Compliance8 min leestijd
NIS2 Snelgids
Praktische checklist voor NIS2 gereedheid en implementatie
NIS2 Snelgids
Overzicht
De Network and Information Security Directive 2 (NIS2) is de Europese richtlijn voor cyberveiligheid die vanaf oktober 2024 van kracht is. Deze gids helpt organisaties bij het begrijpen en implementeren van de belangrijkste vereisten.
Toepassingsgebied
Essentiële Entiteiten
- Energie (elektriciteit, olie, gas, waterstof)
- Transport (lucht, rail, water, weg)
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur (DNS, IXP, TLD, cloud, datacenters)
- Overheidsdiensten
Belangrijke Entiteiten
- Post en koeriersdiensten
- Afvalbeheer
- Chemie
- Voeding
- Productie van medische hulpmiddelen
- Digitale dienstverleners (online marktplaatsen, zoekmachines, sociale netwerken)
Kernvereisten
1. Governance en Verantwoordelijkheid
Het bestuur moet:
- Cybersecuritymaatregelen goedkeuren en toezicht houden op implementatie
- Cybersecurity awareness training volgen
- Persoonlijk aansprakelijk zijn voor niet-naleving
2. Risicobeheermaatregelen (Artikel 21)
| Maatregel | Beschrijving | Bewijstype |
|---|---|---|
| Risicoanalyse | Periodieke beoordeling van cyberdreigingen | Risico register, BIA |
| Incidentbeheer | Procedures voor detectie, respons en herstel | Incident logs, runbooks |
| Bedrijfscontinuïteit | Back-up beheer en disaster recovery | DR plannen, test rapporten |
| Supply chain beveiliging | Leveranciersbeoordeling en monitoring | Vendor assessments |
| Netwerk- en systeembeveiliging | Technische beveiligingsmaatregelen | Hardening baselines |
| Toegangsbeheer | Identity management en authenticatie | IAM logs, MFA status |
| Cryptografie | Encryptie van data in rust en transit | Certificaten, key management |
| Personeel beveiliging | Awareness training en screening | Training records |
| Asset management | Inventaris van kritieke systemen | CMDB, asset register |
| Authenticatie | Multi-factor en sterke wachtwoorden | MFA coverage reports |
3. Incidentmelding (Artikel 23)
Verplichte meldingstijdlijnen:
0h 24h 72h 1 maand
|---------|----------------|------------------------|
Detectie Vroege Incident Eindrapport
waarschuwing melding
- Vroege waarschuwing: Binnen 24 uur na detectie significante dreiging
- Incidentmelding: Binnen 72 uur met impact assessment
- Tussentijdse updates: Op verzoek van autoriteit
- Eindrapport: Binnen 1 maand met root cause en maatregelen
4. Toezicht en Handhaving
Boetes:
- Essentiële entiteiten: tot €10 miljoen of 2% van wereldwijde omzet
- Belangrijke entiteiten: tot €7 miljoen of 1,4% van wereldwijde omzet
Maatregelen:
- Audits en inspecties
- Bevelen tot naleving
- Tijdelijke schorsing van diensten
- Verbod op bestuursfuncties
Implementatie Checklist
Governance (Week 1-4)
- Stel CISO of verantwoordelijke aan met bestuurlijk mandaat
- Informeer en train bestuur over NIS2 verplichtingen
- Bepaal of organisatie onder NIS2 valt (essentieel/belangrijk)
- Registreer bij nationale autoriteit indien vereist
Technisch (Week 4-12)
- Voer asset inventarisatie uit
- Voer risicoanalyse uit op kritieke systemen
- Implementeer of valideer MFA op alle toegang
- Configureer centrale logging (SIEM)
- Implementeer netwerksegmentatie
Operationeel (Week 8-16)
- Documenteer incidentresponsplan
- Voer tabletop oefening uit
- Stel meldprocedures op naar autoriteit
- Review en documenteer supply chain risico's
- Implementeer backup en DR procedures
Continu
- Periodieke vulnerability scans
- Jaarlijkse risicoherziening
- Kwartaal awareness training
- Maandelijkse patch management reviews
Hoe Noveu Helpt
Het Noveu platform ondersteunt NIS2 compliance met:
| Vereiste | Noveu Oplossing |
|---|---|
| Risicobeheer | Continuous compliance monitoring dashboard |
| Incidentmelding | Geautomatiseerde detectie en escalatie workflows |
| Audit trail | Onveranderlijke logs met bewijsexport |
| Toegangsbeheer | Geïntegreerde IAM met MFA enforcement |
| Dataresidentie | 100% EU hosting, geen US transfers |
| Supply chain | Europese partners met transparante audits |
Bronnen
Laatste update: Januari 2026
Disclaimer: Dit document is informatief. Raadpleeg juridisch advies voor specifieke compliance vragen.
Vragen over dit document?
Neem contact op voor implementatie advies of een persoonlijke demo.