NIS2: volg deze stappen om aan 10 cybersecurity-richtlijnen te voldoen

NIS2 is een nieuwe Europese regelgeving die grote gevolgen heeft voor de cybersecurity van bedrijven in Nederland. Omdat de richtlijn complex is en de regels niet altijd even duidelijk zijn, wil ik in dit artikel dieper ingaan op de specifieke richtlijnen en wat bedrijven concreet moeten doen om eraan te voldoen.

Benieuwd naar informatie over de NIS2-richtlijn als geheel? Die vind je in dit artikel.

De uitdaging: NIS2 is ingewikkeld en niet altijd helder

De NIS2-richtlijn bevat strengere eisen voor cybersecurity binnen bedrijven die als ‘essentieel’ of ‘belangrijk’ worden beschouwd. Veel ondernemers vragen zich af: wat moet ik precies doen om te voldoen aan de regels? De richtlijn spreekt over risicobeheer, incidentrespons en supply chain security, maar de praktische vertaling ontbreekt vaak.

In dit artikel geef ik een overzicht van de 10 belangrijkste NIS2-richtlijnen en leg ik op een eenvoudige manier uit wat ze betekenen voor jouw bedrijf. Geen vage regelgevingstaal, maar heldere acties die je kunt ondernemen om compliant te worden.

Wat is NIS2?

Voordat we beginnen met de daadwerkelijke regelgeving, wil ik starten met het opfrissen van wat de NIS2 inhoud. De NIS2 (Network and Information Security 2) is de vernieuwde Europese richtlijn voor cybersecurity, die voortbouwt op de oorspronkelijke NIS-richtlijn uit 2016. Het doel is om de digitale weerbaarheid van bedrijven en overheden in de EU te versterken. NIS2 stelt strengere eisen aan cybersecuritymaatregelen en breidt de lijst van sectoren uit die zich eraan moeten houden.

De belangrijkste verbeteringen ten opzichte van de eerste NIS-richtlijn zijn:

• Meer sectoren vallen onder de verplichtingen (zoals voedselproductie en digitale infrastructuur).
• Strengere eisen voor risicobeheer en incidentrespons.
• Meer verantwoordelijkheid bij het management om cybersecurity te borgen.
• Zwaardere sancties bij niet-naleving, vergelijkbaar met de AVG-boetes.

Hoe geldt NIS2 voor Nederlandse bedrijven?

Nederland heeft de NIS2-richtlijn verwerkt in de Cyberbeveiligingswet, die in oktober 2024 van kracht wordt. Dit betekent dat Nederlandse bedrijven zich moeten houden aan:

• Zorgplicht: organisaties moeten passende maatregelen nemen om cyberrisico’s te beperken.
• Meldplicht: ernstige cybersecurity-incidenten moeten snel bij de overheid worden gemeld.
• Toezicht en sancties: er komt strengere controle en bedrijven kunnen forse boetes krijgen bij niet-naleving.

De impact van NIS2 is dus groot. Let op! De richtlijnen zijn allemaal erg technisch. Ik raad af de implementatie geheel zelf te doen, een foutje in de implementatie kan grote gevolgen hebben.

De 10 NIS2-richtlijnen: wat ze betekenen voor jouw bedrijf

Om te voldoen aan NIS2 moeten bedrijven voldoen aan 10 vereisten. Hieronder leg ik elke richtlijn uit in eenvoudige termen én geef ik stappen die je als bedrijf moet nemen.

1. Risicobeheermaatregelen

Wat dit betekent:
Bedrijven moeten cybersecurityrisico’s serieus nemen en een strategie ontwikkelen om risico’s van hun IT-systemen in kaart te brengen en vervolgens de deze te minimaliseren.

Wat je moet doen:
Voer regelmatig een cybersecurityrisico-analyse uit. Implementeer een risicomanagementbeleid met duidelijke procedures.

2. Incidentafhandeling

Wat dit betekent:
Bedrijven moeten een duidelijk plan hebben om snel en effectief te reageren op cyberaanvallen.

Wat je moet doen:
Stel een incidentresponsplan op met duidelijke stappen. Dit is een plan dat je gebruikt in het geval van een cyberaanval. Voor elk bedrijf is het anders hoe ze met een hack omgaan, dus is elk plan ook anders. Er zijn ook andere factoren zoals de markt waarin het bedrijf werkt, en waar de zwakke punten van het bedrijf ligt. Ik raad je aan om dit plan op te stellen met een specialist, omdat het opstellen ervan erg lastig is. Daarnaast moet het plan waterdicht zijn in het geval van een cyberaanval.

Als het plan is gemaakt dan:

• Wijs je een team aan dat verantwoordelijk is voor incidentbeheer. (IT)
• Test je het plan regelmatig met cybercrisissimulaties. (Hack Simulatie)

3. Bedrijfscontinuïteit en crisisbeheer

Wat dit betekent:
Je bedrijf moet kunnen blijven functioneren tijdens en na een cyberaanval.

Wat je moet doen:
Maak een back-upstrategie met regelmatige en versleutelde back-ups. Ontwikkel ook een disaster recovery plan voor snelle herstelprocedures. Dit is een plan dat vaak hand in hand gaat met het incident response plan. Het incident response plan geeft aan hoe je reageert op de hack, maar het disaster recovery plan laat zien hoe je ervoor zorgt dat in het geval van een incident, het bedrijf zo snel mogelijk weer kan doorwerken zodat de kosten zo laag mogelijk blijven. Een disaster recovery plan is dus ook weer anders voor ieder bedrijf.

Test deze continuïteitsplannen minstens één keer per jaar, zodat je zeker weet dat deze up to date zijn.

4. Beveiliging van de toeleveringsketen

Wat dit betekent:
Niet alleen je eigen cybersecurity telt, maar ook die van je leveranciers en partners.

Wat je moet doen:

• Controleer of je leveranciers voldoen aan cybersecuritystandaarden.
• Stel veiligheidseisen op in contracten met externe partijen. Dit doe je omdat externe partijen ook een ingang kunnen zijn voor hackers in jouw bedrijf. Het kan namelijk gebeuren dat jij je security volledig op orde hebt, maar een leverancier van jouw niet waardoor je alsnog gehackt kan worden. En dit door de nalatigheid van je leverancier.
• Monitor daarom je leveranciers regelmatig op mogelijke risico’s.

5. Beveiliging van netwerk- en informatiesystemen

Wat dit betekent:
IT-systemen moeten veilig ontworpen en onderhouden worden.

Wat je moet doen:

• Gebruik firewalls, encryptie en multi-factor authenticatie (MFA).
• Zorg voor regelmatige software-updates en patchbeheer.
• Beperk toegangsrechten tot gevoelige systemen en data.

6. Beleid en procedures voor cybersecuritytesten en audits

Wat dit betekent:
Bedrijven moeten hun cybersecuritymaatregelen regelmatig testen en evalueren.

Wat je moet doen:

• Plan periodieke penetratietesten en security audits. Dit zijn periodieke testen op je IT-systeem, waar een ethische hacker probeert in te breken. Hierdoor zal hij de kwetsbaarheden kunnen identificeren en kan je deze oplossen voordat een echte hacker ze vind. Dit doe je periodiek, omdat er elke dag nieuwe kwetsbaarheden in je systemen komen.
• Houd een logboek bij van kwetsbaarheden en verbeteringen, zodat je kan aantonen dat je actief bezig bent met de online veiligheid van je bedrijf.
• Zorg voor een onafhankelijke audit minstens twee keer per jaar. (Bij een externe partij.)

7. Cybersecuritytraining en bewustwording

Wat dit betekent:
Je medewerkers vormen een belangrijk verdedigingsmechanisme tegen cyberdreigingen.

Wat je moet doen:

• Geef verplicht cybersecuritytraining aan alle medewerkers.
• Train personeel in het herkennen van phishingaanvallen en social engineering.
• Voer regelmatig bewustwordingscampagnes uit binnen het bedrijf. Cybersecurity moet top of mind blijven bij werknemers.

8. Melden van cybersecurity-incidenten

Wat dit betekent:
Ernstige cyberincidenten moeten snel en volgens de regels gemeld worden aan de juiste autoriteiten.

Wat je moet doen:

• Stel een incidentmeldingsprocedure op. Dit is een procedure die medewerkers kunnen volgen als ze het vermoeden hebben dat ze bijvoorbeeld op een phishinglink hebben geklikt, of hun wachtwoord gelekt is.
• Zorg dat medewerkers weten wanneer en hoe ze een incident moeten melden. Daarnaast is het erg belangrijk dat hier geen schaamte omheen hangt, anders gaan mensen het express achterhouden en kan de schade nog veel groter zijn.

9. Bestuur en verantwoordelijkheid

Wat dit betekent:
De directie en het management moeten actief betrokken zijn bij cybersecuritybeleid. Bij een cyberaanval zou de schade verhaald kunnen worden op het management, als blijkt dat er nalatig is omgegaan met de online veiligheid van het bedrijf.

Wat je moet doen:

• Wijs een Chief Information Security Officer (CISO) of cybersecurity verantwoordelijke aan.
• Zorg dat het bestuur regelmatig wordt geïnformeerd over cybersecurityrisico’s.
• Neem cybersecurity op als vast onderdeel van bestuursvergaderingen en in de bedrijfsplannen

10. Internationale en grensoverschrijdende samenwerking

Wat dit betekent:
Sommige bedrijven moeten voldoen aan cybersecurityregels in meerdere landen.

Wat je moet doen:

• Controleer of jouw bedrijf onder meerdere internationale richtlijnen valt.
• Zorg voor naleving van de EU- en internationale cybersecuritynormen.
• Werk samen met cybersecurityautoriteiten in andere landen als dat nodig is.

Met deze 10 richtlijnen als basis kunnen bedrijven gericht werken aan NIS2-compliance. Als je als deze richtlijnen hebt geïmplementeerd in je bedrijfsvoering, ben je klaar voor een audit voor de NIS2. Hierin zal worden uitgezocht of je de richtlijnen goed heb geïmplementeerd en of je compliant bent aan de regelgeving.

Veel gemaakte fouten bij de NIS2

Veel bedrijven onderschatten de impact van NIS2 of nemen niet de juiste stappen om eraan te voldoen. Hieronder deel ik enkele veelvoorkomende fouten die je als organisatie moet zien te voorkomen.

Wachten tot de laatste minuut
De Cyberbeveiligingswet is in oktober 2024 in werking gesteld. Dit betekent dat je nu al bezig zou moeten zijn met de NIS2 implementatie.

Cybersecurity alleen als een IT-probleem zien
Cybersecurity is niet alleen een technische kwestie, maar een strategische bedrijfsverantwoordelijkheid. Als directie en management zich hier niet actief mee bezighouden, blijft de organisatie kwetsbaar en word compliant zijn aan de NIS2 lastig.

Verplichtingen onderschatten of vaag houden
NIS2 vereist een concreet en aantoonbaar beleid. Algemene richtlijnen zonder duidelijk vastgelegde processen en verantwoordelijken zijn onvoldoende. Bedrijven moeten hun aanpak documenteren en continu verbeteren.

Geen regelmatige tests en audits uitvoeren
Beveiligingsmaatregelen moeten periodiek worden getest om zeker te weten dat ze effectief zijn. Zonder penetratietesten, audits en crisissimulaties blijven zwakke plekken onopgemerkt, en ben je niet compliant.

Leveranciers niet betrekken in de cybersecuritystrategie
Veel cyberaanvallen komen via toeleveranciers en externe partners binnen. Als een bedrijf alleen zijn eigen beveiliging regelt, maar niet de keten controleert, blijft het risico bestaan. Beveiligingseisen voor leveranciers moeten expliciet in contracten worden opgenomen.

Hoe serieus neem je de cybersecurity van je eigen organisatie?

De NIS2-richtlijn is in oktober 2024 officieel van kracht gegaan, maar veel bedrijven zijn nog steeds niet volledig compliant. Hoewel de controles nog niet zijn gestart, is het slechts een kwestie van tijd voordat toezichthouders gaan handhaven. Elke maand dat een organisatie langer wacht, neemt het risico toe dat zij te laat is en boetes of andere sancties opgelegd krijgt.

Daarnaast gaat naleving van NIS2 niet alleen over wetgeving en mogelijke boetes. Het draait om de fundamentele vraag: hoe serieus neem je de cybersecurity van je eigen organisatie? Hoeveel waarde hecht je aan de bescherming van je klantgegevens en bedrijfsinformatie? Cyberdreigingen blijven toenemen, en bedrijven die hun beveiliging niet op orde hebben, lopen een steeds groter risico op datalekken, cyberaanvallen en operationele verstoringen.

De tijd van afwachten is voorbij. Bedrijven die nog niet aan de slag zijn gegaan, moeten nu actie ondernemen. Niet alleen om aan de regelgeving te voldoen, maar ook om hun digitale veiligheid te waarborgen. Want uiteindelijk draait NIS2 niet alleen om verplichtingen—het gaat om de continuïteit en betrouwbaarheid van je onderneming.

Home < NIS2: volg deze stappen om aan 10 cybersecurity-richtlijnen te voldoen