De Network and Information Security Directive 2 — NIS2-richtlijn (EU 2022/2555) — is de meest ingrijpende cybersecurityregelgeving die de Europese Unie ooit heeft vastgesteld. Ze vervangt de oorspronkelijke NIS-richtlijn uit 2016 met een aanzienlijk breder toepassingsgebied, strengere beveiligingsvereisten en handhavingsmechanismen die persoonlijke aansprakelijkheid voor bedrijfsdirecteuren omvatten. Voor incident response-teams zijn de gevolgen onmiddellijk en concreet: er gelden nu wettelijk voorgeschreven termijnen voor de detectie, melding en grondoorzaakanalyse van incidenten.
Deze gids beschrijft wat NIS2 vereist, op wie het van toepassing is en wat uw incident response-programma concreet moet aanpassen om compliant te worden. Of u nu al ver gevorderd bent in uw NIS2-voorbereiding of pas begint met het beoordelen van de impact, dit artikel richt zich op de praktische IR-implicaties in plaats van op de volledige regulatoire tekst.
Wat Is NIS2
NIS2 is de bijgewerkte EU-richtlijn inzake cybersecurity voor netwerk- en informatiesystemen. Ze trad in werking op 16 januari 2023 en de EU-lidstaten hadden tot 17 oktober 2024 om ze in nationaal recht om te zetten. De richtlijn beoogt een hoog gemeenschappelijk cybersecurityniveau in de EU te bereiken door beveiligings- en incidentmeldingsverplichtingen op te leggen aan een veel breder scala aan organisaties dan haar voorganger. In België houdt het CCB (Centrum voor Cybersecurity België) toezicht op de implementatie van de NIS2-richtlijn via het CyberFundamentals-kader, dat beveiligingscontroles koppelt aan vier zekerheidsniveaus.
De oorspronkelijke NIS-richtlijn (2016) was van toepassing op een relatief beperkte groep "aanbieders van essentiële diensten" en "aanbieders van digitale diensten." De NIS2-richtlijn breidt dit toepassingsgebied aanzienlijk uit en introduceert meer voorschrijvende beveiligingsvereisten, gestandaardiseerde meldingstermijnen voor incidenten en doeltreffende handhavingssancties.
Voor organisaties die al onder andere EU-regelgeving vallen (AVG, DORA-verordening), voegt NIS2 een cybersecurityspecifieke laag toe die bestaande verplichtingen aanvult maar niet vervangt. De incidentmeldingsvereisten op grond van de NIS2-richtlijn staan los van de 72-uurs meldingsplicht voor datalekken onder de AVG en kunnen van toepassing zijn op incidenten waarbij geen persoonsgegevens zijn betrokken.
Op Wie Is de NIS2-richtlijn Van Toepassing
De NIS2-richtlijn verdeelt organisaties die binnen de werkingssfeer vallen in twee categorieën met verschillende toezichtregimes:
Essentiële Entiteiten
Onderworpen aan proactief toezicht door de autoriteit (de autoriteit kan audits en inspecties uitvoeren zonder een aanleiding):
- Energie (elektriciteit, olie, gas, waterstof, stadsverwarming)
- Vervoer (lucht, spoor, water, weg)
- Bankwezen en financiële marktinfrastructuur
- Gezondheidszorg (ziekenhuizen, laboratoria, fabrikanten van medische hulpmiddelen, farmaceutische bedrijven)
- Drinkwater en afvalwater
- Digitale infrastructuur (internet-uitwisselingspunten, DNS-aanbieders, TLD-registers, aanbieders van cloud computing, datacenterbeheerders, CDN-aanbieders, verleners van vertrouwensdiensten, openbare elektronische communicatienetwerken)
- ICT-dienstenbeheer (B2B, managed service providers, managed security service providers)
- Openbaar bestuur (centrale overheid)
- Ruimtevaart
Belangrijke Entiteiten
Onderworpen aan reactief toezicht (de autoriteit onderzoekt na een incident of bij bewijs van niet-naleving):
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Vervaardiging, productie en distributie van chemische stoffen
- Productie, verwerking en distributie van levensmiddelen
- Industrie (medische hulpmiddelen, computers, elektronica, machines, motorvoertuigen)
- Digitale aanbieders (onlinemarkten, zoekmachines, sociale-netwerkplatformen)
- Onderzoeksorganisaties
Drempelwaarden voor omvang: De NIS2-richtlijn is in het algemeen van toepassing op middelgrote en grote ondernemingen (50 of meer werknemers of een jaarlijkse omzet van meer dan €10 miljoen). Lidstaten kunnen echter aanvullende entiteiten aanwijzen, ongeacht hun omvang, als zij de enige aanbieder van een kritieke dienst zijn, als een verstoring een significante impact zou kunnen hebben op de openbare veiligheid of gezondheid, of als de entiteit systeemrelevant is voor de lidstaat. Bepaalde sectoren (DNS-aanbieders, TLD-registers, verleners van vertrouwensdiensten) vallen ongeacht hun omvang binnen de werkingssfeer.
Incidentmeldingsvereisten Onder NIS2
De meldingstermijn voor incidenten is het aspect met de meest directe impact op de IR-operaties. De NIS2-richtlijn introduceert een meerfasige meldingsplicht met strikte termijnen, gemeten vanaf het moment waarop de organisatie voor het eerst kennis krijgt van het significant incident (significante incident).
Breng uw nationale CSIRT of bevoegde autoriteit op de hoogte met een vroegtijdige waarschuwing die het volgende omvat:
- Of het vermoeden bestaat dat het incident is veroorzaakt door onrechtmatige of kwaadwillige handelingen
- Of het incident grensoverschrijdende gevolgen kan hebben
- Een beschrijving van de basisomvang en de impact
Dit is geen volledig incidentrapport. Het is een signaal dat coördinatiemechanismen in gang zet, in het bijzonder voor incidenten met mogelijke grensoverschrijdende implicaties. De 24-uurs termijn begint te lopen op het moment dat u kennis krijgt van het incident, waardoor de detectiesnelheid een compliance-factor wordt.
Verstrek een meer gedetailleerde incidentmelding die de vroegtijdige waarschuwing bijwerkt met:
- Initiële beoordeling van de ernst en de impact
- Indicatoren van compromittering (IOC)
- Getroffen diensten en systemen
- Aantal getroffen gebruikers of entiteiten
In dit stadium moet het onderzoek voldoende ver zijn gevorderd om een zinvolle impactbeoordeling en technische indicatoren te kunnen verstrekken. Deze melding moet bruikbaar zijn — autoriteiten en peer-organisaties hebben IOC's nodig om hun eigen omgevingen te controleren.
Het CSIRT of de bevoegde autoriteit kan op elk moment tijdens de incident response om tussentijdse statusupdates vragen. Uw IR-team heeft vaste communicatiekanalen en rapportagesjablonen nodig om op deze verzoeken te reageren zonder het lopende onderzoek te verstoren.
Dien een uitgebreid eindrapport in met:
- Gedetailleerde beschrijving van het incident, inclusief ernst en impact
- Het type dreiging of de grondoorzaak die het incident waarschijnlijk heeft veroorzaakt
- Toegepaste en nog lopende herstelmaatregelen
- Grensoverschrijdende impact, indien van toepassing
De termijn van één maand voor de grondoorzaakanalyse (root cause analysis) betekent dat uw forensisch onderzoek binnen dit tijdvenster resultaten moet opleveren. Voor complexe incidenten is dit een veeleisende termijn die toereikende forensische capaciteit vereist — intern of via retainerovereenkomsten met externe IR-aanbieders.
Wat is een "significant incident"? De NIS2-richtlijn definieert dit als een incident dat heeft geleid of in staat is te leiden tot: ernstige operationele verstoring van de diensten of financieel verlies voor de betrokken entiteit, dan wel heeft geleid of in staat is te leiden tot aanzienlijke materiële of immateriële schade bij andere natuurlijke of rechtspersonen. Dit is een brede definitie; lidstaten kunnen in hun nationale omzetting aanvullende specificaties geven.
Beveiligingsmaatregelen Vereist door Artikel 21
Artikel 21 van de NIS2-richtlijn schrijft een reeks cybersecuritymaatregelen inzake risicobeheer voor die organisaties moeten implementeren. Verschillende hiervan zijn rechtstreeks relevant voor uw IR-programma:
- Risicoanalyse en beleid inzake beveiliging van informatiesystemen — Er zijn gedocumenteerde beveiligingsbeleidslijnen nodig die regelmatig worden herzien en bijgewerkt. Deze vormen de basis van uw IR-plan.
- Incidentafhandeling — Expliciete vereiste voor procedures voor incidentafhandeling. Dit is uw incident response-plan, en het moet bestaan, gedocumenteerd zijn en worden onderhouden.
- Bedrijfscontinuïteit en crisisbeheer — Uw IR-plan moet worden geïntegreerd met plannen voor bedrijfscontinuïteit. Incident response in isolatie is onvoldoende — de NIS2-richtlijn vereist dat u de activiteiten kunt handhaven of herstellen tijdens en na een significant incident.
- Beveiliging van de toeleveringsketen — U moet de cybersecurityrisico's van uw leveranciers en dienstverleners beoordelen en beheren. Dit omvat incidentmeldingsverplichtingen in uw contracten met de toeleveringsketen.
- Afhandeling en bekendmaking van kwetsbaarheden — Procedures voor kwetsbaarheidsbeheer en gecoördineerde openbaarmaking van kwetsbaarheden. Dit omvat de mogelijkheid om kwetsbaarheden in uw omgeving te identificeren, te beoordelen en te verhelpen.
- Beleid voor het beoordelen van doeltreffendheid — Er moeten mechanismen zijn om te evalueren of uw cybersecuritymaatregelen daadwerkelijk werken. Tabletop-oefeningen, penetratietests en evaluatie na incident (post-incident review) voldoen aan deze vereiste.
- Cybersecuritytraining — Regelmatige bewustmakingstraining en vaardigheidstraining op het gebied van cybersecurity voor alle medewerkers, inclusief het management. Voor IR betekent dit concreet dat uw responders getraind moeten zijn en dat uw bredere personeelsbestand moet weten hoe beveiligingsincidenten herkend en gemeld worden.
- Cryptografie en encryptie — Beleidslijnen voor het gebruik van cryptografie en, waar passend, encryptie. Dit is relevant voor IR bij de verwerking van gevoelig bewijsmateriaal en de communicatie over incidenten.
- Beveiliging van personele middelen en toegangscontrole — Inclusief beleid voor toegangsbeheer, activabeheer en meervoudige authenticatie of continue authenticatie voor bevoorrechte toegang.
Sancties en Handhaving
De NIS2-richtlijn introduceert handhavingsmechanismen met reële financiële gevolgen:
- Essentiële entiteiten: Boetes tot €10.000.000 of 2% van de wereldwijde jaarlijkse omzet, afhankelijk van welk bedrag hoger is
- Belangrijke entiteiten: Boetes tot €7.000.000 of 1,4% van de wereldwijde jaarlijkse omzet, afhankelijk van welk bedrag hoger is
- Aansprakelijkheid van het management: De NIS2-richtlijn stelt expliciet dat bestuursorganen persoonlijk verantwoordelijk kunnen worden gesteld voor niet-naleving van de vereisten van de richtlijn. Dit omvat de verplichting voor het management om maatregelen voor cybersecurityrisicobeheer goed te keuren, toezicht te houden op de uitvoering ervan en cybersecuritytraining te volgen
De bepaling inzake aansprakelijkheid van het management is een belangrijke afwijking van de oorspronkelijke NIS-richtlijn. Ze betekent dat bestuurders en senior executives die niet zorgen voor naleving, persoonlijke sancties kunnen oplopen, niet alleen organisatorische boetes. Dit verheft cybersecurity van een IT-aangelegenheid naar een governanceverplichting op bestuursniveau.
Wat Dit Betekent voor Uw IR-programma
De vertaling van de vereisten van de NIS2-richtlijn naar praktische wijzigingen van het IR-programma levert een concrete lijst van capaciteiten op die u moet hebben:
- Een gedocumenteerd incident response-plan — Expliciet vereist door Artikel 21. Dit plan moet detectie, analyse, containment (indamming), eradicatie (eradication), herstel en activiteiten na het incident omvatten.
- Detectiecapaciteit binnen 24 uur — U kunt niet melden wat u niet kunt detecteren. De vroegtijdige waarschuwing binnen 24 uur vereist monitoring en alertering die significante incidenten snel genoeg kunnen identificeren om de rapportagetermijn tijdig te kunnen starten.
- Vaste communicatiekanalen met het CSIRT — U moet uw nationaal CSIRT kennen, een aangewezen contactpunt hebben en het rapportageproces vóór een incident hebben getest. In België is dit het CCB (Centrum voor Cybersecurity België).
- Bewaring van bewijsmateriaal voor grondoorzaakanalyse — Het eindrapport binnen één maand vereist identificatie van de grondoorzaak. Dit betekent dat uw IR-procedures stappen voor bewaring van bewijsmateriaal moeten omvatten die het forensisch onderzoek ondersteunen — niet alleen containment en herstel.
- Getraind incident response-personeel — Uw IR-team moet in staat zijn de analyses uit te voeren die nodig zijn om aan de meldingsvereisten te voldoen. Dit omvat technische vaardigheden (loganalyse, digitaal forensisch onderzoek, IOC-extractie) en communicatieve vaardigheden (het schrijven van duidelijke incidentrapporten voor regelgevende instanties).
- Regelmatige IR-tests — De vereiste van de NIS2-richtlijn voor een doeltreffendheidsbeoordeling betekent dat u uw IR-plan regelmatig moet testen via tabletop-oefeningen, simulatieoefeningen of feitelijke incidentevaluaties.
- IR-procedures voor de toeleveringsketen — Uw IR-plan moet incidenten behandelen die afkomstig zijn van of invloed hebben op uw toeleveringsketen. Dit omvat meldingsprocedures voor uw leveranciers en contractuele incidentmeldingsverplichtingen.
- Procedures voor briefing van het management — Gezien de persoonlijke aansprakelijkheid van het management moet uw IR-plan procedures omvatten voor het informeren van de senior leidinggevenden over significante incidenten en het waarborgen dat zij hun governanceverplichtingen nakomen.
Voorbereiding op Compliance: Een Praktische Checklist
Als u nog niet begonnen bent met uw NIS2-voorbereiding, of uw huidige gereedheid wilt valideren, doorloop dan deze checklist:
- Bepaal uw werkingssfeer — Bent u een essentiële entiteit of een belangrijke entiteit? Controleer uw sector, uw omvang en eventuele lidstaatspecifieke aanwijzingen. Raadpleeg de leidraad van uw nationale autoriteit.
- Kloof-analyse — Breng uw huidige IR-capaciteiten in kaart ten opzichte van de hierboven beschreven NIS2-vereisten. Documenteer wat u hebt, wat ontbreekt en wat verbetering behoeft.
- Stel een relatie met het CSIRT in — Identificeer uw nationaal CSIRT en de bevoegde autoriteit. Registreer u indien vereist. Test het rapportagekanaal met een niet-incident-gerelateerde communicatie.
- Ontwikkel rapportagesjablonen — Maak gestandaardiseerde sjablonen voor de vroegtijdige waarschuwing van 24 uur, de incidentmelding van 72 uur en het eindrapport van één maand. Vul ze vooraf in met de gegevens van uw organisatie, zodat responders zich tijdens een daadwerkelijk incident kunnen concentreren op incidentspecifieke informatie.
- Beoordeel logging en monitoring — Zorg ervoor dat uw loginfrastructuur de detectievereiste van 24 uur ondersteunt. Heeft u adequate logretentie? Realtime-alertering? Monitoringcapaciteit buiten kantooruren?
- Voer een tabletop-oefening uit — Voer een tabletop-oefening uit die specifiek uw NIS2-rapportageworkflow test. Neem de vroegtijdige waarschuwing van 24 uur op als beslissingsmoment in het scenario. Controleer of uw team de vereiste rapporten binnen de voorgeschreven termijnen kan produceren.
- Beoordeel contracten in de toeleveringsketen — Zorg ervoor dat uw contracten met leveranciers en dienstverleners cybersecurityvereisten en incidentmeldingsverplichtingen bevatten die consistent zijn met de NIS2-richtlijn.
- Brief het management — Informeer uw raad van bestuur en senior leidinggevenden over de bepalingen inzake managementaansprakelijkheid in de NIS2-richtlijn. Zorg ervoor dat zij hun verplichtingen begrijpen om cybersecuritymaatregelen goed te keuren, toezicht te houden op de uitvoering en cybersecuritytraining te voltooien.
- Schakel externe IR-ondersteuning in — Als uw intern team de forensische diepgang niet kan garanderen die nodig is voor een grondoorzaakanalyse binnen één maand, sluit dan een retainerovereenkomst met een externe IR-aanbieder. Het juiste moment om een IR-partner te vinden is vóór het incident, niet tijdens.
Hulp nodig bij NIS2-compliance?
ForgeWork helpt organisaties in heel België en de EU bij de voorbereiding op NIS2-compliance. Van de ontwikkeling van IR-programma's tot tabletop-oefeningen en managed detection — wij helpen u te voldoen aan de vereisten van de richtlijn.