Wat betekent de NIS2 voor organisaties?

De NIS2 richtlijn

De NIS2-richtlijn is de vernieuwde Europese cybersecurityrichtlijn voor netwerk- en informatie systemen, die in 2024 van kracht is geworden als opvolger van NIS1. Deze richtlijn is nú actueel omdat hij de lat hoger legt voor cyberbeveiliging in een breed scala aan sectoren, waaronder vitale infrastructuren en essentiële diensten. Voor organisaties in Nederland betekent NIS2 dat er strengere eisen komen op het gebied van cyberweerbaarheid, rapportage van incidenten en toezicht door autoriteiten. Denk aan ziekenhuizen, universiteiten, energiebedrijven maar ook voedselproducenten en gemeentes: allen moeten hun informatiebeveiliging opschalen. In de context van toegangscontrole en fysieke security is NIS2 relevant omdat digitale en fysieke beveiliging steeds meer verweven zijn. Een hack op uw toegangscontrolesysteem kan immers operationele gevolgen hebben. NIS2 onderstreept dat cybersecuritygeen nice-to-have meer is, maar een compliance-verplichting met mogelijke boetes en reputatieschade bij nalatigheid.

Wat houdt NIS2 in?

NIS2 is een EU-richtlijn die een uniform hoog niveau van cyberbeveiliging wil bereiken in 18 kritieke sectoren. Waar NIS1 alleen gold voor een paar sectoren (IT, energie, banken e.d.), breidt NIS2 dit uit naar veel meer organisaties, van groot tot middelgroot. Enkele belangrijke aspecten van NIS2:

  • Uitgebreide reikwijdte: Sectoren als gezondheidszorg, transport, drinkwater, digitale infrastructuur, overheid en voedsel vallen expliciet onder NIS2. Ook fabrikanten van bepaalde producten (chemie, medische apparatuur) en aanbieders van digitale diensten komen erbij. Kortom, veel organisaties die voorheen niet “kritiek” waren, zijn dat nu wel.
  • Essential vs. important entities: NIS2 onderscheidt “essentiële” en “belangrijke” entiteiten op basis van grootte en impact. Grote organisaties in vitale sectoren (bv. energienetbeheerder) zijn essential; middelgrote in minder vitale sectoren (bv. voedselproductie) zijn important. Het verschil zit met name in toezicht en boetehoogte, maar beide moeten voldoen aan de kernverplichtingen. 
  • Kernverplichtingen (zorg- en meldplicht): Iedere organisatie onder NIS2 heeft een zorgplicht om risico’s te beheersen en adequate cybersecuritymaatregelen te nemen. Denk aan het implementeren van een ISMS (Information Security Management System), het maken van risico-analyses, netwerksegmentatie, etc. Daarnaast geldt een meldplicht: ernstige cyberincidenten moeten binnen 24 uur gemeld worden aan de toezichthouder, met een vervolgrapport na 72 uur en een eindrapport binnen een maand. Dit dwingt snelle respons en transparantie af.
  • Sancties en toezicht: NIS2 wordt strak gehandhaafd. Nationale toezichthouders (zoals in NL waarschijnlijk de Agentschap Telecom / Nationaal Cyber Security Centrum voorbepaalde sectoren) krijgen bevoegdheden voor audits en inspecties. Bij niet-naleving kunnen forse boetes worden opgelegd, oplopend tot €10 miljoen of 2% van de wereldwijde omzet (wat hoger is) voor essentiële entiteiten].Voor belangrijke entiteiten max €7 miljoen of 1,4% van de omzet. Deze geharmoniseerde sancties geven NIS2 tanden, vergelijkbaar met de AVG in de privacy wereld.

NIS2 verplicht organisaties om proactief hun digitale beveiliging op orde te brengen, continu risico’s te monitoren en incidenten meteen te melden, met de dreiging van hoge boetes als stok achter de deur.

Relatie met security, compliance en toegangscontrole

Hoewel NIS2 primair over IT- en OT-systemen gaat, is de koppeling met fysieke beveiliging en toegangscontrole duidelijk aanwezig. Veel organisaties in NIS2-sectoren hebben complexe gebouwen, datacenters of locaties waar toegangscontrole een rol speelt in de algehele veiligheid. Enkele relevante koppelingen:

  • Fysieke beveiliging van kritieke infrastructuur: Sectoren als energie, drinkwater, gezondheidszorg hebben fysieke locaties (centrales, waterzuiveringen, ziekenhuizen) die door NIS2 als “kritiek” worden gezien. NIS2 eist niet alleen firewall en antivirus, maar ook dat toegang tot kritieke systemen en ruimtes streng beheerst wordt (principe van least privilege, zowel digitaal als fysiek). Een zwak toegangsbeleid kan leiden tot sabotage of datalekken.
  • Supply chain en integraties: NIS2 benadrukt beveiliging in de gehele keten. Een toegangscontrolesysteem wordt vaak geleverd door externe partijen en geïntegreerd met IT. Dit betekent dat organisaties hun leveranciers moeten doorlichten (third-party assurance). Een niet goed beveiligd toegangscontrolesysteem van een externe leverancier kan een supply chain risk zijn. Compliance kan vereisen dat zo’n systeem voldoet aan normen als ISO 27001of IEC 62443 (voor OT).
  • Incident response ook voor fysieke incidents: Als er een groot security-incident plaatsvindt (bijvoorbeeld een hack waarbij ook deuren onbedoeld open gaan of camera’s uitvallen), moet dit onder NIS2 binnen 24 uur gemeld worden. Dit dwingt organisaties om ook fysieke incidenten met cyberoorzaak snel te herkennen en te rapporteren.
  • Cultuuromslag en training: NIS2 vraagt om een brede risk-aware cultuur. Toegangsbeveiliging is vaak tastbaar voor medewerkers (passen, biometrie, etc). Door NIS2 zullen security officers meer aandacht besteden aan awareness: bijv. niet iemand ongemerkt mee naar binnen laten lopen (tailgating) is ook een securityrisico.

Kortom, NIS2 zorgt voor een holistische kijk op veiligheid: digitaal én fysiek. Compliance met NIS2 betekent dat uw organisatie geïntegreerde maatregelen neemt van firewalls tot stevige toegangsprocedures aan de poort.

In de praktijk: wat moeten organisaties concreet doen?

Organisaties die (mogelijk) onder de NIS 2 vallen kunnen enkele concrete stappen ondernemen:

  1. Gap-analyse uitvoeren: Breng in kaart hoe uw huidige informatiebeveiliging ervoor staat ten opzichte van NIS2-eisen. Veel organisaties gebruiken frameworks als ISO 27001 of NEN 7510; deze kunnen dienen als basis. Check of u beleid heeft voor alle verplichte thema’s: risico-analyse, incident responsplan, kwetsbaarheden beheer, continue monitoring, etc.
  2. ISMS opzetten of updaten: NIS2 vereist feitelijk een Information Security Management System met specifieke maatregelen. Als u nog geen gestructureerd ISMS heeft, implementeer er een (bijv. volgens ISO 27001). Heeft u dit al, zorg dat het de nieuwe NIS2 onderwerpen dekt (zoals supply chain risico’s, gebruik van encryptie, etc.). Documenteer duidelijk uw procedures voor incidentmelding.
  3. Toegangscontrole streng in regelen: Zorg dat zowel digitale toegang (accounts, VPN) als fysieke toegang (gebouwpassen, biometrie) volgens least privilege en “need-to-have” is ingericht. Herzie rollen en rechten: wie mag bij kritieke systemen of ruimtes? Gebruik multifactor-authenticatie waar mogelijk. Leg deze maatregelen vast in beleid. Dit helpt invulling te geven aan de zorgplicht vanNIS2.
  4. Oefen incidentrespons: Omdat de meldplicht strak tijdsgebonden is, moet uw organisatie getraind zijn om snel te handelen. Voer periodiek een cybercrisisoefening uit, inclusief scenario’s waarbij fysieke beveiliging betrokken is (bv. inbraak gecombineerd met netwerk hack). Zo leert uw team in 24 uur de impact te bepalen en de juiste informatie te verzamelen voor de autoriteiten.
  5. Betrek topmanagement: NIS2 eist ook bestuurdersaansprakelijkheid: in sommige landen kunnen leidinggevenden persoonlijk verantwoordelijk worden gehouden voor non-compliance.

Voor kleinere organisaties kan dit overweldigend lijken. Overweeg daarom samenwerking in sectorverband (bijv. via branches of het Nationaal Cyber Security Centrum) en schakel experts in.

NIS2 en CRA: twee zijden van dezelfde medaille

De NIS2-richtlijn en de Cyber Resilience Act (CRA) hebben hetzelfde doel: de digitale weerbaarheid van Europa versterken.
Toch richten ze zich op verschillende niveaus in de keten:

  • NIS2 richt zich op organisaties en diensten: ziekenhuizen, gemeenten, energiebedrijven, universiteiten enzovoort. Zij moeten hun informatiebeveiliging en incidentrespons op orde hebben.
  • CRA richt zich op de producten en software die die organisaties gebruiken. Fabrikanten van digitale of verbonden producten (zoals IoT-apparaten, beveiligingscontrollers of toegangslezers) moeten kunnen aantonen dat hun producten veilig zijn by design – dus al vóórdat ze op de markt komen.

Samenvormen ze een compleet raamwerk:

  • De CRA borgt dat producten veilig gebouwd worden.
  •  NIS2 borgt dat organisaties die producten veilig beheren en gebruiken.

Voor toegangscontrole betekent dit dat zowel de leverancier als de gebruiker verantwoordelijk wordt gehouden:

  • Een fabrikant moet aantonen dat zijn controller of cloudsoftware voldoet aan CRA-eisen.
  • De organisatie die het systeem gebruikt, moet aantonen dat het onderdeel is van een goed beveiligd netwerk (NIS2).

In de praktijk zullen NIS2-auditors steeds vaker vragen:
“Zijn uw gebruikte toegangscontrolesystemen CRA-conform of aantoonbaar veilig ontworpen?”
En fabrikanten zullen CRA gebruiken als bewijs richting klanten dat hun product aan NIS2-verwachtingen bijdraagt.

Kortom:

  • CRA = veilige producten
  • NIS2 = veilige organisaties


Beide versterken elkaar en dwingen een integrale kijk op security af van ontwerp tot gebruik.

Vooruitblik

In Nederland wordt NIS2 omgezet via de aankomende Cybersecuritywet. De overheid heeft aangegeven dat medio 2025 duidelijk moet zijn welke toezichthouders welke sectoren gaan controleren. Er komt waarschijnlijk ook sectorale richtsnoeren, bijvoorbeeld voor de zorg of de watersector, die NIS2-eisen vertalen naar concrete maatregelen (wellicht aansluitend op bestaande normen als NEN 7510 of IEC 62443).

Een positieve ontwikkeling is dat NIS2 samenwerking tussen EU-landen stimuleert. In de praktijk zou dat kunnen betekenen dat bij grensoverschrijdende incidenten (stel: een grote internationale hackerattack op toegangscontrole-software) landen sneller informatie delen om elkaar te helpen. Voor organisaties is de kans groot dat er meer informatie en hulpmiddelen beschikbaar komen, zoals richtlijnen van het NCSC, sectorale CERTs (Cyber Emergency Response Teams) en wellicht subsidies om te voldoen aan de eisen.

Samengevat: NIS2 zal de komende jaren de norm voor cyberveiligheid bepalen. Organisaties die op tijd hun huiswerk doen, integrale security op orde hebben, incidentprocessen paraat zullen niet alleen voldoen aan de wet, maar ook daadwerkelijk weerbaarder zijn tegen de steeds professionelere cyberdreigingen. Dat is de essentie: compliance als middel om echte veerkracht (resilience) te bereiken.

<- Terug naar nieuws
Zevix
HomeOver onsOns teamOplossingenContact
contact
[email protected]+31 (0)55-3030823Wapenrustlaan 11
7321DL ApeldoornKVK-nummer: 97725269
Over
Algemene voorwaardenPrivacy BeleidCookie instellingen aanpassen
Copyright © 2026 Zevix
Close Cookie Popup
Cookie instellingen
We gebruiken alleen analytische cookies om het gebruik van de website te meten en te verbeteren. U kunt dit weigeren of accepteren. Meer informatie kunt u vinden in ons privacy beleid.
Accepteer analyticsWeigeren
Close Cookie Popup
Cookie instellingen
We gebruiken alleen analytische cookies om het gebruik van de website te meten en te verbeteren. U kunt dit weigeren of accepteren. Meer informatie kunt u vinden in ons privacy beleid.
Accepteer analyticsWeigeren