NIS2 & DORA van kracht. EU AI Act volgt — boek een demo
Alle frameworks
Raamwerk

NIS2-compliance voor essentiële en belangrijke entiteiten

De NIS2-richtlijn verhoogt de lat voor cybersecurity in de EU. Matproof helpt u aan de nieuwe vereisten te voldoen — van risicobeheer tot 24-uurs incidentrapportage.

Demo aanvragen

Wat is de NIS2-richtlijn?

De NIS2-richtlijn (EU-richtlijn 2022/2555) is de uitgebreide cybersecuritywetgeving van de Europese Unie die de oorspronkelijke NIS-richtlijn uit 2016 vervangt en aanzienlijk versterkt. Aangenomen in december 2022 stelt NIS2 een hoog gemeenschappelijk niveau van cybersecurity vast in de hele EU door uniforme risicobeheer- en incidentrapportageverplichtingen op te leggen aan een aanzienlijk uitgebreid scala van sectoren en entiteiten. Lidstaten waren verplicht de richtlijn uiterlijk 17 oktober 2024 om te zetten in nationaal recht.

De oorspronkelijke NIS-richtlijn kampte met inconsistente implementatie in de lidstaten, een beperkt toepassingsgebied en onvoldoende handhavingsmechanismen. NIS2 pakt deze tekortkomingen aan door 18 sectoren te bestrijken (ten opzichte van 7), omvangcriteria te introduceren om te bepalen welke entiteiten binnen het toepassingsgebied vallen, cybersecurityvereisten te harmoniseren, strengere incidentrapportagetermijnen vast te stellen en een betekenisvol handhavingsregime te creëren met aanzienlijke sancties bij niet-naleving.

Een van de meest significante innovaties van NIS2 is de expliciete introductie van managementverantwoordelijkheid. Artikel 20 vereist dat bestuursorganen cybersecurity-risicobeheersmaatregelen goedkeuren en erop toezien, regelmatig cybersecuritytraining ondergaan en persoonlijk aansprakelijk zijn voor nalevingsfouten. Dit vertegenwoordigt een fundamentele verschuiving van het behandelen van cybersecurity als een puur technische functie naar het erkennen ervan als een bestuurlijke governanceverantwoordelijkheid.

In Nederland wordt de NIS2-richtlijn geïmplementeerd via de Cyberbeveiligingswet, die de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangt. Het Nationaal Cyber Security Centrum (NCSC) en de Rijksinspectie Digitale Infrastructuur (RDI) fungeren als nationale bevoegde autoriteiten. De Nederlandse implementatie voegt nationale bepalingen toe op gebieden als registratieverplichtingen, specifieke technische vereisten en handhavingsprocedures.

Wie moet voldoen aan NIS2?

NIS2 hanteert een omvanggebaseerde benadering gecombineerd met sectorclassificatie om te bepalen welke entiteiten binnen het toepassingsgebied vallen. Over het algemeen vallen middelgrote organisaties (50+ werknemers of EUR 10 miljoen+ jaaromzet) en grote organisaties in de 18 aangewezen sectoren binnen het toepassingsgebied. De richtlijn onderscheidt essentiële entiteiten (onderworpen aan proactief toezicht) en belangrijke entiteiten (onderworpen aan reactief toezicht).

Sectoren van essentiële entiteiten

  • Energie (elektriciteit, olie, gas, waterstof, stadsverwarming)
  • Vervoer (lucht, spoor, water, weg)
  • Bankwezen en financiëlemarktinfrastructuur
  • Gezondheidszorg (ziekenhuizen, laboratoria, farma, medische hulpmiddelen)
  • Drinkwater en afvalwater
  • Digitale infrastructuur (IXP's, DNS, TLD's, cloud, datacenters)
  • ICT-dienstenbeheer (B2B) en openbaar bestuur
  • Ruimtevaart

Sectoren van belangrijke entiteiten

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Chemische productie en distributie
  • Voedselproductie, -verwerking en -distributie
  • Vervaardiging (medische hulpmiddelen, elektronica, machines, voertuigen)
  • Digitale aanbieders (marktplaatsen, zoekmachines, sociale netwerken)
  • Onderzoeksorganisaties

Sommige entiteiten vallen ongeacht hun omvang onder het toepassingsgebied, waaronder aanbieders van openbare elektronische communicatienetwerken, DNS-dienstverleners, TLD-naamregisters en entiteiten die de enige aanbieder zijn van een kritieke dienst in een lidstaat. Organisaties in de toeleveringsketen van essentiële en belangrijke entiteiten kunnen ook indirect worden geraakt, aangezien NIS2 vereist dat entiteiten binnen het toepassingsgebied cybersecurityrisico's in hun toeleveringsketens beheren. In Nederland wordt geschat dat circa 10.000 entiteiten binnen het toepassingsgebied van de Cyberbeveiligingswet zullen vallen.

Not sure if you're compliant?

Take the free NIS2 readiness assessment — 10 questions, 3 minutes.

Check your readiness

NIS2-kernvereisten in detail

1. Cybersecurity-risicobeheersmaatregelen (artikel 21)

Essentiële en belangrijke entiteiten moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen om cybersecurityrisico's te beheren. Artikel 21, lid 2 specificeert minimummaatregelen waaronder risicoanalyse en informatiesysteembeveiligingsbeleid, incidentafhandeling, bedrijfscontinuïteit en crisismanagement, toeleveringsketenbeveiliging, beveiliging bij verwerving van netwerk- en informatiesystemen, beleid voor het beoordelen van de effectiviteit van maatregelen, basale cyberhygiëne en training, beleid voor cryptografie en versleuteling, personeelsbeveiliging en multi-factor authenticatie.

2. Incidentrapportage (artikelen 23-24)

NIS2 introduceert een gestructureerd meerstaps incidentrapportageproces. Organisaties moeten een vroegtijdige waarschuwing indienen bij de bevoegde autoriteit of het CSIRT binnen 24 uur nadat zij kennis hebben genomen van een significant incident. Een incidentmelding met een eerste beoordeling moet binnen 72 uur volgen. Een eindrapport met oorzaakanalyse, impactbeoordeling en herstelmaatregelen moet binnen één maand worden ingediend. Een incident wordt als significant beschouwd als het ernstige operationele verstoringen of financieel verlies veroorzaakt of kan veroorzaken, of andere personen treft door aanzienlijke materiële of immateriële schade te veroorzaken.

3. Managementverantwoordelijkheid (artikel 20)

NIS2 vereist expliciet dat bestuursorganen cybersecurity-risicobeheersmaatregelen goedkeuren, toezien op de implementatie ervan en verantwoordelijk zijn voor niet-naleving. Bestuursleden moeten regelmatig en adequate cybersecuritytraining ondergaan om voldoende kennis en vaardigheden te ontwikkelen om risico's te identificeren, cybersecuritymanagementpraktijken te evalueren en de impact ervan op diensten te beoordelen. Deze verplichting kan niet worden gedelegeerd en het bestuur kan persoonlijke sancties opgelegd krijgen bij het niet nakomen ervan.

4. Toeleveringsketenbeveiliging (artikel 21, lid 2, onder d)

Entiteiten moeten cybersecurityrisico's in hun toeleveringsketens en relaties met leveranciers aanpakken. Dit omvat het beoordelen van de beveiligingsstatus van directe leveranciers, het opnemen van cybersecurityvereisten in contractuele afspraken, het monitoren van leveranciersnaleving en het beheren van risico's die voortvloeien uit het gebruik van ICT-producten en -diensten. Risicobeoordelingen van de toeleveringsketen moeten de algehele kwaliteit en weerbaarheid van producten, de cybersecuritypraktijken van leveranciers en eventuele landspecifieke risico's in verband met leverancierslocaties in overweging nemen.

5. Bedrijfscontinuïteit en crisismanagement (artikel 21, lid 2, onder c)

Organisaties moeten bedrijfscontinuïteitsbeheer implementeren inclusief back-upbeheer en noodherstel, en crisismanagementprocedures. Plannen moeten de continuïteit van kritieke diensten dekken, rollen en verantwoordelijkheden tijdens incidenten definiëren, communicatieprocedures vaststellen en regelmatige test- en oefeningsprogramma's omvatten. Bedrijfscontinuïteitsplannen moeten afhankelijkheden van externe dienstverleners in overweging nemen en alternatieve regelingen voor kritieke diensten omvatten.

6. Kwetsbaarheidsbeheer en -openbaarmaking (artikelen 12-13)

NIS2 stelt een gecoördineerd kwetsbaarheidsopenbaarmakingskader vast via het EU-agentschap voor cybersecurity (ENISA). Entiteiten moeten procedures voor kwetsbaarheidsafhandeling en -openbaarmaking implementeren, regelmatige kwetsbaarheidsbeoordelingen uitvoeren en beveiligingspatches tijdig toepassen. ENISA onderhoudt een Europese kwetsbaarheidsdatabase en CSIRT's fungeren als vertrouwde tussenpersonen voor gecoördineerde kwetsbaarheidsopenbaarmaking. Organisaties moeten ook deelnemen aan kwetsbaarheidsmeldingsprocessen wanneer zij door autoriteiten worden genotificeerd.

7. Registratie en samenwerking (artikelen 3, 25-29)

Essentiële en belangrijke entiteiten moeten zich registreren bij de bevoegde autoriteit, met vermelding van informatie over hun entiteit, sector, subsector, contactgegevens en IP-bereiken. De richtlijn stelt een samenwerkingskader vast inclusief de Samenwerkingsgroep (strategische sturing), het CSIRT-netwerk (operationele samenwerking) en EU-CyCLONe (crisismanagement). Entiteiten moeten samenwerken met autoriteiten tijdens toezichtactiviteiten en incidentonderzoeken.

8. Multi-factor authenticatie en toegangscontrole

NIS2 vereist expliciet het gebruik van multi-factor authenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen waar passend. Toegangscontrolebeleid moet het principe van least privilege volgen en organisaties moeten identiteitsbeheersystemen, beheer van bevoorrechte toegang en regelmatige toegangsbeoordelingen implementeren. Deze vereisten gelden voor zowel interne systemen als extern toegankelijke diensten.

Sancties bij niet-naleving van NIS2

NIS2 introduceert een aanzienlijk versterkt handhavingsregime vergeleken met de oorspronkelijke NIS-richtlijn. Bevoegde autoriteiten hebben ruime toezichtsbevoegdheden en sancties zijn ontworpen om doeltreffend, evenredig en afschrikkend te zijn. De richtlijn differentieert sancties tussen essentiële en belangrijke entiteiten.

Tot EUR 10 miljoen / 2%

Maximale boetes voor essentiële entiteiten: EUR 10 miljoen of 2% van de totale jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is

Tot EUR 7 miljoen / 1,4%

Maximale boetes voor belangrijke entiteiten: EUR 7 miljoen of 1,4% van de totale jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is

Persoonlijke aansprakelijkheid

Bestuursleden kunnen persoonlijk aansprakelijk worden gesteld en tijdelijk worden uitgesloten van het uitoefenen van managementfuncties voor essentiële entiteiten

Dienstverlening opschorten

Voor essentiële entiteiten kunnen autoriteiten tijdelijk een natuurlijk persoon verbieden managementfuncties uit te oefenen en certificeringen of vergunningen opschorten

Essentiële entiteiten vallen onder proactief toezicht, wat betekent dat autoriteiten regelmatige audits, beveiligingsscans, inspecties ter plaatse en bewijs van naleving op elk moment kunnen verlangen. Belangrijke entiteiten vallen onder reactief toezicht - autoriteiten grijpen in op basis van bewijs van niet-naleving, zoals incidentrapporten of klachten. In Nederland hebben het NCSC en de RDI aanvullende handhavingsbevoegdheden, waaronder de mogelijkheid om bindende instructies uit te vaardigen en de verlening van diensten te beperken of te verbieden.

Hoe u NIS2-compliance bereikt

Nu de nationale omzettingsdeadline is verstreken in oktober 2024, moeten organisaties binnen het toepassingsgebied actief werken aan volledige NIS2-compliance. Hier volgt een gestructureerde aanpak:

  1. 1

    Scoping en zelfbeoordeling

    Bepaal of uw organisatie binnen het NIS2-toepassingsgebied valt door uw sector, omvang (werknemers en omzet) en dienstkritiekheid te beoordelen. Classificeer uzelf als essentiële of belangrijke entiteit op basis van de criteria van de richtlijn. Bekijk de nationale implementatiewet (Cyberbeveiligingswet in Nederland) voor eventuele aanvullende nationale vereisten. Registreer u bij de bevoegde autoriteit zoals vereist.

  2. 2

    Gap-analyse ten opzichte van artikel 21-vereisten

    Beoordeel uw huidige cybersecuritystatus ten opzichte van de 10 minimummaatregelen gespecificeerd in artikel 21, lid 2. Identificeer hiaten in risicobeheerbeleid, incidentafhandeling, bedrijfscontinuïteit, toeleveringsketenbeveiliging, kwetsbaarheidsbeheer, cryptografie, toegangscontrole en medewerkerstraining. Prioriteer herstel op basis van risico en verwachtingen van toezichthouders. Koppel bestaande controles uit ISO 27001, DORA of andere frameworks aan NIS2-vereisten.

  3. 3

    Betrokkenheid en training van het bestuur

    Informeer het bestuur over NIS2-verplichtingen, inclusief hun persoonlijke verantwoordelijkheid op grond van artikel 20. Regel cybersecuritytraining voor alle bestuursleden. Stel governanceprocessen in voor goedkeuring door het bestuur van risicobeheersmaatregelen en regelmatige rapportage over de cybersecuritystatus. Documenteer bestuursbeslissingen en toezichtactiviteiten om naleving aan te tonen.

  4. 4

    Implementeer cybersecurity-risicobeheersmaatregelen

    Implementeer of versterk de 10 minimummaatregelen vereist door artikel 21. Dit omvat het uitrollen van multi-factor authenticatie, implementeren van netwerksegmentatie en versleuteling, opzetten van kwetsbaarheidsbeheersprocessen, opstellen van bedrijfscontinuïteits- en noodherstelplannen, en opbouwen van een uitgebreid toeleveringsketenbeveiligingsprogramma. Zorg ervoor dat alle maatregelen evenredig zijn aan uw risicoprofiel en de kritiekheid van uw diensten.

  5. 5

    Inrichten van incidentrapportagecapaciteiten

    Bouw incidentdetectie-, classificatie- en rapportageprocessen die voldoen aan de strikte NIS2-termijnen: 24-uurs vroegtijdige waarschuwing, 72-uurs incidentmelding en eindrapport binnen één maand. Stel communicatiekanalen in met de bevoegde autoriteit en relevante CSIRT's. Definieer wat een 'significant incident' inhoudt voor uw organisatie en maak vooraf goedgekeurde meldingssjablonen. Voer tabletop-oefeningen uit om uw vermogen te testen om rapportagetermijnen te halen.

  6. 6

    Continue compliance en monitoring

    Implementeer continue monitoring van uw cybersecuritystatus, toeleveringsketenrisico's en controle-effectiviteit. Voer regelmatige beveiligingsbeoordelingen, kwetsbaarheidsscans en penetratietesten uit. Beoordeel en actualiseer risicobeheersmaatregelen op basis van veranderende dreigingen, incidenten en toezichtrichtlijnen. Gebruik Matproof om controlemonitoring, bewijsverzameling en compliancerapportage te automatiseren, zodat u doorlopend gereed bent voor toezichtactiviteiten.

Veelgestelde vragen over NIS2

Wat is de NIS2-richtlijn?

NIS2 (EU-richtlijn 2022/2555) is de bijgewerkte EU-richtlijn over de beveiliging van netwerk- en informatiesystemen. Zij vervangt de oorspronkelijke NIS-richtlijn uit 2016 en breidt het toepassingsgebied aanzienlijk uit naar 18 sectoren, met strengere cybersecurityvereisten, incidentrapportageverplichtingen en managementverantwoordelijkheid. Lidstaten waren verplicht NIS2 uiterlijk 17 oktober 2024 om te zetten in nationaal recht.

Wat is het verschil tussen essentiële en belangrijke entiteiten onder NIS2?

NIS2 categoriseert entiteiten in twee groepen op basis van sector en omvang. Essentiële entiteiten omvatten sectoren als energie, vervoer, bankwezen, financiëlemarktinfrastructuur, gezondheidszorg, drinkwater, digitale infrastructuur en openbaar bestuur. Belangrijke entiteiten bestrijken sectoren als postdiensten, afvalbeheer, voedselproductie, vervaardiging en digitale aanbieders. Essentiële entiteiten vallen onder strenger toezicht (proactief) en hogere sancties (EUR 10 miljoen of 2%), terwijl belangrijke entiteiten reactief worden gecontroleerd met lagere sancties (EUR 7 miljoen of 1,4%).

Wat zijn de NIS2-incidentrapportagetermijnen?

NIS2 introduceert een meerstaps rapportageproces: een vroegtijdige waarschuwing binnen 24 uur nadat men kennis heeft genomen van een significant incident, een incidentmelding binnen 72 uur met een eerste beoordeling van ernst en impact, een tussentijds rapport op verzoek van de bevoegde autoriteit, en een eindrapport binnen één maand na de incidentmelding met oorzaakanalyse, impact en herstelmaatregelen. Grensoverschrijdende incidenten moeten ook worden gemeld bij de relevante CSIRT's.

Is NIS2 van toepassing op mijn organisatie?

NIS2 is van toepassing op middelgrote en grote organisaties (50+ werknemers of EUR 10 miljoen+ omzet) in 18 aangewezen sectoren: energie, vervoer, bankwezen, financiëlemarktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer (B2B), openbaar bestuur, ruimtevaart, postdiensten, afvalbeheer, chemie, voeding, vervaardiging, digitale aanbieders en onderzoek. Sommige entiteiten vallen ongeacht hun omvang onder het toepassingsgebied, waaronder DNS-aanbieders, TLD-registers en aanbieders van openbare elektronische communicatienetwerken.

Wat is de Cyberbeveiligingswet?

De Cyberbeveiligingswet is de Nederlandse wet die de NIS2-richtlijn implementeert. Zij vervangt de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni) en introduceert nationale vereisten in lijn met NIS2, waaronder registratieverplichtingen bij het NCSC en de RDI, incidentrapportage en specifieke cybersecuritymaatregelen. De Nederlandse implementatie voegt enkele nationale bepalingen toe bovenop de minimale NIS2-vereisten.

Kan het bestuur persoonlijk aansprakelijk worden gesteld onder NIS2?

Ja. NIS2 introduceert expliciet managementverantwoordelijkheid in artikel 20. Bestuursorganen van essentiële en belangrijke entiteiten moeten cybersecurity-risicobeheersmaatregelen goedkeuren, toezien op de implementatie ervan en kunnen aansprakelijk worden gesteld voor overtredingen. Bestuursleden moeten ook cybersecuritytraining ondergaan. De Cyberbeveiligingswet verduidelijkt verder dat het bestuur deze verantwoordelijkheid niet kan delegeren en dat bestuurders persoonlijk financieel aansprakelijk kunnen zijn voor nalevingsfouten.

NIS2 Readiness Assessment

Assess your NIS2 compliance readiness

Take the free assessment

Belangrijkste functies

Cybersecurity-risicobeheer

Implementeer de risicobeheersmaatregelen vereist door artikel 21. Geautomatiseerde risicobeoordelingen, behandelplannen en continue monitoring.

Incidentrapportage (24u/72u)

Voldoe aan de strikte rapportagetermijnen van NIS2: vroegtijdige waarschuwing binnen 24 uur, volledige incidentmelding binnen 72 uur aan uw nationale CSIRT.

Beveiliging van de toeleveringsketen

Beoordeel en monitor ICT-toeleveringsketenrisico's. Volg de beveiligingsstatus en contractuele vereisten van leveranciers.

Managementverantwoordelijkheid

Documenteer het toezicht van het bestuur, opleidingsvereisten en naleving van persoonlijke aansprakelijkheid zoals vereist door artikel 20.

Bedrijfscontinuïteit

Back-upbeheer, noodherstel en crisismanagementplannen. Documenteer en test uw weerbaarheidsmaatregelen.

Beveiligingsbeleid & training

AI-gegenereerd cybersecuritybeleid en bewustwordingstrainingen voor medewerkers afgestemd op NIS2-vereisten.

Waarom Matproof

Dekt alle risicobeheersmaatregelen van artikel 21
24u/72u incidentrapportageworkflows ingebouwd
Risicobeheer van de toeleveringsketen inbegrepen
Documentatie van managementverantwoordelijkheid

NIS2-compliance compliance in heel Duitsland

Vind stadsspecifieke compliancegidsen voor uw financiële instelling.

Frankfurt
Deutsche Bank, Commerzbank
Munich
Allianz, Munich Re
Berlin
N26, Trade Republic
Hamburg
Berenberg, M.M.Warburg & CO
Düsseldorf
HSBC Germany, NRW.BANK
Stuttgart
Börse Stuttgart / BSDEX, LBBW
Cologne
AXA Germany, DEVK
Paris
BNP Paribas, Crédit Agricole
Amsterdam
ING Group, ABN AMRO
Madrid
Banco Santander, BBVA
Milan
UniCredit, Intesa Sanpaolo
Zurich
UBS, Swiss Re
Vienna
Erste Group, Raiffeisen Bank International
Luxembourg
European Investment Bank, Clearstream
Brussels
SWIFT, Euroclear
Dublin
Stripe, Fidelity Investments
Stockholm
Klarna, SEB
Helsinki
Nordea, OP Financial Group
Warsaw
PKO Bank Polski, mBank
Prague
CSOB, Komercni Banka
Alle steden & frameworks bekijken

NIS2 Readiness Assessment

Assess your NIS2 compliance readiness

Take the free assessment

Klantverhalen

Teams die niet meer opzien tegen het auditseizoen.

85%minder voorbereidingstijd

Matproof heeft ons maanden aan auditvoorbereiding bespaard. We koppelden onze tools op maandag en hadden vrijdag al DORA-gemapt bewijsmateriaal. Onze auditor was onder de indruk van de diepgang van de audit trail.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Klaar om te beginnen?

Klaar om te beginnen?

Ontdek hoe Matproof compliance automatiseert voor uw organisatie.

Demo aanvragen