Woordenlijst · EU-cyberveiligheid NIS2 (Network and Information Security Directive 2)
EU-cyberveiligheidsrichtlijn die geldt voor essentiële en belangrijke entiteiten in 18+ sectoren, met een nationale omzettingsdeadline van oktober 2024.
## Wat NIS2 eigenlijk doet
NIS2 (Richtlijn (EU) 2022/2555) is de Europese cyberveiligheidsrichtlijn die de oorspronkelijke NIS-richtlijn van 2016 verving. Ze breidt het toepassingsgebied van cyberveiligheidsverplichtingen aanzienlijk uit en harmoniseert de eisen tussen EU-lidstaten.
De richtlijn trad in januari 2023 in werking met een nationale omzettingsdeadline van 17 oktober 2024. De implementatie tussen lidstaten is ongelijkmatig verlopen — sommige op tijd, andere flink vertraagd.
## Voor wie NIS2 geldt
NIS2 verbreedde het toepassingsgebied dramatisch ten opzichte van zijn voorganger. De richtlijn geldt voor:
**Essentiële entiteiten** (sectoren met hoge kritikaliteit):
- Energie (elektriciteit, olie, gas, waterstof, stadsverwarming)
- Transport (lucht, spoor, water, weg)
- Bankwezen en infrastructuur van financiële markten
- Gezondheid (zorg, farmaceutisch)
- Drinkwater en afvalwater
- Digitale infrastructuur (cloudaanbieders, datacenters, DNS, content delivery)
- ICT-dienstenbeheer (B2B)
- Openbaar bestuur
- Ruimtevaart
**Belangrijke entiteiten** (overige kritieke sectoren):
- Post- en koeriersdiensten
- Afvalbeheer
- Productie van bepaalde kritieke producten (chemicaliën, medische hulpmiddelen, elektronica, machines, voertuigen)
- Voedselproductie, -verwerking en -distributie
- Digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerken)
- Onderzoek
Er gelden omvangsdrempels: middelgrote (50+ medewerkers, € 10 mln+ omzet) en grote entiteiten vallen doorgaans binnen het toepassingsgebied; kleine/micro-entiteiten zijn meestal uitgesloten.
## Kernvereisten
Organisaties onder NIS2 moeten implementeren:
**1. Risicobeheermaatregelen** — minstens 10 specifieke categorieën:
- Risicoanalyse en beleid voor de beveiliging van informatiesystemen
- Procedures voor incidentafhandeling
- Bedrijfscontinuïteit (back-ups, disaster recovery, crisismanagement)
- Beveiliging van toeleveringsketen
- Beveiliging van netwerk- en informatiesystemen bij verwerving, ontwikkeling en onderhoud
- Beleid om de effectiviteit van cyberbeveiligingsmaatregelen te beoordelen
- Cyberhygiëne en training
- Cryptografiebeleid (waaronder versleuteling)
- HR-beveiliging, toegangscontroles, assetmanagement
- Multifactorauthenticatie, veilige communicatie
**2. Incidentmelding** — significante incidenten moeten worden gemeld:
- **Vroege waarschuwing** binnen 24 uur
- **Incidentmelding** binnen 72 uur
- **Eindrapport** binnen één maand
**3. Beveiliging van de toeleveringsketen** — entiteiten moeten cyberveiligheidsrisico's van hun leveranciers en dienstverleners beoordelen en beheren.
**4. Verantwoording door management** — het hoger management is persoonlijk verantwoordelijk voor naleving, inclusief goedkeuring van maatregelen en toezicht op de implementatie.
## Boetestructuur
NIS2 introduceert significante boetes:
- **Essentiële entiteiten**: tot € 10 miljoen of 2% van de wereldwijde jaaromzet (afhankelijk van wat hoger is)
- **Belangrijke entiteiten**: tot € 7 miljoen of 1,4% van de omzet
Lidstaten kunnen aanvullende sancties opleggen aan management bij non-compliance.
## Wat dit betekent voor toolkeuze
De eisen aan toeleveringsketenbeveiliging in NIS2 raken specifiek de keuze van technologieleveranciers. Organisaties onder NIS2 moeten de cyberveiligheidspositie van hun leveranciers beoordelen en die beoordeling documenteren.
Voor Europese organisaties schept dit druk om:
**1. Leveranciers te kiezen met sterke cyberveiligheidscertificeringen.** ISO 27001, SOC 2, BSI C5 of gelijkwaardig. De meeste grote EU-cloudaanbieders (Hetzner, Scaleway, OVHcloud, Infomaniak) beschikken over deze certificeringen.
**2. Voorkeur te geven aan EU-residente aanbieders.** NIS2-meldverplichtingen en coördinatie van incidentrespons werken beter wanneer leveranciers onderworpen zijn aan EU-regelgeving. Amerikaanse aanbieders kunnen voldoen, maar vereisen aanvullende contractuele mechanismen.
**3. De leveranciersevaluatie te documenteren.** NIS2 vereist het aantonen dat cyberveiligheidsoverwegingen in de inkoopbeslissingen zijn meegewogen, niet alleen of dat het geval was.
**4. Voor digitale-infrastructuuraanbieders zelf:** als jouw bedrijf een cloudaanbieder, datacenter, DNS-provider of content delivery network is, val je direct onder de essentiële entiteiten.
## Waarom NIS2 verder reikt dan formele naleving
Ook voor organisaties die niet formeel binnen het toepassingsgebied vallen, stelt NIS2 de feitelijke Europese cyberveiligheidsbasis. Verzekeraars verwijzen naar NIS2 voor cyberdekking. Inkoopteams gebruiken steeds vaker NIS2-categorieën in leveranciersbeoordelingen. Cyberveiligheidsagentschappen van EU-lidstaten gebruiken NIS2 als hun referentiekader.
Voor Europese bedrijven die langetermijninvesteringen in cyberveiligheid plannen, is het operationeel verstandig om NIS2 te zien als basislijn in plaats van als nalevingsplafond.
## Implementatiestatus (per 2026)
Implementatie verloopt ongelijkmatig tussen lidstaten:
- **Tijdige implementatie**: de meeste Noordse landen, Duitsland, Frankrijk
- **Vertraagde implementatie**: meerdere Zuid- en Oost-Europese staten zetten eind 2024 of in 2025 om
- **Actieve handhaving**: doorgaans vanaf 2025-2026 wanneer nationale autoriteiten opschalen
De Europese Commissie heeft inbreukprocedures gestart tegen lidstaten met sterk vertraagde implementatie. Verwacht actieve NIS2-handhaving als bepalend cyberveiligheidsverhaal door 2026-2027.
## Verwante EU-cyberveiligheidskaders
NIS2 maakt deel uit van een breder Europees juridisch landschap voor cyberveiligheid:
- **Cyber Resilience Act (CRA)** — dekt cyberveiligheid van producten met digitale elementen, van kracht 2024
- **DORA** — operationele weerbaarheid voor financiële diensten, van kracht vanaf januari 2025
- **eIDAS 2.0** — digitale identiteit en vertrouwensdiensten
- **GDPR** — gegevensbescherming, complementair aan maar onderscheiden van cyberveiligheid
Voor organisaties die meerdere kaders navigeren is het in kaart brengen van overlap en unieke vereisten essentieel. NIS2 bepaalt de cyberveiligheidsbasislijn; sectorspecifieke regelgeving (DORA, CRA) bouwt erop voort.
Was dit nuttig?
Bedankt voor je feedback!