Kees van der Vlies
Partner | IT-auditor
De NIS2-richtlijn (Network and Information Security Directive 2) is een baanbrekende Europese wet die cybersecurity op het agenda van bestuurders zet. Voor Nederlandse organisaties betekent dit concrete verplichtingen en aanzienlijke gevolgen bij non-compliance.
NIS2 vervangt de originele NIS-richtlijn uit 2016 en brengt veel strenger vereisten met zich mee. De richtlijn definieert twee categorieën entiteiten: essentiële diensten (energy, water, health, transport) en belangrijke entiteiten (ICT, digital services providers, financiële sector). Beide groepen moeten aan aanzienlijke cybersecurity-maatregelen voldoen.
Een van de meest veranderde aspecten is het topbestuur governance. NIS2 vereist dat raden van bestuur verantwoordelijk zijn voor cybersecurity-strategie en incidentenrespons. Dit brengt risico's en aansprakelijkheden naar het directieniveau, wat veel organisaties serieus neemt.
De richtlijn stelt ook aanmerkelijk hogere eisen aan incidentenrapportage. Organisaties moeten cyberincidenten met 'ernstige gevolgen' melden aan de bevoegde autoriteiten. In Nederland is dit het NCSC. De meldstructuur is getrapt: een vroegtijdige waarschuwing binnen 24 uur, gevolgd door een volledige incidentmelding binnen 72 uur en een eindverslag binnen een maand.
Technische controles zijn ook uitgebreid. NIS2 vraagt om encryptie, multi-factor authenticatie, segmentatie van netwerken, incidentrespons planning, en doorlopend monitoring van cybersecurity-bedreigingen. Organisaties moeten een gestructureerde aanpak hebben voor risicomanagement, niet slechts ad-hoc maatregelen.
De implementatie in Nederland verloopt via de herziene Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Voor veel organisaties is dit een aanzienlijke inspanning die meer dan alleen IT vereist. Change management, training en cultuurverandering zijn net zo belangrijk als technische maatregelen.
Wij begrijpen de complexiteit van NIS2-compliance. Ons team helpt organisaties hun huidige cybersecurity-posture te beoordelen en een realistische implementatieplan te ontwikkelen. Laten we samen jouw organisatie NIS2-klaar maken. Neem contact op.
Lees ook
De NIS2-richtlijn is van kracht en de Nederlandse implementatiewet nadert. Veel organisaties weten dat ze iets moeten doen, maar niet wat. Dit artikel beschrijft de concrete stappen die organisaties nu moeten nemen om compliant te worden.
DORA (Digital Operational Resilience Act) stelt strikte eisen aan digitale veerkracht in de financiële sector. Lees wat dit betekent voor jouw organisatie.
DNB, AFM en andere toezichthouders controleren scherp op IT-risicomanagement. Ontdek wat zij zoeken naar.
Over de auteur
Partner | IT-auditor