NIS2-compliance en ISO 27001-implementatie
Welkom bij onze blogserie over NIS2-compliance en ISO 27001-implementatie.
BOEM Cybersecurity helpt organisaties in Nederland met de praktische vertaling van wetgeving naar concrete maatregelen.
In deze serie bespreken we de achtergronden van de nieuwe NIS2-richtlijn en de Cyberbeveiligingswet (Cbw), leggen we uit hoe je een Information Security Management System (ISMS) opzet volgens ISO 27001, en tonen we hoe beide frameworks elkaar aanvullen.
Elk artikel is bedoeld voor bestuurders, IT-verantwoordelijken en security-professionals die grip willen krijgen op compliance, maar geeft ook inzicht voor KMO’s en gemeenten die nog moeten starten.
Blog 1 – NIS2 in Nederland: wat betekent de Cyberbeveiligingswet voor jouw organisatie?
Achtergrond van NIS2 en de Cyberbeveiligingswet (Cbw)
De NIS2-richtlijn
(EUR-Lex, Richtlijn (EU) 2022/2555)
is de opvolger van de oorspronkelijke NIS-richtlijn en heeft als doel de cyberweerbaarheid van essentiële en belangrijke organisaties in de EU te verhogen.
Nederland zet deze richtlijn om via de
Cyberbeveiligingswet (Cbw),
die de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangt.
De Cbw staat naast andere Europese regels:
- DORA (voor de financiële sector)
- CER-richtlijn (fysieke weerbaarheid van kritieke entiteiten, in Nederland omgezet via de Wwke)
De transpositiedeadline van 17 oktober 2024 is niet gehaald.
De verwachting is dat de Cbw in werking treedt in het tweede kwartaal van 2026, gevolgd door een overgangsperiode van circa zes maanden
(Eversheds Sutherland, 2024).
Wie valt onder NIS2?
De Cbw vergroot de scope van circa 1 000 naar ongeveer 8 000 organisaties in Nederland.
Organisaties worden geclassificeerd als essentiële entiteiten (EE) of belangrijke entiteiten (BE), afhankelijk van sector en omvang.
Essentiële entiteiten zijn meestal grotere organisaties met vitale processen (energie, drinkwater, digitale infrastructuur, banken).
Belangrijke entiteiten zijn vaak middelgrote organisaties die cruciale diensten leveren.
Bepaalde categorieën – zoals DNS-dienstverleners, TLD-registers, cloud- en telecomproviders – vallen altijd onder de wet.
Boetes kunnen oplopen tot
€ 10 miljoen of 2 % van de wereldwijde jaaromzet (EE)
en € 7 miljoen of 1,4 % (BE).
Voor publieke entiteiten worden sancties nationaal uitgewerkt bij de invoering van de Cbw.
Bron:
Europese Commissie – NIS2 Factsheet
Nieuwe verplichtingen: zorgplicht en incidentrapportage
De kern van NIS2 bestaat uit twee hoofdverplichtingen: zorgplicht en meldplicht.
Zorgplicht (risicobeheer)
Organisaties moeten “passende en proportionele technische, operationele en organisatorische maatregelen” nemen om cyberrisico’s te beheersen.
De wet stimuleert het gebruik van internationale normen zoals ISO 27001, maar schrijft die niet voor.
Een goed opgezet ISMS vormt een sterke basis, maar is niet voldoende op zichzelf.
Zie: RDI – Aan de slag met NIS2
Meldplicht (incidentrapportage)
Significante incidenten moeten binnen 24 uur worden gemeld aan het bevoegde CSIRT en de toezichthouder.
Daarna volgt binnen 72 uur een nadere melding en binnen één maand een eindrapport.
Het NCSC coördineert meldingen voor vitale sectoren, maar niet elke organisatie rapporteert rechtstreeks bij het NCSC.
Bestuurlijke verantwoordelijkheid
De directie moet aantoonbaar betrokken zijn.
Bij ernstige of herhaalde niet-naleving kan de toezichthouder bestuurders persoonlijk aansprakelijk stellen of tijdelijk uit hun functie ontzetten.
Bron: Europese Commissie – Q&A NIS2
Sectorale impact en voorbereiding
De uitbreiding raakt vooral middelgrote fabrikanten, zorginstellingen, laboratoria en gemeenten.
Ook gemeenten vallen onder de Cbw; voor hen geldt de
BIO2-norm
als invulling van de zorgplicht.
| Mijlpunt | Datum/periode | Uitleg |
|---|---|---|
| EU neemt NIS2 aan | 14 dec 2022 | Richtlijn (EU) 2022/2555 gepubliceerd |
| Publieke consultatie Cbw | jun–sep 2024 | Regering verwerkt feedback in wetsvoorstel |
| Bekendmaking gemiste deadline | 16 okt 2024 | Parlement geïnformeerd over vertraging |
| Verwachte publicatie Cbw | 2e kwartaal 2026 | Wet treedt in werking met ± 6 mnd overgang |
| Eerste audits en handhaving | 2026 / 2027 | Organisaties moeten naleving aantonen |
Hoe bereid je je voor?
- Scope bepalen – Gebruik de RDI-zelfevaluatie NIS2 om te bepalen of jouw organisatie onder de Cbw valt.
- Risicoanalyse uitvoeren – Beoordeel je huidige beveiligingsniveau en kwetsbaarheden.
- Zorgplicht implementeren – Ontwikkel een roadmap op basis van ISO 27001 met aandacht voor MFA, encryptie en incidentrespons.
- Incidentrapportage oefenen – Zorg voor een procedure die voldoet aan de deadlines van 24 uur, 72 uur en 1 maand.
- Bestuur en medewerkers trainen – Train leiding en medewerkers over meld- en zorgplichten.
Hoe BOEM Cybersecurity je helpt
BOEM Cybersecurity begeleidt organisaties door de complexe NIS2-vereisten.
We voeren gap-analyses uit, ontwikkelen risicobeheerprocessen, helpen bij beleid en trainen bestuur en medewerkers.
