tijdlijn van NIS2

In dit artikel kun je lezen over de NIS2-tijdlijn in Nederland, wie aan NIS2 moet voldoen, de belangrijkste vereisten voor organisaties en hoe NIS2 van invloed is op de gehele cyberstrategie.

Jasper de Jong

Security researcher @ Ardion

In dit artikel

1Wat is de tijdlijn van NIS2 in Nederland?

2Wie moet voldoen aan NIS2?

3NIS2-vereisten voor organisaties

4Hoe beïnvloedt NIS2 de cyberbeveiligingsstrategie?

Wat is de tijdlijn van NIS2 in Nederland?

De NIS2-richtlijn wordt in Nederland naar verwachting rond 1 juli 2026 van kracht via de nieuwe Cyberbeveiligingswet. Tot die datum zijn de Nederlandse NIS2-verplichtingen nog niet volledig juridisch afdwingbaar, maar organisaties die onder de wet vallen doen er verstandig aan zich nu al voor te bereiden.

Totdat de Cyberbeveiligingswet daadwerkelijk in werking treedt, gelden er volgens de NCTV nog geen wettelijke NIS2-verplichtingen voor organisaties vanuit de Nederlandse implementatiewet. Wel kunnen organisaties in bepaalde gevallen al rechten hebben door rechtstreekse werking van sommige NIS2-bepalingen.

NIS2 is Europees al van kracht, maar in Nederland wacht de juridische afdwingbaarheid vooral op de definitieve inwerkingtreding van de Cyberbeveiligingswet.

Belangrijke mijlpalen in de NIS2-tijdlijn

Het begrijpen van de NIS2 tijdlijn begint met het identificeren van de belangrijkste mijlpalen. De eerste mijlpaal was de officiële goedkeuring van de richtlijn door het Europees Parlement en de Raad eind 2022, gevolgd door de inwerkingtreding in januari 2023.

Daarna gingen de lidstaten een overgangsperiode in waarin ze nationale wetten moesten opstellen en goedkeuren die de vereisten van NIS2 weerspiegelen. De primaire NIS2-nalevingstermijn voor deze wetswijzigingen is oktober 2024, maar sommige landen hebben gekozen voor eerdere of latere handhavingsdata op basis van hun wetgevingsproces.

België heeft zijn nationale wet bijvoorbeeld in oktober 2024 ingevoerd, terwijl Oostenrijk van plan is deze in oktober 2026 in te voeren. Deze belangrijke mijlpalen vormen de ruggengraat van het NIS2 uitrolplan en bepalen wanneer organisaties zich moeten gaan voorbereiden op naleving.

Landen hebben ongelijke NIS2 deadlinesEU-landen stellen hun eigen NIS2-tijdlijnen vast, waardoor organisaties gedwongen worden om te jongleren met verschillende deadlines voor naleving in meerdere rechtsgebieden.

Landenspecifieke variaties in NIS2-handhaving

Hoewel de EU het overkoepelende NIS2-stappenplan vaststelt, heeft elke lidstaat de bevoegdheid om zijn eigen NIS2-handhavingsdata te bepalen. Dit leidt tot grote verschillen in wanneer organisaties aan de nieuwe regels moeten voldoen.

Sommige landen, zoals Litouwen en Kroatië, hebben hun nationale wetten al in werking laten treden, terwijl andere, zoals Frankrijk en Spanje, nog in de ontwerpfase zitten. De verschillen in NIS2-implementatieschema's betekenen dat multinationale organisaties meerdere tijdlijnen moeten volgen en hun nalevingsstrategieën daarop moeten afstemmen.

Het is niet ongewoon dat hetzelfde bedrijf in verschillende rechtsgebieden te maken krijgt met verschillende deadlines voor NIS2-naleving, afhankelijk van de snelheid en aanpak van elke nationale overheid.

Omzetting en de rol van nationale wetgeving

Een centraal onderdeel van de NIS2-tijdlijn is het proces dat bekend staat als omzetting. Dit verwijst naar de vereiste voor elke lidstaat om de EU-richtlijn om te zetten in nationale wetgeving.

Het plan voor de uitrol van NIS2 staat of valt met deze stap, omdat organisaties pas wettelijk verplicht zijn om te voldoen als de wetgeving van hun land is aangenomen. Omzettingstermijnen worden vastgesteld door de EU, maar de daadwerkelijke goedkeuring van wetten hangt af van de wetgevingskalender en politieke prioriteiten van elk land.

Vertragingen in de omzetting kunnen de handhavingsdata voor NIS2 uitstellen, waardoor onzekerheid ontstaat voor organisaties die in meerdere landen actief zijn. Het volgen van de voortgang van nationale wetgeving is daarom essentieel voor elk bedrijf dat te maken heeft met de richtlijn, vooral bij het afstemmen van controles op de bijgewerkte vereisten van de NIS2-richtlijn.

Gefaseerde aanpak voor NIS2-compliance

Het stappenplan voor netwerk- en informatiebeveiliging2 omvat vaak een gefaseerde aanpak van de naleving. Nadat de richtlijn op EU-niveau in werking is getreden, is er meestal een overgangsperiode voordat de nationale wetgeving is afgerond.

Zodra deze wetten van kracht zijn, krijgen organisaties een bepaalde periode om volledige naleving te bereiken. Deze gefaseerde structuur stelt organisaties in staat om hun huidige cyberbeveiligingshouding te beoordelen, hiaten te identificeren en noodzakelijke veranderingen door te voeren voordat de definitieve deadlines voor NIS2-naleving aanbreken.

In sommige gevallen kunnen regelgevers tussentijdse maatregelen of richtlijnen introduceren om organisaties te helpen zich voor te bereiden tijdens de overgang. De gefaseerde aanpak is bedoeld om een balans te vinden tussen de urgentie van verbeterde cyberbeveiliging en de praktische realiteit van organisatorische veranderingen, waaronder de bereidheid om een effectieve cyberbeveiliging uit te voeren waaronder een incidentenbestrijdingsplan.

Wie moet voldoen aan NIS2?

De NIS2-richtlijn is van toepassing op een groot aantal organisaties in de Europese Unie, waardoor de reikwijdte veel verder gaat dan het oorspronkelijke NIS-kader. Als je organisatie actief is in een van de kritieke sectoren die worden genoemd in bijlage I of bijlage II van de richtlijn en voldoet aan bepaalde drempelwaarden qua omvang of omzet, moet je waarschijnlijk voldoen aan NIS2.

Hieronder vallen zowel publieke als private entiteiten die een vitale rol spelen bij het in stand houden van essentiële diensten en infrastructuur. De reikwijdte is opzettelijk breed om ervoor te zorgen dat de veerkracht van netwerk- en informatiesystemen in de hele EU wordt versterkt.

Het is van cruciaal belang om te weten of je organisatie onder de NIS2-paraplu valt om je voor te bereiden op de komende NIS2-handhavingsdata en je aan te passen aan het NIS2-implementatieschema.

Kritische sectoren die onder NIS2 vallen

NIS2 identificeert achttien kritieke sectoren waarvoor de eisen gelden. Deze sectoren zijn onderverdeeld in twee hoofdcategorieën: zeer kritieke sectoren en andere belangrijke sectoren.

Voorbeelden van zeer kritieke sectoren zijn energie, transport, banken, gezondheidszorg, digitale infrastructuur en openbaar bestuur. Andere sectoren zoals voedselproductie, postdiensten, afvalbeheer en onderzoek zijn ook opgenomen.

De brede sectorale reikwijdte van de richtlijn weerspiegelt de erkenning van de EU dat verstoringen op deze gebieden aanzienlijke maatschappelijke en economische gevolgen kunnen hebben. Organisaties die binnen deze sectoren actief zijn, moeten goed letten op het NIS2 uitrolplan en ervoor zorgen dat ze zich bewust zijn van hun verplichtingen naarmate het NIS2-stappenplan in elke lidstaat vordert.

Criteria voor grootte en type

Niet elk bedrijf in een kritieke sector hoeft automatisch te voldoen aan NIS2. De richtlijn stelt specifieke drempels op basis van de omvang van de organisatie en financiële gegevens.

Over het algemeen worden middelgrote organisaties met ten minste 50 werknemers of een jaaromzet of balanstotaal van meer dan €10 miljoen geclassificeerd als belangrijke entiteiten. Grote organisaties met meer dan 250 werknemers of een netto-omzet van meer dan €50 miljoen en een balanstotaal van meer dan €43 miljoen worden beschouwd als essentiële entiteiten.

Er zijn uitzonderingen voor micro- en kleine bedrijven in bepaalde gevallen, vooral als ze diensten leveren die van vitaal belang worden geacht voor de nationale belangen. Overheidsinstanties die actief zijn in kritieke sectoren vallen hier ook onder.

Het is belangrijk om de nationale veiligheidseisen in de gaten te houden en paraatheid op te bouwen met een duidelijk gedefinieerde informatiebeveiligingsbeleid, aangezien de NIS2-nalevingstermijnen kunnen variëren afhankelijk van het nationale NIS2-implementatieschema.

Speciale overwegingen voor multinationale en niet-EU-organisaties

Multinationale organisaties hebben te maken met extra complexiteit bij het bepalen van de toepasbaarheid van NIS2. Als je bedrijf in meerdere EU-landen actief is, moet je je status in elk rechtsgebied beoordelen, omdat de lokale wetgeving de NIS2-richtlijn anders kan interpreteren.

Bovendien kunnen organisaties die buiten de EU gevestigd zijn, maar binnen de EU kritische diensten aanbieden, ook onder het toepassingsgebied van de richtlijn vallen. Dit betekent dat zelfs als je hoofdkantoor zich in het buitenland bevindt, je toch aan de NIS2-eisen moet voldoen als je EU-klanten in kritieke sectoren bedient.

Op de hoogte blijven van het stappenplan voor NIS2 en de handhavingsdata in elke relevante lidstaat is essentieel voor een tijdige en effectieve naleving.

NIS2-vereisten voor organisaties

De NIS2-richtlijn introduceert een uitgebreide reeks eisen voor organisaties die actief zijn in kritieke sectoren in de hele EU. Deze eisen zijn bedoeld om de veerkracht van cyberbeveiliging te versterken, beter risicobeheer te garanderen en een snelle reactie op cyberdreigingen te bevorderen.

Organisaties moeten hun interne processen afstemmen op het NIS2-implementatieschema en klaar zijn om te voldoen aan de NIS2-nalevingstermijnen zoals vastgesteld door hun respectieve lidstaten. De NIS2-routekaart legt niet alleen de nadruk op technische beveiligingsmaatregelen, maar ook op bestuur, rapportage en beheer van de toeleveringsketen, waardoor het voor organisaties essentieel is om deze verplichtingen te begrijpen en in te bedden in hun dagelijkse werkzaamheden.

Bestuurs- en verantwoordingsstructuren

Een kernvereiste onder NIS2 is het opzetten van duidelijke governance- en verantwoordingsstructuren binnen organisaties. Dit betekent dat rollen en verantwoordelijkheden met betrekking tot cyberbeveiliging expliciet moeten worden gedefinieerd, gedocumenteerd en gecommuniceerd naar alle relevante partijen.

Van het senior management, inclusief C-level executives, wordt verwacht dat ze een actieve rol spelen in het overzien van de cyberbeveiligingsstrategie en zorgen voor naleving van het NIS2 uitrolplan. Organisaties moeten verantwoordelijke personen of teams aanstellen om zowel IT- als OT-beveiliging te beheren, zodat eventuele kloven tussen operationele en informatietechnologische omgevingen worden overbrugd.

Regelmatige training en bewustwordingsprogramma's voor personeel op alle niveaus zijn ook verplicht, zodat iedereen begrijpt wat zijn rol is in het handhaven van compliance en het reageren op incidenten. Deze focus op governance wordt versterkt door de dreiging van aanzienlijke financiële boetes voor niet-naleving, waardoor het voor organisaties van cruciaal belang is om prioriteit te geven aan leiderschapsbetrokkenheid en duidelijke verantwoordelijkheidslijnen.

Er wordt gewerkt aan de implementatie van NIS2

Risicobeheer en technische controles

NIS2 legt sterk de nadruk op proactief risicomanagement en de implementatie van robuuste technische controles. Organisaties moeten een grondige beoordeling uitvoeren van hun huidige cyberbeveiligingsstandpunt, waarbij ze kwetsbaarheden, bedreigingen en hiaten tussen hun huidige staat en de0 vereisten uit de NIS2-routekaart moeten identificeren.

Op basis van deze inzichten wordt van hen verwacht dat ze gestructureerde actieplannen ontwikkelen en uitvoeren die zowel directe risico's als langetermijnverbeteringen aanpakken. Technische controles kunnen bestaan uit netwerksegmentatie, toegangsbeheer, versleuteling en voortdurende controle van systemen op verdachte activiteiten.

Daarnaast moeten organisaties rekening houden met de risico's van derden en de toeleveringsketen en ervoor zorgen dat partners en leveranciers zich aan vergelijkbare beveiligingsstandaarden houden door middel van sterkere supply chain security . De richtlijn moedigt het gebruik van erkende kaders en standaarden aan om deze inspanningen te begeleiden en ondersteunt een consistente benadering van risicomanagement in verschillende sectoren en rechtsgebieden.

Om te voldoen aan de handhavingsdata voor NIS2 moeten organisaties aantonen dat ze voortdurend bezig zijn met het versterken van hun beveiligingscontroles en het aanpassen aan veranderende bedreigingen.

Tijdige melding van incidenten en effectieve informatie-uitwisseling zijn centrale pijlers van de NIS2-vereisten voor organisaties. Entiteiten die onder de richtlijn vallen, moeten procedures opstellen voor het detecteren, beheren en rapporteren van cyberbeveiligingsincidenten binnen strikte termijnen, zoals gespecificeerd door de NIS2-nalevingstermijnen.

Dit houdt niet alleen in dat nationale autoriteiten op de hoogte moeten worden gesteld, maar ook dat relevante informatie moet worden doorgegeven aan betrokken belanghebbenden en, waar nodig, dat moet worden samengewerkt met andere organisaties om bredere risico's te beperken. De richtlijn geeft duidelijke verwachtingen voor wat een te melden incident is, de vorm van rapporten en de kanalen waarlangs informatie moet worden gedeeld.

Organisaties worden ook aangemoedigd om deel te nemen aan sectorspecifieke en grensoverschrijdende initiatieven voor het delen van informatie, om zo bij te dragen aan een collectieve verdediging tegen cyberdreigingen. Door deze praktijken in te bedden in hun operationele routines, kunnen organisaties hun veerkracht vergroten en de algemene doelstellingen van de NIS2-richtlijn ondersteunen, zodat er voor iedereen een veiligere digitale omgeving ontstaat.

Hoe beïnvloedt NIS2 de cyberbeveiligingsstrategie?

De NIS2-richtlijn is een doorbraak voor de cyberbeveiligingsstrategie in Europa. De richtlijn legt de lat hoger voor de manier waarop organisaties hun netwerken en informatiesystemen moeten beschermen en dwingt hen tot een meer proactieve en gestructureerde aanpak van cyberrisico's.

Nu het NIS2-implementatieschema en de deadlines voor naleving zijn vastgesteld, worden bedrijven geconfronteerd met nieuwe verwachtingen op het gebied van risicobeheer, incidentrapportage en governance. Het uniforme wettelijke kader van de richtlijn betekent dat cyberbeveiliging niet langer alleen een IT-aangelegenheid is, maar een kernonderdeel van de bedrijfsstrategie.

Naarmate het NIS2 uitrolplan zich ontvouwt en de handhavingsdata naderen, moeten organisaties hun cyberbeveiligingshouding heroverwegen om aan deze veranderende eisen te voldoen.

Risicobeheer als strategische pijler

NIS2 plaatst risicomanagement in het hart van de cyberbeveiligingsstrategie. Organisaties moeten nu risico's in hun hele digitale ecosysteem identificeren, beoordelen en aanpakken.

Dit geldt niet alleen voor interne systemen, maar ook voor externe leveranciers en partners, waardoor de beveiliging van de toeleveringsketen een essentieel onderdeel wordt van het compliant blijven. De NIS2-routekaart stimuleert een verschuiving van reactieve beveiligingsmaatregelen naar een continue, risicogebaseerde aanpak.

Dit betekent dat kwetsbaarheden regelmatig moeten worden geëvalueerd, bedreigingen moeten worden gemonitord en controles moeten worden bijgewerkt als er nieuwe risico's opduiken. Door risicobeheer in te bedden in de dagelijkse werkzaamheden kunnen organisaties beter anticiperen op cyberbedreigingen en deze beperken voordat ze escaleren.

De nadruk van de richtlijn op risico's zorgt ook voor afstemming op internationale normen, waardoor het voor organisaties eenvoudiger wordt om hun vooruitgang te benchmarken en tijdens audits aan te tonen dat ze aan de normen voldoen.

Bestuur en verantwoording in cyberbeveiliging

Een belangrijke impact van NIS2 is de verhoging van bestuur en verantwoordelijkheid binnen de cyberbeveiligingsstrategie. De richtlijn vereist een duidelijke toewijzing van rollen en verantwoordelijkheden, zodat het leiderschap direct betrokken is bij het overzien van cyberrisico's.

Van directieleden en leidinggevenden wordt verwacht dat ze de implicaties van de NIS2-handhavingsdata begrijpen en dat ze verantwoordelijkheid nemen voor de inspanningen op het gebied van naleving. Deze top-down benadering bevordert een beveiligingscultuur in de hele organisatie, waarin iedereen zijn rol kent in het beschermen van kritieke bedrijfsmiddelen.

Regelmatige training en bewustwordingsprogramma's worden essentieel, ondersteund door een gestructureerd security awareness aanpak die medewerkers helpt op de hoogte te blijven van veranderende bedreigingen en best practices. Sterke beheerstructuren ondersteunen ook een snellere besluitvorming en een effectievere reactie op incidenten, waardoor de mogelijke gevolgen van cyberincidenten worden beperkt.

Integratie van IT- en OT-beveiliging

NIS2 dwingt organisaties om de silo's tussen IT- en operationele technologie (OT) omgevingen te doorbreken. Veel kritieke sectoren zijn afhankelijk van zowel digitale als fysieke systemen en de richtlijn erkent dat kwetsbaarheden op het ene gebied het andere in gevaar kunnen brengen.

Als onderdeel van het uitrolplan voor NIS2 moeten organisaties geïntegreerde beveiligingsstrategieën ontwikkelen die alle aspecten van hun infrastructuur omvatten. Dit omvat het in kaart brengen van bedrijfsmiddelen, het identificeren van onderlinge afhankelijkheden en het toepassen van consistente controles op zowel IT als OT.

Door deze domeinen te verenigen, kunnen organisaties gaten in de beveiliging dichten en effectiever reageren op complexe bedreigingen. De integratie ondersteunt ook de naleving van de NIS2 compliance deadlines, omdat het ervoor zorgt dat alle relevante systemen worden gedekt door risicomanagement en rapportageprocessen.

Voortdurende verbetering en veerkracht

De NIS2-richtlijn verankert het principe van voortdurende verbetering in de cyberbeveiligingsstrategie. Naleving is geen eenmalige oefening, maar een doorlopend proces dat meebeweegt met het bedreigingslandschap.

Organisaties worden aangemoedigd om regelmatig evaluaties uit te voeren, hun verdediging te testen en hun beleid aan te passen aan de meest recente richtlijnen. Het NIS2-implementatieschema biedt mijlpalen voor het herzien en verbeteren van beveiligingsmaatregelen, terwijl handhavingsdata als katalysator voor actie dienen.

Door een mentaliteit van veerkracht aan te nemen, kunnen organisaties zich aanpassen aan nieuwe uitdagingen en in de loop der tijd een robuuste bescherming handhaven. Deze proactieve houding vermindert niet alleen het risico op cyberincidenten, maar bouwt ook vertrouwen op bij klanten, partners en toezichthouders die hoge beveiligingsnormen verwachten.