Handen van een directeur markeren een compliance-checklist met een vulpen op een mahonie bureau naast een laptop

NIS 2 checklist: ben jij klaar voor de nieuwe verplichtingen?

in

De NIS2-checklist helpt organisaties om systematisch te voldoen aan de nieuwe Europese cybersecurityverplichtingen die in Nederland per 1 juli 2026 van kracht worden via de Cyberbeveiligingswet. Deze richtlijn stelt strengere eisen aan risicobeheer, incidentmelding en bestuurdersverantwoordelijkheid. In dit artikel beantwoorden we de belangrijkste vragen over NIS2-compliance, van het bepalen of jouw organisatie onder de wet valt tot een praktische implementatieaanpak.

Wat is de NIS2-richtlijn en waarom is deze belangrijk voor jouw organisatie?

De NIS2-richtlijn is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016 en vormt de Europese standaard voor cybersecurity. De richtlijn wordt in Nederland geïmplementeerd via de Cyberbeveiligingswet (Cbw) en het Cyberbeveiligingsbesluit (Cbb). Het doel is om de digitale weerbaarheid van de EU te versterken door meer sectoren en organisaties te verplichten tot adequate cyberbeveiligingsmaatregelen.

De coronacrisis heeft de digitalisering in een stroomversnelling gebracht, wat zowel kansen als uitdagingen biedt. Cybercriminelen worden steeds slimmer en de oude NIS-richtlijn gold alleen voor grote bedrijven in kritieke sectoren zoals energie- en waterbedrijven. De NIS2-richtlijn breidt het toepassingsgebied aanzienlijk uit naar meer sectoren en kleinere organisaties.

Voor jouw organisatie betekent dit dat je nu moet handelen. De operationele deadline van 1 juli 2026 nadert snel en de implementatie van alle vereiste maatregelen kost tijd. Wachten tot het laatste moment brengt risico’s met zich mee, zowel operationeel als financieel.

Valt jouw organisatie onder de NIS2-richtlijn?

Of jouw organisatie onder de NIS2-richtlijn valt, hangt af van de sector waarin je opereert en de omvang van je bedrijf. De richtlijn maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten, elk met eigen verplichtingen en toezichtniveaus.

De NIS2-essentiële sectoren omvatten onder andere:

  • Energie (elektriciteit, olie, gas, waterstof)
  • Transport (luchtvaart, spoor, water, weg)
  • Gezondheidszorg
  • Drinkwater en afvalwater
  • Digitale infrastructuur en ICT-dienstverlening
  • Overheid en ruimtevaart

De NIS2-belangrijke sectoren betreffen onder meer post- en koeriersdiensten, afvalbeheer, chemie, voedselproductie, productie van medische hulpmiddelen en digitale aanbieders.

Qua drempelwaarden geldt de richtlijn doorgaans voor middelgrote en grote organisaties: meer dan 50 werknemers of een jaaromzet boven € 10 miljoen. Bepaalde organisaties vallen ongeacht hun omvang onder de richtlijn vanwege hun kritieke functie voor de samenleving.

Wat zijn de belangrijkste NIS2-verplichtingen voor organisaties?

De NIS2-verplichtingen rusten op drie kernpijlers: zorgplicht, meldplicht en toezicht. Organisaties moeten een risicogebaseerde aanpak hanteren en passende maatregelen implementeren om hun diensten en informatie te beschermen tegen cyberaanvallen.

De zorgplicht verplicht organisaties om een risicobeoordeling uit te voeren en maatregelen te nemen die passen bij de aard, omvang en impact van hun diensten. Concreet betekent dit:

  • Een helder beleid voor risicoanalyse en beveiliging van informatiesystemen
  • Periodieke beoordeling van de effectiviteit van cyberbeveiligingsmaatregelen
  • Adequaat gebruik van cryptografie en encryptie
  • Business continuity-planning en disaster recovery-procedures
  • Supply chain security en leveranciersrisicobeheer

De NIS2-meldplicht vereist dat organisaties significante incidenten binnen 24 uur melden aan de toezichthouder en het Computer Security Incident Response Team (CSIRT). Dit vraagt om goed ingerichte incidentresponseprocedures.

Het toezicht betekent dat organisaties onder controle komen te staan van een onafhankelijke toezichthouder die de naleving van verplichtingen controleert en handhavingsmaatregelen kan opleggen.

Welke boetes en sancties gelden bij niet-naleving van NIS2?

Het sanctieregime onder NIS2 is aanzienlijk strenger dan onder de vorige richtlijn. De NIS2-boetes kunnen oplopen tot forse bedragen die een serieuze impact hebben op de bedrijfsvoering.

Voor essentiële entiteiten gelden maximale boetes van € 10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten liggen de maxima op € 7 miljoen of 1,4% van de wereldwijde omzet.

Bijzonder aan de NIS2-richtlijn is de NIS2-bestuurdersaansprakelijkheid. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor de gevolgen van een hack of non-compliance. In ernstige gevallen zijn zelfs tijdelijke bestuursverboden mogelijk. Dit maakt cybersecurity nadrukkelijk een bestuurskamerthema en niet langer alleen een IT-aangelegenheid.

Als directie is het daarom cruciaal om te weten wat er speelt binnen je organisatie op het gebied van cybersecurity. Is dit nu nog vooral het domein van IT? Dan is dit het moment om daar verandering in te brengen.

Hoe ziet een praktische NIS2-checklist eruit voor compliance?

Een pragmatische NIS2-checklist voor compliance bestaat uit vijf fasen die je systematisch doorloopt. Deze aanpak zorgt ervoor dat je geen belangrijke stappen overslaat en tijdig compliant bent.

Fase 1: Analyseren van cyberrisico’s

  • Inventariseer IT-middelen die nodig zijn voor diensten onder NIS2
  • Voer een IT-securitytest uit om kwetsbaarheden te identificeren
  • Stel een risicoanalyse op om kans en impact van risico’s te bepalen

Fase 2: Bepalen van maatregelen

  • Voer een business impact assessment uit
  • Identificeer de kroonjuwelen van je organisatie
  • Voer een gap-analyse uit tussen de huidige en gewenste situatie

Fase 3: Opstellen van actieplan

  • Ontwerp een controls framework met maatregelen en verantwoordelijken
  • Stel een informatiebeveiligingsbeleid op als kapstok voor implementatie
  • Bepaal de frequentie van uitvoering per maatregel

Fase 4: Uitvoeren van maatregelen

  • Integreer maatregelen structureel in de dagelijkse werkzaamheden
  • Organiseer security awareness-training voor medewerkers
  • Implementeer technische maatregelen zoals updates en back-ups

Fase 5: Controleren en verbeteren

  • Analyseer incidenten en documenteer de resultaten
  • Controleer maatregelen periodiek op effectiviteit
  • Rapporteer aan het bestuur en pas aan waar nodig

Wanneer moet je klaar zijn voor NIS2 en hoe plan je de implementatie?

De NIS2-richtlijn wordt in Nederland geïmplementeerd via de Cyberbeveiligingswet met een operationele deadline van 1 juli 2026. Dit lijkt wellicht ver weg, maar een gedegen NIS2-implementatie kost tijd, zeker als processen en documentatie nog niet op orde zijn.

Een realistische planning voor NIS2 2026 ziet er als volgt uit:

Nu tot en met Q2 2025: Start met een nulmeting om je huidige cybersecuritystatus te bepalen. Identificeer potentiële kwetsbaarheden en breng je IT-landschap in kaart.

Q2 tot en met Q4 2025: Voer de gap-analyse uit en stel je actieplan op. Prioriteer maatregelen op basis van risico en impact. Begin met de implementatie van quick wins.

Q1 tot en met Q2 2026: Rond de implementatie van maatregelen af. Test je incidentresponseprocedures en train medewerkers. Zorg dat de documentatie compleet is.

Het goede nieuws is dat je qua NIS2-risicobeheer niet volledig iets nieuws hoeft te doen. Als je je focust op het identificeren van de belangrijkste risico’s en maatregelen voor IT security in het algemeen, dan heb je al een goede start gemaakt.

Hoe helpt Hoek en Blok IT bij NIS2-compliance?

Hoek en Blok IT ondersteunt organisaties bij het behalen van NIS2-compliance met een pragmatische en betaalbare aanpak. De NOREA-gecertificeerde EDP-auditors combineren technische expertise met auditervaring om je organisatie compliant én daadwerkelijk veiliger te maken.

De dienstverlening voor NIS2-compliance omvat:

  • NIS2-nulmeting en gap-analyse: inzicht in je huidige status, kroonjuwelen en verbeterpunten via een scan van IT-infrastructuur, processen en beveiligingsbeleid
  • Ondersteuning bij risicobeheer: opstellen van een risicoregister, informatiebeveiligingsbeleid en controls framework
  • Penetratietests en security assessments: identificeren van technische kwetsbaarheden in netwerk en systemen
  • IT Security Officer as a Service: doorlopende ondersteuning voor het borgen van compliance en security
  • Begeleiding bij auditrapportages: ondersteuning bij ISAE 3000- en ISAE 3402-verklaringen voor het aantonen van procesbeheersing

Na een nulmeting ontvang je concrete deliverables: een risicoregister, een kroonjuwelenoverzicht, een informatiebeveiligingsbeleid en een helder adviesrapport met verbetermaatregelen. Neem contact op voor een vrijblijvend gesprek over hoe jouw organisatie tijdig en adequaat kan voldoen aan de NIS2-eisen.

Wat zijn de minimale cybersecurity maatregelen onder NIS2?Stalen hangslot met circuitpatronen beveiligt ketting rond verlichte serverrack in datacenter, officieel document ernaastSierlijke gouden zandloper met stromend zand op een bureau, rustend op een verzegeld document, dramatische belichting.Wanneer wordt de NIS2-richtlijn van toepassing?