NIS2 zorgplicht: concrete maatregelen voor je organisatie

De NIS2-richtlijn legt organisaties in essentiële en belangrijke sectoren een uitgebreide zorgplicht op. Die zorgplicht is geen vage verplichting om “iets aan beveiliging te doen” — de richtlijn benoemt tien concrete maatregelengebieden waarop elke betrokken organisatie actie moet ondernemen. Dit artikel neem je mee door elk van deze gebieden en vertaalt de wetsvereisten naar de praktijk.

De tien maatregelengebieden: een overzicht

Artikel 21 van de NIS2-richtlijn somt de verplichte maatregelengebieden op. Samen vormen ze een integraal beveiligingskader dat zowel technische als organisatorische dimensies bestrijkt.

Maatregelengebied	Kernverplichting	Prioriteit
Risicobeleid en -analyse	Gedocumenteerde risicoanalyse voor ICT-systemen	Hoog
Incidentbeheer	Procedures voor detectie, respons en rapportage	Hoog
Bedrijfscontinuïteit	BCM-plan, back-ups, noodprocedures	Hoog
Beveiliging toeleveringsketen	Risicobeoordeling leveranciers en dienstverleners	Hoog
Beveiliging bij verwerving, ontwikkeling en onderhoud	Secure development en patchbeheer	Gemiddeld
Beoordeling effectiviteit beveiligingsmaatregelen	Audits, pentests, monitoring	Gemiddeld
Cyberhygiëne en training	Bewustzijnstraining voor alle medewerkers	Hoog
Cryptografie en encryptie	Beleid voor gebruik van cryptografische maatregelen	Gemiddeld
Personeelsbeveiliging	Screening, toegangsbeheer, offboarding	Gemiddeld
Multi-factor authenticatie	MFA voor toegang tot kritieke systemen	Hoog

Tip: Gebruik de tien maatregelengebieden als kapstok voor je gap-analyse. Beoordeel voor elk gebied je huidige volwassenheid en stel prioriteiten op basis van risico. Zo voorkomt je dat je in generieke implementatieprojecten belandt zonder meetbare uitkomsten.

Risicobeleid, incidentbeheer en bedrijfscontinuïteit

De drie meest fundamentele gebieden vormen de kern van elk informatiebeveiligingsstelsel. Een risicobeleid zonder periodieke update is een papieren tijger: de NIS2-zorgplicht vereist dat risico’s periodiek worden herbeoordeeld, zeker na significante wijzigingen in systemen of dreigingslandschap.

Incidentbeheer gaat verder dan alleen reageren op incidenten. NIS2 vereist een gedocumenteerde procedure voor de volledige incidentlevenscyclus: van detectie en classificatie tot herstel en evaluatie. Bovendien geldt een meldplicht bij ernstige incidenten: een eerste melding aan de toezichthouder binnen 24 uur, een gedetailleerde melding binnen 72 uur.

Bedrijfscontinuïteitsmanagement (BCM) omvat back-upstrategie, uitwijkprocedures en een gedocumenteerd crisisplan. De back-upstrategie moet aantoonbaar periodiek worden getest — het bestaat niet dat een back-up pas bij een incident wordt getest en dan blijkt te falen.

Beveiliging van de toeleveringsketen en cyberhygiëne

NIS2 besteedt opvallend veel aandacht aan de beveiliging van de toeleveringsketen. Organisaties zijn verplicht de beveiligingsrisico’s van hun leveranciers te beoordelen en contractuele afspraken te maken over beveiliging, meldplichten en auditrechten.

Dit is een uitdaging voor veel organisaties: zij zijn afhankelijk van tientallen of honderden leveranciers, van clouddiensten tot schoonmaakbedrijven die toegang hebben tot kantoorruimten. Een risicogebaseerde aanpak is onvermijdelijk: focus op leveranciers met toegang tot kritieke systemen of gevoelige gegevens.

Cyberhygiëne en training zijn deceptief eenvoudig maar mogen niet worden onderschat. Phishing, social engineering en zwakke wachtwoorden zijn verantwoordelijk voor een groot deel van de succesvolle aanvallen op organisaties. NIS2 verplicht aantoonbare bewustzijnstraining voor alle medewerkers, niet alleen IT-personeel.

Multi-factor authenticatie en cryptografie

Twee maatregelen verdienen bijzondere aandacht vanwege hun effectiviteit: multi-factor authenticatie (MFA) en cryptografie.

MFA is een van de meest kosteneffectieve beveiligingsmaatregelen beschikbaar. Het blokkeert het overgrote deel van de aanvallen waarbij inloggegevens zijn gecompromitteerd. NIS2 vereist MFA voor toegang tot kritieke systemen en netwerken, maar best practice is om MFA breder in te zetten — ook voor e-mail en bedrijfsapplicaties.

Een cryptografiebeleid legt vast welke algoritmen en sleutellengtes zijn toegestaan, hoe sleutels worden beheerd en wanneer versleuteling verplicht is. Verouderde protocollen zoals MD5, SHA-1 of DES zijn niet langer acceptabel; organisaties moeten overstappen op moderne standaarden.

Veelgestelde vragen

Geldt de NIS2-zorgplicht ook voor bestuurders persoonlijk? Ja. NIS2 introduceert persoonlijke aansprakelijkheid voor bestuurders. Zij kunnen aansprakelijk worden gesteld als zij de naleving van de zorgplicht structureel verwaarlozen.

Hoe concreet moet mijn risicobeleid zijn gedocumenteerd? De toezichthouder verwacht een beleid dat specifiek ingaat op je organisatie, je systemen en je dreigingsprofiel. Generieke sjablonen zonder aanpassing volstaan niet.

Moeten alle tien maatregelengebieden volledig zijn geïmplementeerd bij de inwerkingtreding? Ja, in beginsel wel. De wet kent geen officiële overgangstermijn voor de zorgplicht. Prioriteer op basis van risico en documenteer je aanpak.

Hoe verhouden de NIS2-maatregelen zich tot ISO 27001? ISO 27001 dekt veel van de tien NIS2-maatregelengebieden. Een ISO 27001-certificaat is geen wettelijk bewijs van NIS2-compliance, maar het biedt een aanzienlijke voorsprong.

Wat telt als bewijs van naleving bij een toezichtsonderzoek? Gedocumenteerde beleidsstukken, logbestanden van activiteiten, trainingsrecords en auditrapportages. De bewijslast ligt bij de organisatie zelf.

---

Heb je ondersteuning nodig bij de implementatie van de NIS2-zorgplicht? Control One biedt begeleiding op maat. Bekijk onze aanpak en tarieven op de prijzenpagina.