Stalen hangslot beveiligt bundel netwerkkabels in serverruimte met blauwe LED-lampjes op de achtergrond

Welke cybersecurity maatregelen vereist NIS2?

in

NIS2 vereist dat organisaties tien minimale cybersecuritymaatregelen implementeren volgens artikel 21 van de richtlijn. Deze maatregelen omvatten risicobeheer, incidentafhandeling, bedrijfscontinuïteit, supplychainbeveiliging en cryptografie. De richtlijn verplicht organisaties om passende technische, organisatorische en operationele maatregelen te nemen die evenredig zijn aan de risico’s. Hieronder worden de belangrijkste vragen over NIS2-cybersecuritymaatregelen beantwoord.

Wat zijn de belangrijkste cybersecuritymaatregelen die NIS2 vereist?

NIS2 schrijft tien minimale beveiligingsmaatregelen voor die organisaties moeten implementeren. Deze maatregelen vormen de kern van de zorgplicht onder de Cyberbeveiligingswet en zijn gericht op het beschermen van netwerk- en informatiesystemen tegen cyberdreigingen.

De tien kernverplichtingen onder artikel 21 omvatten:

  • Risicoanalyse en beveiligingsbeleid voor informatiesystemen
  • Incidentafhandeling en respons op beveiligingsincidenten
  • Bedrijfscontinuïteit, back-upbeheer en disaster recovery
  • Beveiliging van de toeleveringsketen en leveranciersbeheer
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van systemen
  • Beleid en procedures voor beoordeling van de effectiviteit van maatregelen
  • Basispraktijken voor cyberhygiëne en training
  • Beleid voor cryptografie en waar nodig encryptie
  • Beveiliging van personeel, toegangsbeleid en beheer van bedrijfsmiddelen
  • Multifactorauthenticatie en beveiligde communicatiesystemen

Het bestuur moet het beveiligingsbeleid vaststellen en minimaal jaarlijks evalueren. Bij significante incidenten of wijzigingen in activiteiten of risico’s is tussentijdse actualisatie verplicht.

Welke organisaties moeten voldoen aan de NIS2-cybersecurityeisen?

NIS2 is van toepassing op middelgrote en grote organisaties die actief zijn in aangewezen sectoren. De richtlijn maakt onderscheid tussen ‘essentiële’ en ‘belangrijke’ entiteiten, waarbij voor essentiële entiteiten strengere eisen en proactief toezicht gelden.

De criteria voor organisatiegrootte zijn helder gedefinieerd. Kleine mkb-organisaties met minder dan 50 werknemers en een omzet en balanstotaal tot 10 miljoen euro vallen buiten de scope. Middelgrote organisaties (50–250 medewerkers of omzet tussen 10–50 miljoen euro) en grote organisaties (meer dan 250 medewerkers of omzet boven 50 miljoen euro) die in aangewezen sectoren opereren, vallen wel onder de richtlijn.

Annex 1 bevat elf essentiële sectoren, waaronder energie, transport, financiële marktinfrastructuren, gezondheid, drinkwater, afvalwater, digitale infrastructuren, overheidsdiensten, ruimtevaart, ICT-servicebeheer (B2B) en bankieren. Grote organisaties in deze sectoren krijgen proactief toezicht van de bevoegde autoriteiten.

Annex 2 omvat belangrijke sectoren zoals post- en koeriersdiensten, afvalbeheer, de chemische industrie, voedselproductie en digitale aanbieders. Voor deze sectoren geldt reactief toezicht.

Hoe verschilt NIS2 van de oorspronkelijke NIS-richtlijn qua beveiligingseisen?

NIS2 brengt aanzienlijke verscherpingen aan ten opzichte van de oorspronkelijke NIS-richtlijn uit 2016. De scope is fors uitgebreid, de verplichtingen zijn concreter en de sancties zijn strenger.

De belangrijkste verschillen betreffen:

  • Uitgebreidere scope: NIS2 omvat meer sectoren en hanteert duidelijke criteria voor organisatiegrootte in plaats van aanwijzing door lidstaten.
  • Geharmoniseerde eisen: De tien minimale beveiligingsmaatregelen gelden uniform voor alle organisaties binnen de scope.
  • Bestuurlijke aansprakelijkheid: Het topmanagement wordt persoonlijk aansprakelijk voor non-compliance met cybersecurityrisicomanagementmaatregelen.
  • Strengere meldplichten: Incidenten moeten binnen 24 uur worden gemeld, gevolgd door tussenrapportages en een eindrapport.
  • Hogere boetes: Sancties kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.

Waar NIS1 veel ruimte liet voor interpretatie door lidstaten, biedt NIS2 een concreter kader met gedetailleerde verplichtingen die organisaties moeten implementeren.

Wat houdt risicobeheer in onder de NIS2-cybersecuritymaatregelen?

Risicobeheer onder NIS2 vereist dat organisaties een systematische aanpak hanteren voor het identificeren, analyseren en beheersen van cybersecurityrisico’s. Dit vormt de basis voor alle andere beveiligingsmaatregelen die de richtlijn voorschrijft.

De risicoanalyse moet dreigingen, kwetsbaarheden en potentiële impact in kaart brengen. Op basis daarvan implementeert de organisatie passende technische en organisatorische maatregelen die evenredig zijn aan de geïdentificeerde risico’s. Het Cbw NIS2 Control Framework, ontwikkeld door ADR en NOREA, biedt een praktisch hulpmiddel om inzicht te krijgen in de huidige staat van cyberweerbaarheid.

Een goed functionerende PDCA-cyclus (Plan-Do-Check-Act) helpt organisaties maatregelen systematisch te plannen, uit te voeren, te monitoren en bij te sturen. De managementsystematiek moet worden geïmplementeerd, waarbij de keuze voor de methodiek aan de organisatie is. Voor overheidsorganisaties is ISO 27001 verplicht gesteld via de BIO2.

Het risicobeheerproces is geen eenmalige exercitie. De evaluatie van risico’s en maatregelen moet periodiek plaatsvinden en bij significante wijzigingen in de organisatie of het dreigingslandschap.

Welke meldplichten gelden er voor cybersecurityincidenten onder NIS2?

NIS2 introduceert strikte meldplichten met duidelijke tijdlijnen voor het rapporteren van significante incidenten aan de bevoegde autoriteiten. Het niet naleven van deze meldplichten kan leiden tot aanzienlijke sancties.

De meldingsprocedure verloopt in drie fasen:

  • Eerste melding binnen 24 uur: een vroegtijdige waarschuwing met basisinformatie over het incident.
  • Tussenrapport binnen 72 uur: een gedetailleerdere beoordeling met informatie over de aard, ernst en impact van het incident.
  • Eindrapport binnen één maand: een volledige analyse, inclusief oorzaken, genomen maatregelen en grensoverschrijdende effecten.

Een incident is meldingsplichtig wanneer het significante operationele verstoringen of financiële verliezen kan veroorzaken, of wanneer het andere organisaties of personen kan treffen. De bevoegde autoriteit kan na ontvangst van de melding aanvullende informatie opvragen en ondersteuning bieden bij de incidentafhandeling.

Hoe kunnen organisaties zich praktisch voorbereiden op de NIS2-cybersecurityeisen?

Een gestructureerde voorbereiding op NIS2 begint met het vaststellen van de huidige situatie en het identificeren van verbeterpunten. Met de operationele deadlines in 2026 is tijdig starten essentieel om compliance te bereiken zonder overhaaste implementatie.

Een QuickScan vormt een laagdrempelig startpunt. In één dag worden kansen en knelpunten geïdentificeerd die aandacht vereisen in de IT-securityvolwassenheid van de organisatie. Na deze nulmeting kan een vervolgtraject worden bepaald op basis van de bevindingen.

Het stappenplan voor NIS2-voorbereiding omvat:

  • Gap-analyse uitvoeren: breng in kaart waar de organisatie staat ten opzichte van de NIS2-eisen.
  • Beleid en procedures opstellen: ontwikkel beveiligingsbeleid dat wordt vastgesteld door het bestuur.
  • Technische maatregelen implementeren: integreer maatregelen in dagelijkse werkzaamheden en processen.
  • Medewerkers trainen: zorg voor bewustwording en basispraktijken voor cyberhygiëne.
  • Supplychainrisico’s in kaart brengen: maak schriftelijke afspraken over beveiliging met leveranciers.

De maatregelen moeten structureel worden geïntegreerd in de cultuur en strategie van de organisatie. Periodieke controle zorgt voor continue uitvoering en beheersing van cybersecurityrisico’s.

Hoe helpt Hoek en Blok IT bij NIS2-cybersecuritymaatregelen?

Hoek en Blok IT ondersteunt organisaties bij het bereiken van NIS2-compliance met een pragmatische en betaalbare aanpak. De combinatie van technische expertise en auditervaring zorgt voor praktische oplossingen die aansluiten bij de specifieke situatie van de organisatie.

De dienstverlening voor NIS2-compliance omvat:

  • QuickScan en gap-analyse: nulmeting van de huidige IT-securityvolwassenheid en identificatie van verbeterpunten.
  • IT-audits en assurancerapportages: ISAE 3000-, ISAE 3402-verklaringen, SOC 2 en ISO 27001-ondersteuning.
  • Securityassessments en penetratietests: ethical hacking om kwetsbaarheden te identificeren voordat kwaadwillenden dat doen.
  • IT Security Officer as-a-Service: externe security-expertise zonder de kosten van een fulltime medewerker.
  • Securityawarenesstraining: medewerkers bewust maken van cyberdreigingen en veilig gedrag.
  • Ondersteuning bij beleid en procedures: ontwikkeling van documentatie die voldoet aan de NIS2-eisen.

Neem contact op voor een vrijblijvend adviesgesprek over de NIS2-voorbereiding van uw organisatie. De NOREA-gecertificeerde EDP-auditors van Hoek en Blok IT helpen u graag bij het versterken van uw cybersecuritypositie richting de deadlines van 2026.