Wat is de NIS2-richtlijn?

De NIS2-richtlijn behandelt digitale risico’s voor netwerk- en informatiesystemen, waaronder het internet en betalingsverkeer. NIS2 volgt de eerste NIS-richtlijn op, in Nederland ook bekend als de NIB, die sinds 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Sinds januari 2023 werkt de Rijksoverheid aan de omzetting van deze richtlijn naar Nederlandse wetgeving.

Ontwikkelingen

Op 31 januari 2024 liet de minister van Justitie en Veiligheid in een brief aan de Tweede Kamer weten dat het Nederland waarschijnlijk niet zal lukken om de NIS2-richtlijn tijdig om te zetten naar Nederlandse wetgeving. De implementatiedeadline van de Europese commissie was op 17 oktober 2024.

In juni 2025 is bekend geworden dat het wetsvoorstel voor de Cyberbeveiligingswet (Cbw) ingediend is bij de Tweede Kamer. In februari 2025 bracht de Raad van State nog advies uit over het wetsvoorstel. Na goedkeuring door de Tweede Kamer zal behandelingen volgen door de Eerste Kamer. De geplande inwerkingtreding is aangepast naar het 2e kwartaal van 2026.

Tot de inwerkingtreding gelden er geen verplichtingen voor organisaties vanuit de NIS2-richtlijn. Sommige bepalingen uit de NIS2-richtlijn hebben al wel een rechtstreekse werking.

De Rijksoverheid roept organisaties op zich voor te bereiden op de nieuwe wetgeving. De risico’s die organisaties lopen, zijn immers nu al aanwezig.

Welke organisaties vallen onder de richtlijn?

De NIS2-richtlijn (Cyberbeveiligingswet) richt zich op sectoren die al onder de eerste NIS-richtlijn vielen en nieuwe sectoren. Organisaties kunnen volgens bepaalde criteria gekenmerkt worden als ‘essentiële’ of ‘belangrijke’ entiteit. Het aantal publieke en private organisaties dat onder de richtlijn valt wordt dus groter.

De RDI heeft een NIS2-Zelfevaluatie ontwikkeld waarmee organisaties kunnen bepalen of ze onder de NIS2-richtlijn vallen en of ze als belangrijk of essentieel worden beschouwd. De Rijksoverheid biedt daarnaast een NIS2-Quickscan, vooral bedoeld voor ICT- en cybersecurityprofessionals. Met 40 ja/nee-vragen krijgen zij inzicht in de digitale weerbaarheid van hun organisatie en suggesties voor verbetermaatregelen per thema.

Hoe kunnen organisaties zich voorbereiden op de cyberbeveiligingswet?

Registreer uw organisatie

Voor organisaties die vallen onder de Cyberbeveiligingswet geldt de registratieplicht. De registratie vindt in Nederland plaats bij het Nationaal Cyber Security Centrum (NCSC). Zo is er door het NCSC een online registratievoorziening ontwikkeld waarin organisaties zichzelf registreren en aanmelden.

De Cyberbeveiligingswet schrijft tien zorgplichtmaatregelen voor waar organisaties ten minste aan moeten voldoen.

De 10 zorgplichtmaatregelen zijn:

Maatregel 1. Maak een risicoanalyse

Artikel 21 lid 2 sub a: beleid inzake risicoanalyse en beveiliging van informatiesystemenbeleid inzake risicoanalyse en beveiliging van informatiesystemen

Maatregel 2. Versterk de beveiliging op het gebied van personeel, toegang en assetbeheer

Artikel 21 lid 2 sub i: beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa

Maatregel 3. Maak een Bedrijfscontinuïteitsplan (BCP)

Artikel 21 lid 2 sub c: bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer

Maatregel 4. Richt Incident Response in

Artikel 21 lid 2 sub b: incidentbehandeling

Maatregel 5. Zorg dat cyberhygiëne op orde is

Artikel 21 lid 2 sub g: basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging

Maatregel 6. Schrijf beleid op de beveiliging van netwerk- en informatiesystemen

Artikel 21 lid 2 sub e: beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden

Maatregel 7. Maak je toeleveringsketen veilig

Artikel 21 lid 2 sub d: de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners

Maatregel 8. Maak beleid op cryptografie en encryptie

Artikel 21 lid 2 sub h: beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie

Maatregel 9. Gebruik MFA of andere beveiligde authenticatieoplossingen

Artikel 21 lid 2 sub j: wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit

Maatregel 10. Hanteer processen om de effectiviteit van maatregelen te beoordelen

Artikel 21 lid 2 sub f: beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen

Welke technische implementatie wordt er verwacht?

De ENISA (Agentschap van de Europese Unie voor Cyberbeveiliging) heeft in juni 2025 de Technical Implementation Guidance Versie 1.0 gepubliceerd. ENISA is een officiële EU-instelling die zich richt op het versterken van de cyberweerbaarheid binnen Europa. De organisatie ondersteunt lidstaten, instellingen en bedrijven bij:

• het implementeren van cybersecuritybeleid,
• het uitvoeren van risicobeoordelingen,
• het ontwikkelen van richtlijnen en best practices,
• en het coördineren van respons op grootschalige cyberincidenten.

ENISA speelt ook een centrale rol in de uitvoering van de NIS2-richtlijn, de Cyber Resilience Act, en de AI Act, en publiceert regelmatig technische en strategische handleidingen voor compliance en risicobeheer.

Klantevent NIS2

De regelgeving rondom digitale weerbaarheid ontwikkelt zich in hoog tempo. Door samenwerking en kennisdeling met uw IT partners, leveranciers en toezichthouders kunnen organisaties hun kennis vergroten en weerbaarheid versterken.

Op 13 oktober om 15.00 uur organiseren wij een speciale compliance kennisdelingssessie over NIS2 en andere wet en regelgeving zoals:

• Digital Operational Resilience Act (DORA)
• Algemene Verordening Gegevensbescherming (AVG)
• Artificial Intelligence Act (AI Act)
• Cyber Resilience Act (CRA)

Wij nodigen u van harte uit voor deze sessie. Inschrijven kan  hier.

Heeft u vragen over de besproken onderwerpen of wenst u ondersteuning bij de implementatie van de regelgeving? Neem dan gerust contact met ons op. Wij staan u graag bij.