NIS2 / Cyberbeveiligingswet: wat verandert er voor jouw organisatie?
securityDe NIS2-richtlijn is sinds 2024 van kracht en Nederland heeft deze geïmplementeerd in de Cyberbeveiligingswet (Cbw). De impact is groot: de reikwijdte is fors uitgebreid ten opzichte van de oude Wbni, en voor het eerst zijn bestuurders persoonlijk aansprakelijk.
Wie valt onder de Cbw?
NIS2 deelt organisaties in twee categorieën:
| Categorie | Sectoren | Voorbeelden | |-----------|----------|-------------| | Essentieel | Energie, transport, drinkwater, gezondheidszorg, overheid, banken, digitale infrastructuur | Ziekenhuizen, gemeenten, DNS-providers | | Belangrijk | Post, afval, chemie, levensmiddelen, digitale aanbieders | Voedselproducenten, SaaS-leveranciers, afvalverwerkers |
Ook kleinere organisaties kunnen onder de Cbw vallen als ze "enig" of "kritiek" zijn binnen hun sector — de overheid is per definitie essentieel.
Drie verplichtingen die je moet kennen
1. Zorgplicht (10 domeinen)
De Cbw eist passende en evenredige maatregelen op 10 beveiligingsdomeinen:
- Risicobeoordeling en beleid
- Incidentenafhandeling
- Bedrijfscontinuïteit en crisisbeheer
- Supply chain security
- Beveiliging van inkoop, ontwikkeling en onderhoud
- Beoordeling van doeltreffendheid
- Basishygiëne en cyberveiligheidstraining
- Encryptie en cryptografiestandaarden
- Authenticatie en toegangsbeveiliging
- Beleid rond personeel en human resources
2. Meldplicht (drie termijnen)
| Termijn | Wat meld je? | Aan wie? | |---------|-------------|----------| | 24 uur | Early warning — significant incident | CSIRT / NCSC | | 72 uur | Volledige incidentmelding met impactanalyse | CSIRT + toezichthouder | | 1 maand | Eindrapport met lessons learned | Toezichthouder |
Significante incidenten zijn: incidenten die ernstige operationele verstoring veroorzaken, financiële schade toebrengen, of natuurlijke personen raken.
3. Bestuurlijke aansprakelijkheid
Nieuw in NIS2: het bestuur is expliciet verantwoordelijk. Dit betekent:
- Bestuurders moeten cybersecurity-training volgen
- Het bestuur moet risicobeheer goedkeuren en toezicht houden
- Bij grove nalatigheid: persoonlijke boetes tot €10M of 2% van de jaaromzet
BIO2: de Nederlandse overheidsvertaling
Voor overheden is BIO2 (Baseline Informatiebeveiliging Overheid) de sectorale implementatie van NIS2. BIO2 dekt ~80% van de NIS2-eisen, maar voegt overheids-specifieke classificaties toe (BBN1/2/3) en strengere eisen rond logging, encryptie en auditing.
Hoe de nis2-compliance plugin helpt
De nis2-compliance Claude Code plugin checkt jouw organisatie in drie stappen:
/nis2-compliance— sector-classificatie: essentieel of belangrijk?- Zorgplicht-audit over de 10 NIS2-domeinen
- Meldplicht-check: zijn je procedures 24u/72u/1m klaar?
- BIO2-koppeling voor overheidsorganisaties
Meer weten?
DjimIT adviseert over NIS2-compliance en BIO2-audits voor de publieke sector. Van gap-analyse tot implementatiebegeleiding.
DjimIT Nieuwsbrief
AI updates, praktijkcases en tool reviews — tweewekelijks, direct in uw inbox.