Wat is de zorgplicht onder de NIS2-richtlijn?
De zorgplicht onder de NIS2-richtlijn verplicht organisaties om aantoonbare en passende technische en organisatorische maatregelen te treffen om hun netwerken en informatiesystemen te beveiligen. Dit is geen inspanningsverplichting in vage bewoordingen: de richtlijn benoemt concrete maatregelen die bestuurders persoonlijk moeten kennen, goedkeuren en naleven. In dit artikel beantwoorden we de meest gestelde vragen over de NIS2-zorgplicht, van wie eronder valt tot hoe je begint met de implementatie.
Welke organisaties vallen onder de zorgplicht van NIS2?
De zorgplicht van de NIS2-richtlijn geldt voor organisaties die zijn aangemerkt als essentiële of belangrijke entiteit. In Nederland wordt dit geregeld via de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. Of jouw organisatie eronder valt, hangt af van de sector en de omvang.
Essentiële entiteiten zijn doorgaans grote organisaties in kritieke sectoren zoals energie, transport, drinkwater, financiële infrastructuur en gezondheidszorg. Belangrijke entiteiten omvatten een bredere groep, waaronder middelgrote organisaties in sectoren als ICT-dienstverlening, digitale diensten, voedselproductie en maakindustrie. Als vuistregel geldt: organisaties met meer dan 50 medewerkers of een jaaromzet boven de 10 miljoen euro in een aangewezen sector vallen in principe binnen de reikwijdte van de wet.
Belangrijk om te weten: ook organisaties die niet zelf onder NIS2 vallen, kunnen indirect te maken krijgen met de verplichtingen. Als jij diensten levert aan een essentiële of belangrijke entiteit, verwachten die partijen steeds vaker dat jij aantoonbaar aan vergelijkbare beveiligingseisen voldoet. Ketenbeveiliging is daarmee een van de pijlers van de richtlijn.
Welke maatregelen verplicht de NIS2-zorgplicht concreet?
De NIS2-zorgplicht verplicht organisaties tot een breed pakket aan cybersecuritymaatregelen, gericht op het beheersen van risico’s voor netwerk- en informatiesystemen. De maatregelen zijn niet vrijblijvend: organisaties moeten aantoonbaar kunnen maken dat ze zijn genomen en effectief zijn.
De richtlijn schrijft onder meer de volgende maatregelen voor:
- Risicoanalyse en informatiebeveiligingsbeleid: een actueel overzicht van risico’s en een gedocumenteerd beleid om die risico’s te beheersen
- Incidentbehandeling: procedures voor het detecteren, rapporteren en afhandelen van beveiligingsincidenten
- Bedrijfscontinuïteit: maatregelen zoals back-upbeheer, noodherstelplannen en crisismanagement
- Ketenbeveiliging: beoordeling van de beveiligingspositie van leveranciers en ketenpartners
- Beveiliging bij aankoop en ontwikkeling: security by design bij het verwerven of ontwikkelen van systemen
- Toegangsbeheer en authenticatie: strikte controle over wie toegang heeft tot welke systemen, inclusief meervoudige authenticatie
- Encryptie: versleuteling van gevoelige gegevens, zowel in opslag als tijdens overdracht
- Cyberhygiëne en bewustwording: structurele training van medewerkers en bestuurders
Voor organisaties die werken met Microsoft 365 biedt het platform veel ingebouwde mogelijkheden om aan deze eisen te voldoen. Denk aan security binnen Microsoft 365, zoals Conditional Access, Microsoft Defender en geavanceerde versleutelingsopties die direct bijdragen aan NIS2-compliance.
Wat is het verschil tussen de zorgplicht en de meldplicht onder NIS2?
De zorgplicht en de meldplicht zijn twee afzonderlijke verplichtingen binnen de NIS2-richtlijn. De zorgplicht verplicht organisaties proactief beveiligingsmaatregelen te treffen. De meldplicht verplicht organisaties reactief te handelen: bij een significant beveiligingsincident moet dit tijdig worden gemeld bij de bevoegde autoriteit.
Concreet betekent de meldplicht dat een organisatie binnen 24 uur na ontdekking van een significant incident een eerste melding doet, gevolgd door een gedetailleerder rapport binnen 72 uur. Een incident geldt als significant wanneer het aanzienlijke operationele verstoringen veroorzaakt of andere organisaties raakt.
De twee verplichtingen hangen nauw samen: wie zijn zorgplicht goed invult, heeft een incident response plan klaarliggen en kan daardoor ook sneller en beter voldoen aan de meldplicht. Organisaties die de zorgplicht verwaarlozen, lopen niet alleen risico op incidenten, maar ook op het niet kunnen voldoen aan de meldtermijnen wanneer er iets misgaat.
Wie is eindverantwoordelijk voor de NIS2-zorgplicht binnen een organisatie?
Onder de NIS2-richtlijn zijn bestuurders persoonlijk eindverantwoordelijk voor de naleving van de zorgplicht. Dit is een van de meest ingrijpende veranderingen ten opzichte van eerdere regelgeving: cybersecurity is niet langer uitsluitend een IT-aangelegenheid, maar een bestuurlijke verantwoordelijkheid die op directieniveau belegd moet zijn.
Dat betekent dat bestuurders aantoonbaar moeten beschikken over kennis van cyberrisico’s, in staat moeten zijn passende maatregelen goed te keuren en te evalueren, en het gesprek op gelijk niveau moeten kunnen voeren met de CISO of IT-afdeling. De Cyberbeveiligingswet legt dit ook vast in de opleidingsplicht: bestuurders moeten binnen twee jaar na inwerkingtreding van de wet aantoonbaar over de juiste kennis en vaardigheden beschikken, en deze kennis periodiek bijhouden.
In de praktijk betekent dit dat een directeur, COO of lid van de raad van bestuur niet kan volstaan met het delegeren van cybersecurity naar de IT-afdeling. Zij dragen persoonlijke aansprakelijkheid als blijkt dat de organisatie tekortschiet in haar zorgplicht.
Wat zijn de sancties bij niet-naleving van de NIS2-zorgplicht?
Bij niet-naleving van de NIS2-zorgplicht kunnen toezichthouders aanzienlijke sancties opleggen. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.
Naast financiële boetes kunnen toezichthouders ook andere handhavingsmaatregelen inzetten, zoals het opleggen van corrigerende maatregelen, het verplichten van audits of het tijdelijk verbieden van bestuurders om leidinggevende functies te bekleden. Dit laatste maakt de persoonlijke aansprakelijkheid van bestuurders extra concreet: aantoonbaar tekortschieten in de zorgplicht kan directe gevolgen hebben voor de positie van individuele leidinggevenden.
Het is ook goed om te beseffen dat reputatieschade bij een incident of bij openbare handhaving in veel gevallen zwaarder weegt dan de financiële sanctie zelf, zeker voor organisaties die werken met gevoelige data of in sectoren waar vertrouwen centraal staat.
Hoe begin je met de implementatie van de NIS2-zorgplicht?
De implementatie van de NIS2-zorgplicht begin je met een nulmeting: breng in kaart waar jouw organisatie nu staat op het gebied van cybersecurity, welke risico’s er zijn en welke maatregelen al zijn getroffen. Vanuit dat startpunt kun je gericht werken aan de ontbrekende onderdelen.
Een praktische aanpak in stappen:
- Bepaal of jouw organisatie onder NIS2 valt en in welke categorie (essentieel of belangrijk)
- Voer een risicoanalyse uit om te begrijpen welke systemen, processen en data het meest kwetsbaar zijn
- Stel een informatiebeveiligingsbeleid op dat aansluit bij de NIS2-maatregelen
- Werk aan technische maatregelen zoals toegangsbeheer, encryptie en monitoring
- Ontwikkel een incident response plan zodat je bij een incident snel kunt handelen en melden
- Train bestuurders en medewerkers op cyberbewustzijn en hun specifieke verantwoordelijkheden
- Evalueer de keten en stel eisen aan leveranciers en ketenpartners
Vergeet niet dat NIS2-compliance geen eenmalig project is, maar een doorlopend proces. Risico’s veranderen, systemen worden uitgebreid en dreigingen evolueren. Structurele monitoring en periodieke evaluatie zijn daarom net zo belangrijk als de initiële implementatie. Voor organisaties die hun ICT-beheer en ondersteuning uitbesteden, is het verstandig te controleren of de gekozen partner ook ondersteuning biedt bij NIS2-compliance.
Hoe Puur ICT helpt met NIS2-compliance
Wij begrijpen dat de NIS2-zorgplicht voor veel organisaties een complexe opgave is, zeker wanneer er geen dedicated CISO aanwezig is en het bestuur tegelijkertijd verantwoordelijk wordt gesteld. Als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener helpen wij organisaties stap voor stap naar aantoonbare naleving.
Wat wij concreet bieden:
- Nulmeting (Digicheck): inzicht in de huidige beveiligingssituatie en de grootste risico’s
- Bestuurderstraining: een tweedaagse training die bestuurders aantoonbaar voorbereidt op hun zorgplicht en aansprakelijkheid
- Technische implementatie: inrichting van beveiligingsmaatregelen binnen het Microsoft-ecosysteem, van toegangsbeheer tot encryptie en monitoring
- Incident response planning: opstellen van procedures voor detectie, melding en herstel
- Doorlopend beheer en rapportage: structurele bewaking van de beveiligingssituatie met heldere rapportages voor bestuur en toezichthouders
- Cyber awareness programma: e-learning, phishingcampagnes en periodieke herhaling voor medewerkers
Wil je weten waar jouw organisatie nu staat en wat er nodig is om te voldoen aan de NIS2-zorgplicht? Neem contact op met Puur ICT voor een vrijblijvend gesprek. Wij denken graag met je mee, in begrijpelijke taal en met een aanpak die past bij jouw organisatie.
Gerelateerde artikelen
- Is goede cybersecurity alleen weggelegd voor grote bedrijven met een eigen IT-afdeling?
- Waarom vinden medewerkers bestanden niet terug terwijl ze er zeker van zijn ze opgeslagen te hebben?
- Hoe zorg je dat je digitale werkomgeving meegroeit met de manier waarop je organisatie verandert?
- Hoe richt je een veilige gastgebruikersomgeving in voor externe partners in Microsoft Teams?
- Wat zijn de belangrijkste verplichtingen onder NIS2?
Gerelateerde artikelen
- Hoe houd je vergaderingen efficiënt als een deel van het team op locatie zit en een deel thuis?
- Hoe voorkom je dat medewerkers onbewust de beveiliging van je organisatie in gevaar brengen?
- Hoe registreer je je organisatie voor de Cyberbeveiligingswet?
- Hoe lang duurt het gemiddeld om 100 werkplekken over te zetten naar Microsoft 365?
- Hoe schaal je van 100 naar 200 werkplekken zonder groot migratieproject?














