Officieel nalevingsdocument met stalen hangslot op modern bureau, laptop met beveiligd netwerkdashboard op achtergrond.

Wat zijn de belangrijkste verplichtingen onder NIS2?

/in /door

De belangrijkste verplichtingen onder NIS2 zijn: het uitvoeren van risicoanalyses, het treffen van technische en organisatorische beveiligingsmaatregelen, het tijdig melden van incidenten bij de bevoegde autoriteiten, het bewaken van de beveiliging in de keten en het aantoonbaar betrekken van bestuurders bij cybersecurity. De richtlijn geldt voor een breed scala aan organisaties en wordt in Nederland omgezet via de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. In dit artikel beantwoorden we de meest gestelde vragen over de NIS2-verplichtingen, zodat je weet waar je aan toe bent.

Voor welke organisaties geldt NIS2?

NIS2 geldt voor organisaties die actief zijn in sectoren die als essentieel of belangrijk worden aangemerkt, en die een bepaalde omvang hebben. De richtlijn maakt onderscheid tussen essentiële entiteiten (zoals energie, transport, drinkwater en gezondheidszorg) en belangrijke entiteiten (zoals ICT-dienstverleners, digitale diensten, voedselproductie en financiële dienstverlening). Middelgrote en grote organisaties in deze sectoren vallen in principe automatisch onder de NIS2-richtlijn.

Concreet gaat het om organisaties met meer dan 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro, actief in een van de aangewezen sectoren. Maar ook kleinere organisaties kunnen in scope vallen als zij door de nationale toezichthouder als kritiek worden aangemerkt. Daarnaast geldt een indirecte verplichting voor organisaties die leverancier zijn van NIS2-plichtige partijen: zij moeten kunnen aantonen dat zij voldoende beveiligd zijn, omdat ketenbeveiliging expliciet onderdeel is van de NIS2-verplichtingen.

Twijfel je of jouw organisatie onder de wet valt? Dan is het verstandig om een overzicht van je huidige beveiligingssituatie op te stellen en dit te toetsen aan de sectorindeling van de Cyberbeveiligingswet.

Welke maatregelen verplicht NIS2 op het gebied van beveiliging?

NIS2 verplicht organisaties om passende technische, operationele en organisatorische maatregelen te nemen om de risico’s voor hun netwerk- en informatiebeveiliging te beheersen. Dit omvat minimaal: risicoanalyses, een beleid voor informatiebeveiliging, procedures voor incidentbeheer, continuïteitsplannen en maatregelen voor ketenbeveiliging. De wet schrijft geen specifieke technologie voor, maar vereist wel dat maatregelen in verhouding staan tot de risico’s.

Technische en organisatorische maatregelen

Op technisch vlak denk je aan zaken als multi-factor authenticatie, encryptie van gegevens, netwerksegmentatie, patchbeheer en toegangsbeheer. Organisatorisch gaat het om het opstellen van een beveiligingsbeleid, het trainen van medewerkers, het inrichten van een incident response-proces en het regelmatig testen van de beveiliging via audits of penetratietests.

Ketenbeveiliging als expliciete verplichting

Een belangrijk nieuw element ten opzichte van de vorige richtlijn is de nadruk op ketenbeveiliging. Organisaties zijn verplicht om de cybersecurity-risico’s van hun leveranciers en partners in kaart te brengen en contractueel te borgen. Dit betekent dat je als organisatie niet alleen verantwoordelijk bent voor je eigen beveiliging, maar ook voor de zwakste schakel in je keten. Leveranciers die niet aantoonbaar veilig zijn, vormen een risico dat jij als afnemer moet adresseren.

Wat zijn de meldplichten onder NIS2?

Onder NIS2 zijn organisaties verplicht om significante beveiligingsincidenten binnen strikte termijnen te melden bij de bevoegde nationale autoriteit. Een incident is significant als het een ernstige verstoring van diensten veroorzaakt of kan veroorzaken. De meldplicht kent een getrapt systeem met drie stappen.

  1. Vroegtijdige melding (binnen 24 uur): Een eerste melding zodra je weet dat er een incident heeft plaatsgevonden, ook als je nog geen volledig beeld hebt.
  2. Incidentmelding (binnen 72 uur): Een meer gedetailleerde melding met een eerste beoordeling van de ernst, de oorzaak en de getroffen maatregelen.
  3. Eindrapportage (binnen één maand): Een volledig rapport met een analyse van het incident, de impact, de oorzaak en de structurele maatregelen die zijn genomen.

Het niet of te laat melden van een incident wordt beschouwd als een overtreding van de NIS2-richtlijn en kan leiden tot sancties. Het is daarom essentieel dat organisaties een intern meldproces inrichten, zodat incidenten snel worden herkend, gedocumenteerd en doorgegeven aan de juiste personen.

Wat is de bestuurdersaansprakelijkheid onder NIS2?

NIS2 maakt bestuurders persoonlijk verantwoordelijk voor de naleving van de cybersecurity-verplichtingen binnen hun organisatie. Dit is een van de meest ingrijpende aspecten van de richtlijn: cybersecurity is niet langer alleen een IT-aangelegenheid, maar een bestuurlijke verantwoordelijkheid die direct bij de top van de organisatie ligt.

Concreet betekent dit dat bestuurders aantoonbaar moeten beschikken over actuele kennis en vaardigheden op het gebied van cyberbeveiliging. Het Cyberbeveiligingsbesluit schrijft voor dat deze kennis via training wordt geborgd en periodiek wordt bijgehouden. Bestuurders moeten in staat zijn om cyberrisico’s te begrijpen, passende maatregelen goed te keuren en het gesprek op gelijk niveau te voeren met de CISO of IT-verantwoordelijke.

Als een organisatie niet voldoet aan de NIS2-verplichtingen, kunnen toezichthouders bestuurders persoonlijk aanspreken. In het geval van essentiële entiteiten kan dit zelfs leiden tot een tijdelijk verbod op het uitoefenen van leidinggevende functies. Dit maakt de NIS2-compliancevraag nadrukkelijk een boardroom-onderwerp.

Wat zijn de sancties bij niet-naleving van NIS2?

Bij niet-naleving van de NIS2-richtlijn kunnen toezichthouders aanzienlijke boetes opleggen. Voor essentiële entiteiten bedraagt de maximale boete 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Naast financiële sancties beschikken toezichthouders over een breed scala aan handhavingsinstrumenten. Denk aan het opleggen van bindende aanwijzingen, het verplicht laten uitvoeren van een audit, het tijdelijk stilleggen van diensten of het openbaar maken van overtredingen. Die laatste maatregel kan voor veel organisaties een grotere impact hebben dan de boete zelf, vanwege de reputatieschade die ermee gepaard gaat.

Het is belangrijk te beseffen dat toezichthouders niet alleen reageren op incidenten, maar ook proactief kunnen controleren of organisaties aan hun NIS2-verplichtingen voldoen. Aantoonbare naleving, gedocumenteerde processen en een actueel beveiligingsbeleid zijn daarom geen luxe maar een noodzaak.

Hoe verhoudt NIS2 zich tot andere regelgeving zoals DORA en AVG?

NIS2, DORA en de AVG overlappen op onderdelen, maar richten zich elk op een ander aspect van digitale veiligheid en gegevensbescherming. Samen vormen ze een complementair kader dat organisaties dwingt om cybersecurity en privacy integraal aan te pakken.

NIS2 en de AVG

De AVG richt zich specifiek op de bescherming van persoonsgegevens en verplicht organisaties om passende technische en organisatorische maatregelen te nemen. NIS2 gaat breder en heeft betrekking op de beveiliging van netwerken en informatiesystemen als geheel, niet alleen waar persoonsgegevens in het spel zijn. In de praktijk overlappen de maatregelen sterk: een goed beveiligde infrastructuur draagt zowel bij aan AVG-compliance als aan NIS2-compliance. Organisaties die al serieus werk hebben gemaakt van AVG-naleving, hebben een goede basis, maar moeten NIS2 aanvullend adresseren.

NIS2 en DORA

DORA (Digital Operational Resilience Act) is specifiek gericht op de financiële sector en stelt aanvullende eisen aan de digitale weerbaarheid van financiële instellingen en hun ICT-leveranciers. Organisaties in de financiële sector die onder DORA vallen, vallen in veel gevallen ook onder NIS2. De Europese wetgever heeft bewust overlap vermeden: als DORA van toepassing is, gelden de NIS2-verplichtingen voor dat deel van de organisatie niet afzonderlijk. Toch is het verstandig om beide kaders naast elkaar te leggen, omdat de eisen van DORA op sommige punten verder gaan dan NIS2.

Hoe Puur ICT helpt met NIS2 compliance

NIS2 compliance is voor veel organisaties een complexe opgave, zeker als je geen dedicated CISO in huis hebt. Wij helpen je stap voor stap naar aantoonbare naleving, zonder dat je zelf alle technische details hoeft te kennen. Wat wij voor je doen:

  • Nulmeting en gap-analyse: We brengen je huidige beveiligingssituatie in kaart en bepalen waar je staat ten opzichte van de NIS2-verplichtingen.
  • Technische maatregelen binnen Microsoft 365: Van multi-factor authenticatie en conditional access tot geavanceerde dreigingsdetectie, we implementeren de juiste beveiligingslagen in jouw omgeving.
  • Ketenbeveiliging en leveranciersmanagement: We adviseren over hoe je leveranciers en partners betrekt bij jouw beveiligingsbeleid.
  • Bestuurderstraining en cyber awareness: We verzorgen trainingen die bestuurders aantoonbaar bekwaam maken op het gebied van cyberbeveiliging, inclusief documentatie voor compliance-doeleinden.
  • Doorlopend beheer en rapportage: Na implementatie blijven we betrokken als vertrouwd aanspreekpunt, met proactief beheer en heldere rapportages voor bestuur en toezichthouders.

Wil je weten of jouw organisatie onder NIS2 valt en wat de volgende stap is? Neem contact op met Puur ICT en we denken graag met je mee, in begrijpelijke taal en zonder omwegen.

Gerelateerde artikelen

Misschien ook iets voor u
Gouden messing hangslot op modern bureau naast geordende mappen, groene plant op achtergrond, kantoorbeveiliging.Hoe beveilig je je organisatie goed zonder dat het een enorm project of grote investering wordt?
Gehandschoende handen die een beschadigd serverrek herstellen in een modern datacenter met blauw en amber licht.Wat is een goede strategie om je organisatie snel te laten herstellen na een cyberaanval?
Zware stalen kluisdeur op een kier in een moderne serverruimte met blauw omgevingslicht en een tweede versterkte deur op de achtergrond.Wat is de Cyberbeveiligingswet en hoe verschilt die van NIS2?
Rij verbonden kantoorgebouwen in staal- en grijstinten met beveiligingsslot op voordeur, symboliseert toeleveringsketenbeheer en regelgeving.Geldt NIS2 ook voor organisaties die niet direct in scope vallen?
Senior professional in pak bestudeert een organisatiediagram op bureau, met laptop met beveiligingsdashboard op achtergrond.Wie is verantwoordelijk voor NIS2-compliance binnen een organisatie?
Gehandschoende IT-professional plaatst verzegelde envelop in serverzaal alertpaneel met knipperende amber lampjes en rackservers op de achtergrond.Wat houdt de meldplicht bij een cyberincident onder NIS2 in?
Onbeheerde laptop met gevoelige documenten op scherm in modern kantoor, koffiekopje op bureau, natuurlijk raamlicht.Hoe voorkom je dat medewerkers onbewust de beveiliging van je organisatie in gevaar brengen?
Stalen ketting met hangslot om serverbekabeling en netwerkhardware op modern bureau, symbool voor cyberbeveiliging.Wat is ketenbeveiliging en waarom is het verplicht onder NIS2?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden