenverantwoordelijkheid die NIS2 voorschrijft.

De tien maatregelen

NIS2 schrijft tien categorieën van beveiligingsmaatregelen voor. Dit zijn geen suggesties maar wettelijke vereisten. Ze omvatten risicoanalyse en beleid voor informatiebeveiliging, incidentafhandeling, bedrijfscontinuïteit en crisisbeheer, beveiliging van de toeleveringsketen, beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, beleid en procedures om de effectiviteit van maatregelen te beoordelen, basispraktijken voor cyberhygiëne en cyberbeveiligingstraining, beleid en procedures voor het gebruik van cryptografie, personeelsbeveiliging en toegangscontrolebeleid, en het gebruik van multifactor-authenticatie en beveiligde communicatie.

De praktische vertaling

Waar het in de praktijk op neerkomt is dat organisaties een aantal concrete zaken moeten regelen. Ten eerste een actuele risicoanalyse die informatiebeveiliging dekt en die periodiek wordt herzien. Dit is het fundament waarop alle andere maatregelen rusten.

Ten tweede een incident response plan dat beschrijft hoe beveiligingsincidenten worden gedetecteerd, afgehandeld en gemeld. NIS2 vereist melding van significante incidenten bij de bevoegde autoriteit binnen 24 uur (vroegtijdige waarschuwing) en een volledig incidentrapport binnen 72 uur.

Ten derde ketenbeveiliging. Organisaties moeten de beveiligingsrisico's van hun leveranciers en dienstverleners in kaart brengen en beheersen. Dit betekent contractuele afspraken, periodieke beoordelingen en het bijhouden van een leveranciersregister met risicoclassificatie.

Ten vierde technische maatregelen die passen bij de vastgestelde risico's. Denk aan netwerksegmentatie, logging en monitoring, patchmanagement, multifactor-authenticatie en encryptie van data in transit en at rest.

Ten vijfde governance. Het bestuur moet aantoonbaar betrokken zijn bij cybersecurity. NIS2 legt expliciet verantwoordelijkheid bij het management, inclusief de mogelijkheid van persoonlijke aansprakelijkheid bij nalatigheid.

Wat de auditor controleert

Als IT-auditors zien wij dat de eisen van NIS2 grotendeels overlappen met bestaande frameworks als ISO 27001 en de BIO. Organisaties die al gecertificeerd zijn of werken volgens deze frameworks hebben een voorsprong. Maar er zijn specifieke NIS2-eisen die verder gaan, met name de meldplicht, de ketenverantwoordelijkheid en de bestuursaansprakelijkheid.

Bij een NIS2-assessment beoordelen wij of de organisatie de scope correct heeft bepaald, of de vereiste maatregelen zijn geïmplementeerd en of er aantoonbaar bewijs is van naleving. Aantoonbaarheid is het sleutelwoord. Het is niet voldoende om beleid te hebben; je moet kunnen laten zien dat het beleid wordt nageleefd, dat medewerkers getraind zijn, dat incidenten worden afgehandeld volgens procedure, en dat het management betrokken is.

Boetes en handhaving

De sancties onder NIS2 zijn substantieel. Essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Belangrijke entiteiten tot 7 miljoen euro of 1,4% van de omzet. Toezichthouders krijgen bevoegdheden om audits op te leggen, maatregelen voor te schrijven en bij herhaalde overtreding bestuurders tijdelijk te schorsen.

Begin vandaag

De organisaties die het best voorbereid zijn, zijn niet degenen die wachten op de definitieve wettekst. Het zijn de organisaties die nu hun risicoanalyse actualiseren, hun incident response testen, hun leveranciers beoordelen en hun bestuur betrekken. NIS2 is geen checkbox-oefening maar een structurele verhoging van het cybersecurity-volwassenheidsniveau.

Secure Audit helpt organisaties bij het bepalen van hun NIS2-scope, het uitvoeren van gap-analyses en het implementeren van de vereiste maatregelen. Neem contact op voor een NIS2-readiness assessment.

Over de auteur

K
Kees van der Vlies

Partner | IT-auditor

Terug naar kennisbank

Meer artikelen

Compliance

ISO 42001 certificering: 7 lessen uit de praktijk

Steeds meer bedrijven willen ISO 42001-gecertificeerd worden. Maar de praktijk is weerbarstiger dan de theorie. Dit zijn de zeven dingen die wij tegenkomen bij organisaties die hun AI-governance op orde willen brengen.

Door Kees van der Vlies
Compliance

NIS2 richtlijn

De NIS2-richtlijn brengt strikte cybersecurity-eisen met zich mee voor Nederlandse organisaties. Lees alles over de implementatie en je verplichtingen.

Door Kees van der Vlies
Compliance

DORA digital resilience

DORA (Digital Operational Resilience Act) stelt strikte eisen aan digitale veerkracht in de financiële sector. Lees wat dit betekent voor jouw organisatie.

Door Kees van der Vlies

Heb je een vraag?

Neem contact met ons op voor advies over IT-audit, compliance en informatiebeveiliging.

Contact opnemen