GIDS

NIS2, voor de rest van ons.

Niet alleen voor nutsbedrijven en banken. De meeste mkb’ers in de toeleveringsketen vallen er nu onder. Dit is wat je moet doen.

Val je onder NIS2?

Doe de zelftest
  • Klaar in vijf minuten, geen account nodig
  • Zie of NIS2 op je geldt en in welke categorie
  • Concrete acties, geen dik rapport

Wat NIS2 eigenlijk is.

De Network and Information Security Directive van de EU, versie 2. Sinds oktober 2024 van kracht in de lidstaten. Het is een wet over cybersecurity en weerbaarheid, niet over privacy. Bedoeld om essentiële diensten en hun leveranciers moeilijker te ontwrichten te maken.

Waarom het ertoe doet

Boetes tot €10 miljoen of 2% van de omzet, afhankelijk van wat hoger is. Plus persoonlijke aansprakelijkheid voor bestuurders die cybersecurity niet serieus namen.

Voor wie het geldt.

  • Essentiële entiteiten. Energie, transport, bankwezen, zorg, water, digitale infrastructuur, overheid. Streng regime.
  • Belangrijke entiteiten. Post, afval, chemie, voeding, productie van medische apparatuur/computers/elektrische apparatuur, digitale aanbieders, onderzoek. Iets lichter.
  • Toeleveringsketen. Lever je software, IT-diensten of gegevensverwerking aan een essentiële of belangrijke entiteit, dan val je via hen feitelijk ook onder NIS2.
  • Aanbieders van digitale diensten. Cloud, datacenters, content delivery, online marktplaatsen, zoekmachines, sociale platforms, ongeacht omvang.

Belangrijkste eisen.

  • Risicobeheer. Een gedocumenteerd raamwerk voor cybersecurity-risicobeheer. Periodiek herzien en bijgewerkt. Goedgekeurd door de directie.
  • Incidentmelding. Significante incidenten binnen 24 uur na ontdekking gemeld aan het nationale CSIRT. Eindrapport binnen een maand.
  • Beveiliging van de toeleveringsketen. Beoordeel en beheers cyberrisico's van leveranciers. Specifieke maatregelen per risiconiveau van de leverancier.
  • Bedrijfscontinuïteit. Back-up, disaster recovery, crisismanagement. Minstens jaarlijks getest.
  • Toegangsbeheer & MFA. MFA voor alle beheerderstoegang. Beheer van privileged accounts. Regelmatige controle.
  • Omgaan met kwetsbaarheden. Een proces om kwetsbaarheden te ontvangen, te beoordelen en te verhelpen. Inclusief een coordinated-disclosurebeleid.

Boetes.

  • Essentiële entiteiten. Tot €10 miljoen of 2% van de wereldwijde omzet. Inclusief bestuurdersaansprakelijkheid.
  • Belangrijke entiteiten. Tot €7 miljoen of 1,4% van de wereldwijde omzet.
  • Persoonlijke aansprakelijkheid. Bestuurders die compliance niet hebben geborgd, kunnen persoonlijk aansprakelijk worden gesteld, inclusief tijdelijke bestuursverboden.
  • Handhaving. Inspecties ter plaatse, security-audits, ad-hocverzoeken. De cyber-tegenhanger van de privacytoezichthouder.

Acht stappen om er klaar voor te zijn.

  • Bevestig je scope. Ben je essentieel, belangrijk, toeleverancier, of niets van dat alles? De criteria verschillen per sector. Zorg voor een antwoord op papier.
  • Doe een gap-analyse. Tegen de volledige lijst met NIS2-maatregelen. Scoor elke maatregel als gedekt, gedeeltelijk of open.
  • Leg het risicoraamwerk vast. Methodiek, scope, inventarisatie van assets, dreigingsmodel, behandelplan. Goedgekeurd door de directie.
  • Stel het beleid op. Acceptabel gebruik, toegangsbeheer, encryptie, incident response, bedrijfscontinuïteit, leveranciersbeheer. Minimaal zes.
  • Richt incident response in. Bepaal wat als significant geldt. Wie beslist. Wie meldt aan het CSIRT. De klok van 24 uur start bij ontdekking.
  • Beoordeel je toeleveringsketen. Deel elke leverancier in op risico. Zorg dat elke leverancier een verwerkersovereenkomst en security-basislijn heeft. Voeg SBOM's toe voor softwareleveranciers.
  • Train de directie. Cybersecurity-training op directieniveau. Aanwezigheid vastgelegd. NIS2 verwacht dat bestuurders het écht begrijpen.
  • Monitor doorlopend. Detectie, logging, response. Elk kwartaal een interne review. Jaarlijks een tabletop-oefening.

Hoe AIR-Tools bij elk onderdeel helpt.

  • Scopebepaling. Vijf vragen en Clair vertelt je of NIS2 van toepassing is en op welk niveau.
  • Dekking van maatregelen. Live gap-analyse tegen de NIS2-artikelen. Wekelijks bijgewerkt.
  • Conceptbeleid. Alle zes verplichte beleidsstukken, opgesteld in NIS2-bewoordingen.
  • Incident-playbook. Klok van 24 uur, beslisboom, CSIRT-contact, conceptmeldingen.
  • Leveranciersscores. Elke leverancier ingedeeld en gescoord, met de status van de verwerkersovereenkomst en SBOM waar relevant.
  • Auditklaar bewijs. Als de inspecteur aanklopt, ligt het dossier er al.

De korte versie.

NIS2 is grotendeels het beveiligingswerk dat je toch al zou moeten doen. Gedocumenteerd. Clair maakt van die documentatie een bijproduct van het werk.

FAQ

Hoe weet ik of NIS2 echt op mij van toepassing is?
Twee toetsen: sector (staat die op de lijst van essentiële of belangrijke entiteiten?) en omvang (≥50 medewerkers of €10 mln omzet, met uitzonderingen). Ben je leverancier van een essentiële entiteit, dan trekt de compliance van je klant je er vaak ook in mee.
Wat is de deadline?
NIS2 is in oktober 2024 in de hele EU van kracht geworden. Lidstaten zitten nu midden in de handhaving. De Nederlandse implementatie (Cyberbeveiligingswet) wordt vanaf mei 2025 toegepast. Eerlijk antwoord: je bent eigenlijk al laat.
Dekt ISO 27001 NIS2 af?
Grotendeels, maar niet helemaal. ISO 27001 dekt de meeste maatregelen. NIS2 voegt meldingstermijnen, bestuurdersaansprakelijkheid en eisen aan de toeleveringsketen toe die ISO niet afdwingt. De overlap is groot, zo’n 80%.
Zijn bestuurders echt persoonlijk aansprakelijk?
Ja, als ze cybersecurity-governance niet hebben geborgd. Dat is nieuw en daarom letten directies er nu op. Gedocumenteerde training en toezicht zijn je verdediging.
Wie is het Nederlandse CSIRT?
Het Nationaal Cyber Security Centrum (NCSC). Incidentmeldingen binnen 24 uur gaan naar hen via het centrale meldportaal.

Ontdek waar je staat.

Zie waar je staat met NIS2, een korte demo op je eigen stack.