NIS2 Richtlijn: Wat Elk Nederlands Bedrijf Moet Weten

Er komt een tsunami aan cybersecurity-wetgeving op het Nederlandse bedrijfsleven af. De NIS2-richtlijn, voluit de Network and Information Security Directive 2, wordt in 2025 van kracht en raakt naar schatting 10.000 Nederlandse organisaties. Veel meer dan de huidige wetgeving. Als IT-dienstverlener merken we dat veel bedrijven zich nog niet bewust zijn van wat er op hen afkomt. In dit artikel leggen we helder uit wat NIS2 inhoudt, of jouw organisatie eronder valt, en wat je concreet moet doen om compliant te worden. ## Waarom NIS2? Laten we beginnen met de context. Cyberaanvallen nemen explosief toe. In 2023 werden Nederlandse bedrijven gemiddeld 1.500 keer per week aangevallen, een stijging van 25% ten opzichte van het jaar ervoor. Ransomware, phishing, supply chain attacks - de dreigingen worden steeds geavanceerder. De oorspronkelijke NIS-richtlijn uit 2016 bleek te beperkt. Te weinig bedrijven vielen eronder, de eisen waren te vaag, en de handhaving was zwak. NIS2 is het Europese antwoord: strengere regels, breder toepassingsgebied, en serieuze sancties. Het doel is simpel: het algemene cybersecurity-niveau in Europa verhogen. Want in een verbonden economie is de beveiliging zo sterk als de zwakste schakel. ## Valt jouw organisatie onder NIS2? Dit is de eerste en belangrijkste vraag. NIS2 richt zich op twee categorieën: essentiële entiteiten en belangrijke entiteiten. ### Essentiële entiteiten Dit zijn organisaties in sectoren die cruciaal zijn voor het functioneren van de samenleving. Denk aan energie (elektriciteitsproducenten, netbeheerders, olie- en gasinfrastructuur), transport (luchtvaart, spoor, scheepvaart, wegvervoer), bankwezen en financiële marktinfrastructuur, gezondheidszorg (ziekenhuizen, laboratoria, farmaceuten), drinkwater en afvalwater, digitale infrastructuur (datacenters, DNS-providers, cloudaanbieders), ICT-dienstverlening (managed service providers, managed security service providers), en overheidsinstanties. De drempel voor essentiële entiteiten is minimaal 250 medewerkers of minimaal 50 miljoen euro omzet. ### Belangrijke entiteiten Dit zijn organisaties die belangrijk zijn, maar niet kritiek voor het directe functioneren van de samenleving. Hieronder vallen post- en koeriersdiensten, afvalbeheer, chemische industrie, voedselproductie en -distributie, maakindustrie (medische apparatuur, elektronica, machines, voertuigen), digitale dienstverleners (online marktplaatsen, zoekmachines, sociale netwerken), en onderzoeksorganisaties. De drempel voor belangrijke entiteiten is lager: minimaal 50 medewerkers of minimaal 10 miljoen euro omzet. ### Let op: uitzonderingen Sommige organisaties vallen altijd onder NIS2, ongeacht hun grootte. Dit geldt voor aanbieders van DNS-diensten, TLD-registers, aanbieders van cloud computing diensten, aanbieders van datacenterdiensten, aanbieders van content delivery networks, en gekwalificeerde vertrouwensdiensten. Een klein IT-bedrijf dat managed services levert aan klanten in kritieke sectoren kan dus ook onder NIS2 vallen. ### De zelftest Vraag jezelf af: werk ik in een van de genoemde sectoren? Heb ik meer dan 50 medewerkers of meer dan 10 miljoen omzet? Lever ik diensten aan organisaties in kritieke sectoren? Als je op een van deze vragen ja antwoordt, is de kans groot dat NIS2 op jou van toepassing is. Bij twijfel: raadpleeg een expert. De boetes voor non-compliance zijn te hoog om risico's te nemen. ## Wat eist NIS2 precies? De richtlijn schrijft tien concrete beveiligingsmaatregelen voor. Laten we ze één voor één doornemen met praktische uitleg. ### 1. Beleid voor risicoanalyse en informatiebeveiliging Je moet een formeel informatiebeveiligingsbeleid hebben, gedocumenteerd en goedgekeurd door het management. Dit beleid moet gebaseerd zijn op een risicoanalyse: welke dreigingen zijn relevant voor jouw organisatie en hoe waarschijnlijk en impactvol zijn ze? In de praktijk betekent dit dat je minimaal jaarlijks een risicoanalyse uitvoert. Je documenteert je beveiligingsbeleid en -procedures. Het management tekent voor het beleid en draagt dit actief uit. ### 2. Incidentafhandeling Je moet procedures hebben voor het detecteren, melden en afhandelen van beveiligingsincidenten. Dit omvat detectiemechanismen (monitoring, logging, alerting), een incident response plan met duidelijke rollen en verantwoordelijkheden, communicatieprocedures (intern en extern), en post-incident analyse (wat ging er mis en hoe voorkomen we herhaling). Belangrijke toevoeging: NIS2 introduceert strikte meldtermijnen. Significante incidenten moeten binnen 24 uur worden gemeld aan de toezichthouder met een eerste waarschuwing. Binnen 72 uur volgt een uitgebreider rapport. En binnen een maand een definitief rapport met root cause analyse. ### 3. Bedrijfscontinuïteit en crisisbeheer Wat doe je als het misgaat? NIS2 eist dat je plannen hebt voor bedrijfscontinuïteit en disaster recovery. Dit betekent back-upstrategieën die zijn gedocumenteerd en getest. Het betekent recovery procedures met duidelijke tijdlijnen (binnen hoeveel tijd moet je weer operationeel zijn). Het betekent crisismanagementplannen voor verschillende scenario's. En het betekent regelmatige oefeningen om te testen of de plannen werken. Een back-up maken is niet genoeg. Je moet kunnen aantonen dat je die back-up ook daadwerkelijk kunt terugzetten. ### 4. Beveiliging van de toeleveringsketen Dit is nieuw en belangrijk. Je bent niet alleen verantwoordelijk voor je eigen beveiliging, maar ook voor die van je leveranciers en partners. Concreet betekent dit dat je leveranciers beoordeelt op hun beveiligingsniveau voordat je met ze in zee gaat. Je neemt beveiligingseisen op in contracten. Je monitort of leveranciers aan hun verplichtingen voldoen. En je hebt een plan voor als een leverancier wordt gecompromitteerd. Voor IT-dienstverleners zoals wij is dit dubbelzijdig: we moeten zelf voldoen aan de eisen van onze klanten, én we moeten onze eigen leveranciers beoordelen. ### 5. Beveiliging bij ontwikkeling en onderhoud Als je software ontwikkelt of systemen beheert, moet je security by design toepassen. Beveiliging is geen afterthought maar wordt meegenomen vanaf het begin. Dit omvat secure coding practices, code reviews met focus op beveiliging, vulnerability assessments en penetratietesten, en patch management procedures. ### 6. Beoordeling van effectiviteit Je moet kunnen aantonen dat je maatregelen daadwerkelijk werken. Dit vraagt om regelmatige audits en assessments, penetratietesten door onafhankelijke partijen, monitoring van beveiligingsmetrics, en continue verbetering op basis van bevindingen. ### 7. Cyberhygiëne en training Mensen zijn vaak de zwakste schakel. NIS2 eist aandacht voor de menselijke factor. Dit betekent security awareness training voor alle medewerkers, specifieke training voor IT-personeel, phishing simulaties om awareness te testen, en duidelijk beleid voor wachtwoorden, clean desk, en omgang met data. ### 8. Cryptografiebeleid Je moet beleid hebben voor het gebruik van encryptie. Welke data wordt versleuteld? Met welke methoden? Hoe beheer je encryptiesleutels? Praktisch: zorg voor encryptie van data at rest (opgeslagen data) en in transit (data die over netwerken gaat). Documenteer je keuzes en zorg voor goed sleutelbeheer. ### 9. Personeelsbeveiliging en toegangsbeheer Wie heeft toegang tot wat? NIS2 eist strikte controle over toegangsrechten. Dit omvat screening van medewerkers bij aanname, het principe van least privilege (alleen toegang tot wat nodig is voor de functie), regelmatige review van toegangsrechten, en uitdienstprocedures (direct intrekken van alle toegang bij vertrek). ### 10. Multi-factor authenticatie en beveiligde communicatie MFA is niet langer optioneel maar verplicht voor toegang tot kritieke systemen. Daarnaast moet communicatie beveiligd zijn met versleuteling. ## De tijdlijn: wanneer moet je klaar zijn? De Europese deadline was 17 oktober 2024. Lidstaten moesten de richtlijn dan hebben omgezet in nationale wetgeving. Nederland heeft deze deadline gemist - de Cyberbeveiligingswet (Cbw) is nog in behandeling. Verwachte tijdlijn voor Nederland: de wet wordt naar verwachting begin 2025 aangenomen. Na aanname krijgen organisaties waarschijnlijk 12-18 maanden om te voldoen. Actieve handhaving start vermoedelijk eind 2025 of begin 2026. Dit betekent niet dat je kunt wachten. De wet komt er, en de voorbereidingstijd is beperkt. Begin nu met je voorbereiding. ## De sancties: wat riskeer je? NIS2 introduceert aanzienlijke boetes, vergelijkbaar met de AVG. Voor essentiële entiteiten geldt een maximum van 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten is het maximum 7 miljoen euro of 1,4% van de wereldwijde omzet. Nieuw en belangrijk: bestuurders kunnen persoonlijk aansprakelijk worden gesteld. Bij grove nalatigheid kunnen zij tijdelijk worden uitgesloten van managementfuncties. Dit zijn geen theoretische risico's. De toezichthouders krijgen onder NIS2 meer bevoegdheden en middelen om te handhaven. ## Stappenplan: van nul naar compliant Genoeg theorie. Hoe pak je dit aan? Hier is een praktisch stappenplan. ### Fase 1: Assessment (nu starten) Bepaal eerst of NIS2 op jou van toepassing is. Inventariseer je huidige beveiligingsmaatregelen. Voer een gap-analyse uit: waar voldoe je al, waar niet? Bepaal de prioriteiten en het benodigde budget. Resultaat: een helder beeld van wat je moet doen en wat het gaat kosten. ### Fase 2: Quick wins (eerste kwartaal) Begin met maatregelen die snel te implementeren zijn en veel impact hebben. Activeer MFA voor alle gebruikers, overal. Controleer je back-upprocedures - worden ze gemaakt én getest? Zorg voor basis security awareness training. Documenteer je huidige beveiligingsbeleid, ook als het nog niet perfect is. ### Fase 3: Structurele verbeteringen (tweede en derde kwartaal) Nu de grotere projecten. Implementeer een formeel risicomanagementproces. Ontwikkel een incident response plan en oefen ermee. Beoordeel je belangrijkste leveranciers op beveiliging. Implementeer logging en monitoring. ### Fase 4: Validatie en continue verbetering (vierde kwartaal en doorlopend) Laat een externe audit uitvoeren om te toetsen of je voldoet. Voer penetratietesten uit. Stel een proces in voor continue verbetering. Bereid je voor op toezichthoudercontact. ## De kosten: wat moet je investeren? Dit is de vraag die iedereen stelt. Het eerlijke antwoord: het hangt af van je huidige situatie. Voor een organisatie die al goed beveiligd is, gaat het vooral om documentatie en formalisering. Kosten: tienduizenden euro's, vooral in tijd. Voor een organisatie die nog weinig heeft geregeld, kan het oplopen tot honderdduizenden euro's aan technische maatregelen, consultancy en personeel. Een grove inschatting voor een gemiddeld MKB (50-200 medewerkers) dat basisbeveiliging heeft maar niet formeel genoeg: initiële compliance-kosten van 50.000 tot 150.000 euro, en jaarlijkse ongoing kosten van 20.000 tot 50.000 euro voor audits, training en onderhoud. Vergelijk dit met de potentiële boetes en de kosten van een daadwerkelijke cyberaanval. Plotseling lijkt de investering een stuk redelijker. ## Veelgestelde vragen Onze klanten hebben veel vragen. Hier de meest voorkomende. ### Wij zijn een klein bedrijf. Vallen we echt onder NIS2? Als je minder dan 50 medewerkers hebt én minder dan 10 miljoen omzet, val je in principe niet onder NIS2. Tenzij je in een van de uitzonderingscategorieën valt of diensten levert aan organisaties die wél onder NIS2 vallen. In dat laatste geval kunnen je klanten eisen stellen via contracten. ### Wij hebben al ISO 27001. Is dat genoeg? ISO 27001 is een uitstekende basis en dekt veel NIS2-eisen. Maar niet alles. Je zult waarschijnlijk nog moeten werken aan supply chain security, de specifieke meldprocedures, en bestuurlijke verantwoordelijkheden. Een gap-analyse is nodig om de specifieke gaten te identificeren. ### Hoe verhoudt NIS2 zich tot de AVG? Ze vullen elkaar aan. AVG focust op bescherming van persoonsgegevens. NIS2 focust op beveiliging van netwerken en informatiesystemen. Veel technische maatregelen overlappen, maar de scope en aanpak verschillen. Je hebt beide nodig. ### Wat als we niet op tijd klaar zijn? Begin in ieder geval. Toezichthouders kijken niet alleen naar of je volledig compliant bent, maar ook naar of je serieuze inspanningen levert. Een organisatie die aantoonbaar bezig is met compliance wordt anders behandeld dan een organisatie die niets heeft gedaan. ### Kunnen we dit zelf of hebben we hulp nodig? Dat hangt af van je interne expertise. De technische maatregelen kun je vaak zelf implementeren als je een capabele IT-afdeling hebt. Voor de risicoanalyse, documentatie en gap-analyse kan externe expertise waardevol zijn. Voor audits en penetratietesten heb je sowieso externe partijen nodig. ## Praktische tips Tot slot enkele praktische tips uit onze ervaring. Maak het bestuur eigenaar. NIS2 legt expliciet verantwoordelijkheid bij het management. Zorg dat de directie betrokken is en het belang begrijpt. Dit is niet alleen een IT-project. Begin met documenteren. Veel organisaties doen al goede dingen, maar hebben het niet gedocumenteerd. Begin met opschrijven wat je al doet. Dat geeft een startpunt en laat zien waar de gaten zitten. Kies je gevechten. Je kunt niet alles tegelijk. Focus eerst op de maatregelen met de hoogste impact en de grootste risico's. MFA en back-ups zijn belangrijker dan een perfect beleidsdocument. Gebruik bestaande frameworks. Je hoeft het wiel niet opnieuw uit te vinden. ISO 27001, het NIST Cybersecurity Framework en de CIS Controls bieden bewezen structuren die je kunt gebruiken als basis. Plan voor de lange termijn. Compliance is geen eenmalig project maar een doorlopend proces. Bouw structuren die je kunt onderhouden, niet alleen voor de eerste audit. ## Conclusie NIS2 is geen bureaucratische exercitie. Het is een kans om je cybersecurity naar een hoger niveau te tillen. De dreigingen zijn reëel, de risico's zijn groot, en de wetgever dwingt nu actie af. Begin vandaag met je voorbereiding. Niet omdat de wet het eist, maar omdat goede beveiliging je bedrijf beschermt. Hulp nodig? JamaTec ICT begeleidt MKB-bedrijven bij NIS2-compliance. Van de eerste assessment tot implementatie en doorlopende ondersteuning. Neem contact op voor een vrijblijvend gesprek over jouw situatie.