ISMS Copilot
NIS2 met AI

NIS2-nalevingsgids voor in-scope bedrijven

De NIS2-richtlijn (EU 2022/2555) is het vernieuwde kader van de Europese Unie voor cyberbeveiliging en netwerkresistentie, ter vervanging van de oorspronkelijke NIS-richtlijn. Deze richtlijn geldt voor middelgrote en grote organisaties in 18 kritieke sectoren en legt strenge eisen op op het gebied van cyberbeveiliging, governanceverplichtingen en meldingsregels voor incidenten. Deze gids begeleidt je door de reikwijdte van NIS2, de vereisten, implementatiestappen en hoe AI jouw nalevingsinspanningen kan versnellen.

NIS2 is van kracht sinds 18 oktober 2024. Lidstaten van de EU hebben de richtlijn omgezet in nationale wetgeving. Als jouw organisatie binnen de reikwijdte valt, is naleving nu verplicht.

Wie moet voldoen aan NIS2?

NIS2 geldt voor middelgrote en grote ondernemingen (vanaf 50 werknemers OF €10M+ jaaromzet/balans) die actief zijn in aangewezen sectoren. Kleine en micro-entiteiten kunnen ook opgenomen worden als ze kritieke dienstverleners zijn, systemisch risico vormen of nationaal belangrijk zijn.

Essentiële entiteiten (Bijlage I - Hoge kritischheid)

  • Energie: Elektriciteit, verwarming/koeling, olie, gas, waterstof

  • Transport: Luchtvaart, spoorwegen, water, wegvervoer

  • Banken en financiële marktinfrastructuur

  • Gezondheid: Zorgverleners, referentielaboratoria, farmaceutisch onderzoek en productie, producenten van medische apparatuur

  • Drinkwater en afvalwater

  • Digitale infrastructuur: Internetknooppunten, DNS/TLD-providers, cloud-/datacenters/CDN's, vertrouwensdienstverleners, telecommunicatienetwerken

  • ICT-dienstbeheer: Managed service providers, managed security service providers

  • Openbaar bestuur: Centrale en regionale overheid

  • Ruimtevaart: Operators van grondinfrastructuur

Belangrijke entiteiten (Bijlage II)

  • Post- en koeriersdiensten

  • Afvalbeheer

  • Chemie: Productie en distributie

  • Voedsel: Productie, verwerking, distributie

  • Productie: Medische apparatuur/IVD's, elektronica, optiek, elektrische apparatuur, machines, motorvoertuigen, transportmiddelen

  • Digitale aanbieders: Online marktplaatsen, zoekmachines, sociale mediaplatforms

  • Onderzoeksorganisaties

Entiteiten met de aanduiding Critical Entity Resilience (CER), domeinregistries en bepaalde overheidsinstanties (lokale overheid, hoger onderwijs) kunnen afhankelijk van de nationale implementatie ook binnen de reikwijdte vallen.

Belangrijkste NIS2-vereisten

NIS2 legt drie kernverplichtingen op: governance, risicobeheer en incidentmelding.

Artikel 20: Governance en Verantwoordingsplicht

  • Goedkeuring door het bestuur: Je raad van bestuur of senior management moet formeel de maatregelen voor cyberbeveiligingsrisicobeheer goedkeuren en toezicht houden op de uitvoering

  • Verplichte training: Management en medewerkers moeten cybersecuritytraining krijgen die past bij hun functie

  • Aansprakelijkheid van het management: Leidinggevenden kunnen persoonlijk aansprakelijk worden gesteld bij niet-naleving

Artikel 21: Risicobeheersmaatregelen

Organisaties moeten proportionele, all-hazards cyberbeveiligingsmaatregelen treffen die omvatten:

  • Risicoanalyse en informatiebeveiligingsbeleid

  • Incidentafhandeling: Detectie, preventie, reactie, herstel

  • Bedrijfscontinuïteit: Beheer van back-ups, rampenherstel, crisisbeheer

  • Beveiliging van de toeleveringsketen: Beoordeling van directe leveranciers, kwetsbaarheden en kwaliteit van diensten

  • Netwerk- en informatiesystemen: Aanschaf, ontwikkeling, onderhoud, kwetsbaarheidsbeheer

  • Effectiviteitsbeoordeling en testen

  • Cyberhygiëne en training van medewerkers

  • Cryptografie en versleuteling

  • Personeelszaken, toegangscontrole en assetbeheer

  • Meervoudige authenticatie, continue authenticatie en veilige communicatie

Artikel 23: Incidentmelding

Je moet significante incidenten (die ernstige operationele verstoring, financieel verlies of reputatieschade veroorzaken) binnen strikte termijnen melden aan je nationale autoriteit:

  • Vroege waarschuwing: Binnen 24 uur na bekendwording

  • Incidentmelding: Binnen 72 uur, inclusief indicatoren van compromittering (IOCs)

  • Eindrapport: Binnen 1 maand, met worteloorzaakanalyse en mitigatiemaatregelen

Vrijwillige melding van significante dreigingen en bijna-ongelukken wordt aangemoedigd.

NIS2 vereist een holistische, op risico gerichte aanpak. Het is geen checklist—je moet voortdurende verbetering en proportionele controles aantonen die zijn afgestemd op de grootte en het risicoprofiel van je organisatie.

Implementatieroadmap

Volg deze stappen om NIS2-naleving te bereiken en te behouden:

1. Bepaal toepasbaarheid

Bevestig of jouw organisatie binnen de reikwijdte valt op basis van sector, omvang en kritischheid. Controleer de nationale omzettingswet van jouw lidstaat voor specifieke vereisten.

2. Voer een gap-analyse uit

Vergelijk je huidige cyberbeveiligingspositie met de vereisten van artikel 21. Identificeer ontbrekende of onvoldoende controles op het gebied van governance, risicobeheer, incidentafhandeling, toeleveringsketen en technische maatregelen.

3. Ontwikkel beleid en kaders

Maak of werk documentatie bij die betrekking heeft op:

  • Informatiebeveiligingsbeleid (in lijn met NIS2 artikelen 20-21)

  • Risicobeoordelingsmethodologie

  • Procedures voor incidentclassificatie en -respons

  • Plannen voor bedrijfscontinuïteit en rampenherstel

  • Beoordeling van de beveiliging van de toeleveringsketen en contracten met derden

4. Implementeer technische en organisatorische controles

Implementeer controles die voldoen aan artikel 21: kwetsbaarheidsbeheer, toegangscontrole, MFA, encryptie, netwerksegmentatie, back-ups en monitoringtools.

5. Zet governance en training op

Verkrijg goedkeuring van het management voor je risicobeheerraamwerk. Rol verplichte cybersecuritytraining uit voor management en medewerkers.

6. Test en monitor effectiviteit

Voer regelmatig penetratietests, DR-oefeningen en controles uit. Documenteer de resultaten en pas het beleid aan waar nodig.

7. Registreer bij nationale autoriteiten

Meld je aan bij de aangewezen NIS2-autoriteit van je lidstaat en voldoe aan registratie- of rapportageverplichtingen.

8. Bereid incidentrapportageplaybooks voor

Ontwikkel sjablonen en workflows voor 24-uurs-, 72-uurs- en eindrapportages. Train je incidentresponsteam in de NIS2-termijnen.

Gebruik officiële nationale richtlijnen en ENISA-hulpmiddelen naast deze gids. Elke lidstaat kan specifieke eisen of interpretaties toevoegen.

Sancties bij niet-naleving

De handhaving van NIS2 is streng. Nationale autoriteiten kunnen opleggen:

  • Essentiële entiteiten: Boetes van minimaal €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van wat hoger is

  • Belangrijke entiteiten: Boetes van minimaal €7 miljoen of 1,4% van de wereldwijde jaaromzet, afhankelijk van wat hoger is

  • Overige maatregelen: Waarschuwingen, bevelen tot staking, publicatie van overtredingen, schorsing van certificeringen, toezichthouders, of verbod op het bekleden van bestuursfuncties (als laatste redmiddel)

De aansprakelijkheid van het management reikt tot bestuursleden en senior executives die falen in het toezicht op naleving.

Hoe ISMS Copilot NIS2-naleving versnelt

NIS2-naleving is documentintensief, tijdrovend en vereist diepgaande expertise. ISMS Copilot is speciaal ontwikkeld om je sneller en slimmer te laten werken:

Genereer auditklare beleidsstukken en documenten

Vraag ISMS Copilot om je NIS2-gealigneerd informatiebeveiligingsbeleid, procedures voor incidentrespons, risicobeoordelingskaders of plannen voor BCP/DR te ontwerpen. De output is gestructureerd, professioneel en afgestemd op jouw sector en vereisten.

Voer gap-analyse uit in enkele minuten

Upload je bestaande beleidsstukken, risicobeoordelingen of beveiligingsdocumenten (PDF, DOCX, XLS) en vraag ISMS Copilot om lacunes te identificeren volgens artikel 21 van NIS2. Je ontvangt een gedetailleerde opsomming van ontbrekende of onvoldoende elementen.

Risicobeoordelingen en beveiliging van de toeleveringsketen

Gebruik ISMS Copilot om risicoregisters op te stellen, derde leveranciers te beoordelen en beveiligingsvragenlijsten voor de toeleveringsketen te genereren die aansluiten bij NIS2-verwachtingen.

Specifieke Q&A per kader

Stel vragen over de reikwijdte van NIS2, tijdlijnen, verplichtingen uit artikel 20/21/23 of nationale omzettingen. De kennisbank van ISMS Copilot is gebaseerd op echte consultancyervaring—geen hallucinerende antwoorden of generieke internetzoekopdrachten.

Organiseer werkzaamheden voor meerdere klanten of projecten

Als je als consultant NIS2-naleving voor meerdere klanten beheert, gebruik je Workspaces om projecten, documenten en AI-gesprekken gescheiden en georganiseerd te houden.

EU-gehost en GDPR-conform

ISMS Copilot is gehost in Frankfurt (EU), met beveiliging van bedrijfsniveau (MFA, end-to-end encryptie). Je data wordt nooit gebruikt voor AI-training en jij behoudt volledige controle.

Bekijk de NIS2-richtlijn promptbibliotheek voor kant-en-klare prompts over het bepalen van de reikwijdte, gap-analyse, beleidsgeneratie, risicobeheer, incidentrapportage en meer.

Aan de slag met ISMS Copilot voor NIS2

Begin gratis op chat.ismscopilot.com. Het gratis niveau geeft toegang tot de kernfuncties. Upgrade naar Plus (€24/maand) voor hogere quotums en meer documentuploads, of Pro (€100/maand) voor onbeperkt berichtenverkeer en teamcollaboratie.

Voor op maat gemaakte NIS2-werkstromen, verken de NIS2-promptbibliotheek en de use case-gids voor Risk Managers in Regulated Industries (DORA/NIS2).

Aanvullende bronnen

Was dit nuttig?