Stalen hangslot met circuitpatronen beveiligt ketting rond verlichte serverrack in datacenter, officieel document ernaast

Wat zijn de minimale cybersecurity maatregelen onder NIS2?

in

De NIS2-richtlijn schrijft tien minimale cybersecuritymaatregelen voor die organisaties verplicht moeten implementeren. Deze maatregelen omvatten risicobeheer, incidentafhandeling, bedrijfscontinuïteit, supply chain security, netwerk- en informatiesysteembeveiliging, beleidsvorming, effectiviteitsbeoordeling, cryptografie, toegangsbeheer en beveiligde communicatie. Met de eerste operationele deadlines in 2026 is het voor middelgrote en grote organisaties in aangewezen sectoren van belang om nu actie te ondernemen.

Welke cybersecuritymaatregelen zijn minimaal verplicht onder NIS2?

De NIS2-richtlijn verplicht organisaties om tien kernmaatregelen te implementeren die samen een solide basis vormen voor cybersecurity. Deze maatregelen zijn niet optioneel, maar vormen het absolute minimum waaraan je moet voldoen. De tien verplichte maatregelen zijn:

  • Risicobeheer: systematische identificatie en beoordeling van cybersecurityrisico’s
  • Incidentafhandeling: procedures voor detectie, respons en herstel bij beveiligingsincidenten
  • Bedrijfscontinuïteit: back-upbeheer, disaster recovery en crisismanagement
  • Supply chain security: beveiliging van de toeleveringsketen en leveranciersrelaties
  • Netwerk- en informatiesysteembeveiliging: technische bescherming van systemen
  • Beleidsvorming: vastgesteld beleid voor risicoanalyse en informatiesysteembeveiliging
  • Effectiviteitsbeoordeling: evaluatie van de werking van maatregelen
  • Cryptografie: beleid en procedures voor versleuteling
  • Toegangsbeheer: human resources security en toegangscontrole
  • Beveiligde communicatie: multifactorauthenticatie en noodcommunicatie

Deze maatregelen hangen nauw samen. Risicobeheer vormt de basis waarop alle andere maatregelen worden gebouwd. Zonder gedegen risicoanalyse weet je niet welke technische en organisatorische maatregelen proportioneel zijn voor jouw situatie.

Wat is het verschil tussen NIS1 en NIS2 qua beveiligingseisen?

NIS2 is aanzienlijk strenger en breder dan de oorspronkelijke NIS-richtlijn. De belangrijkste verschillen zitten in scope, handhaving en aansprakelijkheid. Waar NIS1 zich beperkte tot essentiële diensten en digitale dienstverleners, omvat NIS2 veel meer sectoren en organisaties.

De kernverschillen op een rij:

  • Uitgebreidere scope: meer sectoren en organisatietypes vallen onder de richtlijn
  • Strengere handhaving: toezichthouders krijgen meer bevoegdheden
  • Persoonlijke bestuurdersaansprakelijkheid: topmanagement kan persoonlijk aansprakelijk worden gesteld voor non-compliance
  • Hogere boetes: sancties kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet
  • Gedetailleerdere eisen: concrete technische en organisatorische maatregelen zijn voorgeschreven

Organisaties die onder NIS1 vielen, moeten hun bestaande maatregelen herijken. De kans is groot dat aanvullende investeringen nodig zijn om aan de strengere NIS2-eisen te voldoen.

Hoe bepaal je of jouw organisatie onder de NIS2-richtlijn valt?

Of je organisatie onder NIS2 valt, hangt af van drie factoren: de sector waarin je actief bent, de omvang van je organisatie en eventuele uitzonderingen. NIS2 maakt onderscheid tussen essentiële en belangrijke entiteiten, met verschillende toezichtregimes.

De essentiële sectoren (Annex 1) omvatten energie, transport, financiële marktinfrastructuren, gezondheid, drinkwater, afvalwater, digitale infrastructuren, overheidsdiensten, ruimtevaart, ICT-servicemanagement en bankieren. Grote organisaties in deze sectoren krijgen proactief toezicht van toezichthouders.

De omvangdrempels zijn als volgt:

  • Middelgrote organisaties: 50–250 medewerkers, omzet tussen 10 en 50 miljoen euro
  • Grote organisaties: meer dan 250 medewerkers of omzet boven 50 miljoen euro
  • Kleine organisaties: minder dan 50 medewerkers en omzet onder 10 miljoen euro vallen in principe niet onder NIS2

Om je NIS2-status te bepalen, inventariseer je eerst in welke sector(en) je organisatie actief is. Vervolgens toets je of je voldoet aan de omvangcriteria. Let op: ook als je niet direct onder de scope valt, kunnen klanten of opdrachtgevers NIS2-compliance van je verwachten als onderdeel van hun supply chain security.

Welke risicobeheermaatregelen eist NIS2 concreet?

NIS2 schrijft een risicogebaseerde aanpak voor waarbij maatregelen proportioneel moeten zijn aan de geïdentificeerde risico’s. Dit betekent dat je niet zomaar een standaardpakket maatregelen kunt implementeren, maar een gedegen risicoanalyse moet uitvoeren als fundament.

De concrete eisen voor risicobeheer omvatten:

  • Risicoanalysemethodiek: een gestructureerde aanpak voor het identificeren van dreigingen en kwetsbaarheden
  • Proportionaliteitsbeginsel: maatregelen moeten in verhouding staan tot de risico’s en de omvang van je organisatie
  • Documentatie-eisen: vastlegging van risicoanalyses, besluitvorming en genomen maatregelen
  • Periodieke herziening: regelmatige actualisatie van risicobeoordelingen

Risicobeheer vormt de schakel naar de andere negen maatregelcategorieën. Op basis van je risicoanalyse bepaal je welke technische maatregelen nodig zijn, hoe je incidentrespons inricht en welke eisen je aan leveranciers stelt. Een veelvoorkomende misvatting is dat NIS2 volledig kan worden uitbesteed aan een IT-leverancier. De realiteit is dat NIS2 primair een organisatorisch vraagstuk is, waarbij techniek ondersteunend werkt.

Wat zijn de meldplichten en incidentresponse-eisen onder NIS2?

NIS2 introduceert een getrapte meldprocedure voor significante beveiligingsincidenten. Je bent verplicht om incidenten binnen strikte termijnen te melden aan het nationale CSIRT (Computer Security Incident Response Team) en de toezichthouder.

De meldtermijnen zijn:

  • Binnen 24 uur: vroegtijdige waarschuwing dat er een significant incident heeft plaatsgevonden
  • Binnen 72 uur: volledige incidentmelding met eerste beoordeling van ernst en impact
  • Binnen één maand: eindrapport met gedetailleerde analyse, oorzaken en genomen maatregelen

Een incident is significant wanneer het ernstige operationele verstoring veroorzaakt of financiële schade toebrengt. Het niet tijdig melden kan leiden tot boetes en reputatieschade. Daarom is het van belang om vooraf incidentresponseprocedures op te stellen, zodat je bij een incident direct kunt handelen.

Hoe bereid je je organisatie praktisch voor op NIS2-compliance?

Een gestructureerde aanpak is noodzakelijk om tijdig NIS2-compliant te zijn. Met de deadlines in 2026 in zicht is het verstandig om nu te starten. De volgende stappen helpen je op weg:

  • Gapanalyse uitvoeren: breng in kaart waar je staat ten opzichte van de NIS2-eisen
  • Governancestructuur inrichten: wijs verantwoordelijkheden toe en beleg eigenaarschap op bestuursniveau
  • Beleid en procedures opstellen: documenteer je aanpak voor risicobeheer, incidentrespons en andere maatregelgebieden
  • Technische maatregelen implementeren: voer noodzakelijke technische verbeteringen door
  • Awareness vergroten: train medewerkers in cybersecuritybewustzijn
  • Supply chain beoordelen: evalueer de cybersecurity van je leveranciers
  • Compliance aantoonbaar maken: zorg voor documentatie en eventueel een assuranceverklaring

Een security officer vanuit de eigen organisatie is onmisbaar voor succesvolle implementatie. Externe IT-beheerders kunnen helpen bij technische aspecten, maar het totaalplaatje moet je zelf organiseren. Veel zaken zitten in de details, waarvoor specialistische expertise nodig is.

Hoe helpt Hoek en Blok IT bij NIS2-compliance en cybersecuritymaatregelen?

Hoek en Blok IT ondersteunt organisaties bij het complete NIS2-traject, van nulmeting tot aantoonbare compliance. De aanpak is pragmatisch, doelgericht en betaalbaar, met maatregelen zoveel mogelijk belegd in de eerste lijn, zonder onnodige administratieve last.

De dienstverlening omvat:

  • Gapanalyses en nulmetingen: uitgevoerd door NOREA-gecertificeerde auditors
  • ISAE-verklaringen en SOC 2-rapportages: voor aantoonbare procesbeheersing richting klanten en toezichthouders
  • Penetratietests en securityassessments: technische toetsing van je beveiligingsniveau
  • IT Security Officer as-a-Service: doorlopende complianceondersteuning zonder fulltime medewerker
  • Implementatiebegeleiding: praktische ondersteuning bij het inrichten van beleid en maatregelen

Aantoonbare IT-security en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij leveranciersselectie. Een ISAE-verklaring of SOC 2-rapportage geeft zekerheid over de structurele uitvoering van maatregelen.

Wil je weten waar jouw organisatie staat op het gebied van NIS2? Neem contact op voor een vrijblijvend adviesgesprek en ontdek hoe je pragmatisch en betaalbaar kunt voldoen aan de nieuwe eisen.

Welke externe hulp is beschikbaar voor NIS2?Cybersecurity-consultant in professionele kleding reikt hand uit, naast beschermend schild en bureau met compliancedocumentenHanden van een directeur markeren een compliance-checklist met een vulpen op een mahonie bureau naast een laptopNIS 2 checklist: ben jij klaar voor de nieuwe verplichtingen?