NIS2-compliance: wat het vereist, wie het treft en hoe B2B-bedrijven zich kunnen voorbereiden
Een praktische gids voor NIS2-compliance — wat de richtlijn vereist, welke organisaties eronder vallen, belangrijke verplichtingen rondom risicobeheer, incidentmelding, toeleveringsketenbeveiliging en hoe u compliance kunt aantonen aan toezichthouders en klanten.
NIS2-compliance: wat het vereist, wie het treft en hoe B2B-bedrijven zich kunnen voorbereiden
De Netwerk- en Informatiebeveiligingsrichtlijn 2 (NIS2) is het bijgewerkte cyberbeveiligingskader van de EU, ter vervanging van de oorspronkelijke NIS-richtlijn uit 2016. De richtlijn is in januari 2023 in werking getreden, met de verplichting voor lidstaten om deze uiterlijk in oktober 2024 om te zetten in nationaal recht.
NIS2 breidt het toepassingsgebied van bestreken organisaties aanzienlijk uit, versterkt de beveiligingseisen, introduceert strikte incidentmeldingstermijnen en stelt persoonlijke aansprakelijkheid voor het bestuur vast. Voor B2B SaaS-bedrijven schept NIS2 directe verplichtingen als u binnen het toepassingsgebied valt, en indirecte verplichtingen via toeleveringsketenvereisten — uw klanten die NIS2-entiteiten zijn, zullen bewijs van uw cyberbeveiligingspostuur eisen.
Deze gids behandelt wat NIS2 vereist, op wie het van toepassing is, de belangrijkste nalevingsverplichtingen en hoe u zich als B2B-bedrijf kunt voorbereiden.
Toepassingsgebied en toepasbaarheid van NIS2
Wie wordt getroffen
NIS2 bestrijkt twee categorieën entiteiten in 18 sectoren:
Essentiële entiteiten (Bijlage I — Zeer kritieke sectoren)
| Sector | Voorbeelden |
|---|---|
| Energie | Elektriciteit, olie, gas, waterstof, stadsverwarming |
| Vervoer | Lucht-, spoor-, water- en wegvervoer |
| Bankwezen | Kredietinstellingen |
| Financiële marktinfrastructuur | Handelsplatformen, centrale tegenpartijen |
| Gezondheidszorg | Zorgverleners, EU-referentielaboratoria, fabrikanten van medische hulpmiddelen |
| Drinkwater | Watervoorziening en -distributie |
| Afvalwater | Inzameling, verwijdering en behandeling van afvalwater |
| Digitale infrastructuur | IXP's, DNS, TLD-registers, cloud, datacenters, CDN's, vertrouwensdiensten |
| ICT-dienstenbeheer (B2B) | Managed service providers, managed security service providers |
| Openbaar bestuur | Entiteiten van de centrale overheid |
| Ruimtevaart | Exploitanten van grondgebonden infrastructuur |
Belangrijke entiteiten (Bijlage II — Andere kritieke sectoren)
| Sector | Voorbeelden |
|---|---|
| Post- en koeriersdiensten | Postdienstverleners |
| Afvalbeheer | Afvalinzameling en -verwerking |
| Chemie | Productie, vervaardiging, distributie |
| Voeding | Productie, verwerking, distributie |
| Productie | Medische hulpmiddelen, computers, elektronica, machines, motorvoertuigen |
| Digitale aanbieders | Online marktplaatsen, zoekmachines, sociale-netwerkplatformen |
| Onderzoek | Onderzoeksorganisaties |
Omvangdrempels
| Categorie | Werknemers | Jaaromzet | Balanstotaal |
|---|---|---|---|
| Middelgrote onderneming | 50-249 | 10M-50M euro | 10M-43M euro |
| Grote onderneming | 250+ | 50M+ euro | 43M+ euro |
Sommige entiteiten vallen ongeacht hun omvang onder de richtlijn: gekwalificeerde vertrouwensdienstverleners, DNS-dienstverleners, TLD-naamregisters, aanbieders van openbare elektronische communicatienetwerken en entiteiten die de enige aanbieder van een kritieke dienst in een lidstaat zijn.
Belangrijkste NIS2-vereisten
Risicobeheersmaatregelen (Artikel 21)
NIS2 Artikel 21 schrijft een allesomvattende benadering van cyberbeveiligingsrisicobeheer voor. Vereiste maatregelen omvatten:
1. Beleid inzake risicoanalyse en beveiliging van informatiesystemen
- Een risicobeoordelingsmethodologie vaststellen
- Regelmatige risicobeoordelingen uitvoeren
- Beveiligingsbeleid documenteren en implementeren
- Afstemmen op erkende frameworks (ISO 27001, NIST CSF)
2. Incidentafhandeling
- Procedures voor incidentdetectie, -respons en -herstel vaststellen
- Incidentclassificatie en ernstniveaus definiëren
- Monitoring- en waarschuwingsmogelijkheden implementeren
- Incidentresponsplannen documenteren en testen
3. Bedrijfscontinuïteit en crisisbeheer
- Bedrijfscontinuïteitsplannen ontwikkelen
- Back-upbeheer en disaster recovery implementeren
- Regelmatige tests van continuïteitsplannen uitvoeren
- Integreren met incidentresponsprocedures
4. Toeleveringsketenbeveiliging
- Risico's van directe leveranciers en dienstverleners beoordelen
- Beveiligingseisen opnemen in leverancierscontracten
- Naleving door leveranciers monitoren
- Rekening houden met de algehele kwaliteit van de cyberbeveiligingspraktijken van leveranciers
5. Beveiliging bij het verwerven, ontwikkelen en onderhouden van systemen
- Afhandeling en openbaarmaking van kwetsbaarheden
- Veilige ontwikkelpraktijken
- Beveiligingstests gedurende de gehele levenscyclus
- Patchbeheerprocessen
6. Effectiviteitsbeoordeling
- Regelmatige tests van cyberbeveiligingsmaatregelen
- Penetratietests
- Beveiligingsaudits
- Continue monitoring
7. Cyberhygiëne en training
- Basale cyberhygiënepraktijken
- Regelmatige cyberbeveiligingsbewustzijnstraining
- Rolspecifieke beveiligingstraining
- Phishing-bewustzijn en -tests
8. Cryptografie en encryptie
- Beleid inzake het gebruik van cryptografie
- Encryptie van gegevens at rest en in transit
- Sleutelbeheerprocedures
- Beoordeling van cryptografische toereikendheid
9. Personeelsbeveiliging en toegangscontrole
- Toegangscontrolebeleid (minimale rechten, need-to-know)
- Identiteits- en toegangsbeheer
- Meervoudige authenticatie
- Activabeheer en -classificatie
10. Meervoudige authenticatie en continue authenticatie
- MFA voor kritieke systemen en beheerderstoegang
- Beveiligde spraak-, video- en tekstcommunicatie
- Beveiligde noodcommunicatiesystemen
Incidentmelding (Artikel 23)
Meertraps meldingskader
| Fase | Deadline | Vereiste inhoud |
|---|---|---|
| Vroegtijdige waarschuwing | 24 uur | Of het incident vermoedelijk onwettig/kwaadaardig is, mogelijke grensoverschrijdende impact |
| Incidentmelding | 72 uur | Eerste beoordeling van ernst, impact, indicatoren van compromittering |
| Tussentijdse rapporten | Op verzoek | Bijgewerkte beoordeling naarmate het onderzoek vordert |
| Eindrapport | 1 maand | Gedetailleerde beschrijving, analyse van grondoorzaak, mitigerende maatregelen, grensoverschrijdende impact |
Wat een significant incident inhoudt
Een incident is significant als het:
- Ernstige operationele verstoring of financieel verlies veroorzaakt of kan veroorzaken
- Andere natuurlijke of rechtspersonen treft of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken
Lidstaten kunnen aanvullende criteria definiëren voor het bepalen van significantie binnen hun omzetting.
Toeleveringsketenbeveiliging (Artikel 21(2)(d))
Wat NIS2 vereist
NIS2 verheft toeleveringsketenbeveiliging van een best practice tot een wettelijke verplichting. Bestreken entiteiten moeten:
- Toeleveringsketenrisico's beoordelen — De cyberbeveiligingspostuur van directe leveranciers en dienstverleners evalueren
- Contractuele beveiligingseisen — Specifieke cyberbeveiligingsverplichtingen opnemen in leverancierscontracten
- Naleving monitoren — Verifiëren dat leveranciers het vereiste beveiligingsniveau handhaven
- Rekening houden met leverancierskwaliteit — De algehele kwaliteit van producten en cyberbeveiligingspraktijken van leveranciers in aanmerking nemen, inclusief veilige ontwikkelprocedures
Impact op B2B SaaS-bedrijven
Zelfs als uw bedrijf niet rechtstreeks een essentiële of belangrijke entiteit onder NIS2 is, kunnen uw klanten dat wel zijn. Dit betekent:
- Meer beveiligingsvragenlijsten — NIS2-entiteiten moeten de beveiliging van leveranciers beoordelen, wat leidt tot gedetailleerdere leveranciersbeoordelingen
- Contractuele eisen — Klanten zullen NIS2-afgestemde cyberbeveiligingsclausules in contracten en DPA's eisen
- Bewijs van maatregelen — Kopers zullen documentatie van beveiligingsmaatregelen, incidentresponscapaciteiten en testresultaten opvragen
- Transparantie over sub-processoren — Klanten hebben inzicht nodig in uw toeleveringsketen (sub-processorenlijsten, hostingproviders, diensten van derden)
- Incidentmeldingsverplichtingen — Uw contracten moeten mogelijk de NIS2-vereiste van 24 uur voor vroegtijdige waarschuwing weerspiegelen
Governance en verantwoording
Bestuursverantwoordelijkheid (Artikel 20)
NIS2 introduceert persoonlijke aansprakelijkheid voor bestuursorganen:
- Goedkeuring: Het bestuur moet cyberbeveiligingsrisicobeheersmaatregelen goedkeuren
- Toezicht: Het bestuur moet toezicht houden op de implementatie van beveiligingsmaatregelen
- Training: Bestuursleden moeten cyberbeveiligingstraining volgen
- Aansprakelijkheid: Bestuursleden kunnen persoonlijk aansprakelijk worden gesteld voor niet-naleving
- Sancties: Lidstaten kunnen leidinggevenden tijdelijk verbieden om bestuursfuncties uit te oefenen
Dit is een significante verschuiving — cyberbeveiliging is niet langer uitsluitend een verantwoordelijkheid van de IT-afdeling, maar een governance-verplichting op bestuursniveau.
Toezichtsmaatregelen
Toezichthoudende autoriteiten kunnen:
| Maatregel | Essentiële entiteiten | Belangrijke entiteiten |
|---|---|---|
| Audits | Ex ante en ex post | Alleen ex post |
| Beveiligingsscans | Ja | Ja |
| Documentverzoeken | Ja | Ja |
| Bindende instructies | Ja | Ja |
| Opschorting van certificeringen | Ja | Ja |
| Tijdelijke schorsing van het bestuur | Ja | Nee |
Sancties (Artikel 34)
Geharmoniseerd sanctiekader
| Type entiteit | Maximale boete | Alternatief |
|---|---|---|
| Essentiële entiteiten | 10.000.000 euro | 2% van de wereldwijde jaaromzet |
| Belangrijke entiteiten | 7.000.000 euro | 1,4% van de wereldwijde jaaromzet |
Het hogere bedrag is van toepassing. Lidstaten mogen aanvullende sancties opleggen boven deze minimums.
Verder dan financiële sancties
- Bindende instructies om specifieke maatregelen te implementeren
- Opdracht tot beveiligingsaudits op kosten van de entiteit
- Opdracht om klanten van significante incidenten op de hoogte te stellen
- Publicatie van bevindingen van niet-naleving
- Tijdelijke opschorting van certificeringen
- Tijdelijk verbod op bestuursfuncties (alleen essentiële entiteiten)
NIS2 en andere frameworks
NIS2 en ISO 27001
| Aspect | ISO 27001 | NIS2-aanvullingen |
|---|---|---|
| Risicobeheer | Uitgebreid ISMS | Afgestemd, maar NIS2 schrijft specifieke maatregelen voor |
| Incidentmelding | Interne procedures | Verplichte 24/72-uurs externe melding |
| Toeleveringsketen | A.5.19-A.5.23 | Expliciete toeleveringsketenbeveiligingsverplichtingen |
| Bestuursaansprakelijkheid | Bestuursbetrokkenheid | Persoonlijke aansprakelijkheid en sancties |
| Sancties | Geen (vrijwillige standaard) | Boetes tot 10M euro of 2% omzet |
| Toepassingsgebied | Door de organisatie gedefinieerd | Bepaling op basis van sector en omvang |
NIS2 en AVG
| Aspect | AVG | NIS2 |
|---|---|---|
| Focus | Bescherming van persoonsgegevens | Netwerk- en informatiebeveiliging |
| Incidentmelding | 72 uur (datalekken) | 24 uur vroegtijdige waarschuwing + 72 uur melding |
| Toepassingsgebied | Elke verwerking van persoonsgegevens | Kritieke en belangrijke sectoren |
| Sancties | Tot 20M euro of 4% omzet | Tot 10M euro of 2% omzet |
| Overlap | Beveiligingsincidenten met persoonsgegevens vereisen dubbele melding |
Voorbereiding op NIS2-compliance
Stapsgewijze aanpak
- Toepasbaarheid bepalen — Beoordeel of uw organisatie een essentiële of belangrijke entiteit is op basis van sector en omvang
- Gapanalyse — Vergelijk huidige beveiligingsmaatregelen met NIS2 Artikel 21-vereisten
- Een ISMS implementeren — Stel, indien nog niet aanwezig, een ISMS vast (ISO 27001 biedt een sterke basis)
- Incidentrespons versterken — Werk procedures bij om aan 24/72-uurs meldingstermijnen te voldoen
- Toeleveringsketenbeveiliging adresseren — Leveranciersrisico's beoordelen, contracten bijwerken, sub-processorenlijsten bijhouden
- Bestuursbetrokkenheid — Zorg voor goedkeuring, toezicht en training op bestuursniveau voor cyberbeveiligingsmaatregelen
- Alles documenteren — Houd uitgebreide dossiers bij voor audits door toezichthoudende autoriteiten
- Regelmatig testen — Voer beveiligingstests, penetratietests en incidentresponsoefeningen uit
- Continu monitoren — Implementeer doorlopende monitoring van beveiligingsmaatregelen en compliancestatus
Hoe Orbiq NIS2-compliance ondersteunt
- Trust Center: Publiceer uw NIS2-compliancepostuur — beveiligingsmaatregelen, incidentresponscapaciteiten en transparantie over de toeleveringsketen voor zelfservice door kopers
- Continue monitoring: Volg NIS2 Artikel 21-vereisten over uw beveiligingsmaatregelen met real-time compliancestatus
- Bewijsbeheer: Centraliseer beveiligingsdocumentatie, auditbewijs en incidentregistraties gekoppeld aan NIS2-vereisten
- AI-gestuurde vragenlijsten: Beantwoord NIS2-gerelateerde vragen uit beveiligingsvragenlijsten automatisch op basis van uw gedocumenteerde maatregelen
Verder lezen
- Incidentrespons — Incidentresponscapaciteiten opbouwen die voldoen aan NIS2 Artikel 23-termijnen
- ISO 27001-certificering — Het ISMS-framework dat de basis biedt voor NIS2-compliance
- Risicobeheer van derden — Leveranciersrisico's beheren zoals vereist door NIS2 Artikel 21(2)(d)
- AVG-compliance — Dubbele meldingsverplichtingen begrijpen bij incidenten met persoonsgegevens
Deze gids wordt onderhouden door het Orbiq-team. Laatst bijgewerkt: maart 2026.