NIS2: wat is het en voor wie geldt het?

10 februari 2025

NIS2: wat is het en voor wie geldt het?

De Europese cybersecurity-richtlijn NIS2 (Network and Information Security Directive 2) is de opvolger van NIS1 uit 2016 en is door de Europese Unie vastgesteld om de digitale weerbaarheid van essentiële en belangrijke organisaties flink te verhogen. In Nederland wordt NIS2 omgezet in nationale wetgeving via de Cyberbeveiligingswet (Cbw). Veel Nederlandse MKB-bedrijven denken dat NIS2 alleen iets is voor grote energie- of telecombedrijven — maar dat klopt allang niet meer. In dit artikel leggen we kort en concreet uit wat NIS2 is, voor wie het geldt en wat u nu al kunt doen om voorbereid te zijn.

Wat is NIS2 precies?

NIS2 is een Europese richtlijn die lidstaten verplicht om een basisniveau van cybersecurity vast te leggen voor een breed scala aan sectoren. Waar NIS1 zich vooral richtte op een beperkt aantal aanbieders van essentiële diensten, breidt NIS2 de reikwijdte drastisch uit. De richtlijn stelt eisen aan risicobeheer, incidentmelding, toeleveranciers en bestuurlijke verantwoordelijkheid, en wordt gehandhaafd door nationale toezichthouders. In Nederland is dat voor veel sectoren de Rijksinspectie Digitale Infrastructuur (RDI).

De kernboodschap van NIS2 is eenvoudig: cybersecurity is geen keuze meer, maar een aantoonbare verplichting. Organisaties moeten passende technische en organisatorische maatregelen nemen, incidenten binnen strikte termijnen melden en hun bestuurders zijn hoofdelijk aansprakelijk als dit niet gebeurt.

Voor wie geldt NIS2?

NIS2 maakt onderscheid tussen twee categorieën organisaties: essentiële entiteiten (EE) en belangrijke entiteiten (BE). Beide moeten aan vrijwel dezelfde beveiligingseisen voldoen, maar het toezicht en de boetes verschillen.

Een organisatie valt onder NIS2 als zij actief is in een aangewezen sector én minimaal middelgroot is. Middelgroot betekent doorgaans 50 of meer medewerkers, of een jaaromzet van meer dan 10 miljoen euro. Kleinere organisaties kunnen ook onder de richtlijn vallen wanneer ze een kritieke rol spelen in de keten.

De aangewezen sectoren zijn onder meer:

• Energie, water, gas en warmte
• Transport (lucht, weg, spoor, water)
• Bank- en financiële dienstverlening
• Gezondheidszorg, farmacie en laboratoria
• Drinkwater en afvalwater
• Digitale infrastructuur, cloud- en datacenterdiensten
• Overheidsorganisaties
• Post- en koeriersdiensten
• Afvalbeheer
• Chemische industrie
• Voedingsindustrie en -distributie
• Maakindustrie (machinebouw, elektronica, medische apparatuur)
• Digitale aanbieders (zoekmachines, online marktplaatsen, sociale netwerken)
• Onderzoeksinstellingen

Veel Nederlandse MKB-bedrijven in deze sectoren realiseren zich pas laat dat ze onder NIS2 vallen. Een productiebedrijf met 60 medewerkers, een logistieke dienstverlener of een softwareleverancier aan een ziekenhuiszijn allemaal voorbeelden die typisch onder de richtlijn vallen.

Welke verplichtingen brengt NIS2 mee?

NIS2 schrijft in artikel 21 een lijst van tien basale beveiligingsmaatregelen voor. In de praktijk komt het neer op de volgende zes pijlers die elke organisatie aantoonbaar moet regelen:

1. Risicobeheer en beleid. Een vastgesteld cybersecuritybeleid met een terugkerende risicoanalyse, inclusief business-impact analyse.
2. Incidentafhandeling. Procedures voor detectie, respons en herstel bij beveiligingsincidenten — en de verplichting om deze daadwerkelijk te oefenen.
3. Continuïteit en back-up. Bedrijfscontinuïteitsplannen, ramp­herstelprocedures en getoetste back-ups.
4. Toeleveringsketenbeveiliging. U bent ook verantwoordelijk voor de cybersecurity van uw leveranciers en dienstverleners.
5. Toegangsbeheer en encryptie. Multi-factor authenticatie, rolgebaseerde toegang en versleuteling van gevoelige data in rust en onderweg.
6. Bewustwording en training. Medewerkers én bestuurders moeten structureel getraind worden in cyberhygiëne.

Daarnaast geldt een strikte meldplicht: een significant incident moet binnen 24 uur worden voorgemeld, binnen 72 uurvolgt een inhoudelijke melding en binnen één maand een eindrapport. De boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten — ruim het dubbele van wat de AVG in vergelijkbare situaties oplegt.

Nieuw ten opzichte van NIS1 is dat bestuurders persoonlijk aansprakelijk kunnen worden gesteld. Het management moet de maatregelen goedkeuren, het toezicht organiseren en zelf aantoonbaar getraind zijn. NIS2 is dus niet iets dat u aan de IT-afdeling kunt delegeren: het is een directieverantwoordelijkheid.

Wanneer treedt NIS2 in werking?

Op Europees niveau is NIS2 op 16 januari 2023 in werking getreden, met een transpositiedeadline van 17 oktober 2024. Nederland haalde die deadline niet; de Cyberbeveiligingswet wordt naar verwachting in 2026 van kracht. Ook zonder definitieve Nederlandse wet is het verstandig om nu al te beginnen: de richtlijn geldt immers al en de RDI communiceert actief met organisaties die onder het toekomstige toezicht vallen. De volgorde die we aan onze klanten adviseren is simpel: eerst weten of u onder NIS2 valt, dan een nulmeting doen, dan een concrete roadmap.

Wat kunt u nu al doen?

Voor Nederlandse MKB-organisaties die gebruikmaken van Microsoft 365 is er goed nieuws: een groot deel van de technische maatregelen die NIS2 vraagt, zit al in de Microsoft-stack — mits correct ingericht en aantoonbaar gemonitord. Denk aan voorwaardelijke toegang, multi-factor authenticatie, Microsoft Defender, Intune voor device management, Purview voor dataclassificatie en een goed ingeregelde online back-up van Microsoft 365. Papieren afvinken volstaat niet; u moet kunnen bewijzen dat maatregelen zijn ingevoerd én werken.

Concreet zijn dit de vijf stappen die we onze klanten adviseren:

1. Scopebepaling. Valt uw organisatie onder NIS2, en zo ja: als essentiële of belangrijke entiteit?
2. Nulmeting. Breng de huidige stand van cybersecurity in kaart tegen de tien NIS2-maatregelen.
3. Governance. Leg eigenaarschap bij het management vast, inclusief een periodieke rapportage.
4. Roadmap en implementatie. Sluit de gaten met een gefaseerde aanpak — meestal binnen de bestaande Microsoft 365-licenties.
5. Incidentgereedheid. Zorg dat uw team weet hoe een incident gemeld moet worden, en oefen dat minimaal één keer per jaar.

Veelgestelde vragen over NIS2

Valt mijn MKB-bedrijf onder NIS2? Als uw organisatie actief is in één van de aangewezen sectoren én meer dan 50 medewerkers of meer dan 10 miljoen euro omzet heeft, valt u waarschijnlijk onder NIS2. Ook kleinere organisaties kunnen onder de richtlijn vallen als ze een kritieke rol spelen.

Wanneer moet ik aan NIS2 voldoen? De Europese deadline was 17 oktober 2024. De Nederlandse Cyberbeveiligingswet treedt naar verwachting in 2026 in werking, maar begin nu al met de voorbereiding — de eisen zelf veranderen daardoor niet meer.

Hoe hoog zijn de boetes bij niet-naleving? Tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en tot 7 miljoen euro of 1,4% van de omzet voor belangrijke entiteiten. Bovendien kunnen bestuurders persoonlijk aansprakelijk worden gesteld.

Is Microsoft 365 voldoende om aan NIS2 te voldoen? Microsoft 365 bevat de meeste technische bouwstenen, maar alleen licenties zijn niet genoeg. U moet de juiste instellingen kiezen, aantoonbaar monitoren, incidenten kunnen melden en back-ups onafhankelijk kunnen herstellen. Daar helpen wij bij.

Wie is de toezichthouder in Nederland? Voor veel sectoren is dat de Rijksinspectie Digitale Infrastructuur (RDI). Voor financiële dienstverlening geldt DORA in plaats van NIS2, en sommige sectoren hebben een eigen toezichthouder.

Hoe helpt CloudSphere?

CloudSphere is Microsoft 365 specialist in Eindhoven en helpt MKB-organisaties om cybersecurity aantoonbaar op orde te krijgen. We combineren de NIS2-eisen met de mogelijkheden van Microsoft 365, Huntress en onze eigen online back-up. We leveren een nulmeting, een praktische roadmap en doen de implementatie samen met uw team — zonder onnodige compliance-theater, met een focus op wat werkt.