NIS2 / Cyberbeveiligingswet: wat verandert er voor jouw organisatie?
AI SecurityHier mijn analyse van nis2 wat verandert er. De NIS2-richtlijn is sinds 2024 van kracht en Nederland heeft deze geïmplementeerd in de Cyberbeveiligingswet (Cbw). De impact is groot: de reikwijdte is fors uitgebreid ten opzichte van de oude Wbni, en voor het eerst zijn bestuurders persoonlijk aansprakelijk.
Wie valt onder de Cbw?
NIS2 deelt organisaties in twee categorieën:
| Categorie | Sectoren | Voorbeelden |
|---|---|---|
| Essentieel | Energie, transport, drinkwater, gezondheidszorg, overheid, banken, digitale infrastructuur | Ziekenhuizen, gemeenten, DNS-providers |
| Belangrijk | Post, afval, chemie, levensmiddelen, digitale aanbieders | Voedselproducenten, SaaS-leveranciers, afvalverwerkers |
Ook kleinere organisaties kunnen onder de Cbw vallen als ze "enig" of "kritiek" zijn binnen hun sector, de overheid is per definitie essentieel.
Drie verplichtingen die je moet kennen
1. Zorgplicht (10 domeinen)
De Cbw eist passende en evenredige maatregelen op 10 beveiligingsdomeinen:
- Risicobeoordeling en beleid
- Incidentenafhandeling
- Bedrijfscontinuïteit en crisisbeheer
- Supply chain security
- Beveiliging van inkoop, ontwikkeling en onderhoud
- Beoordeling van doeltreffendheid
- Basishygiëne en cyberveiligheidstraining
- Encryptie en cryptografiestandaarden
- Authenticatie en toegangsbeveiliging
- Beleid rond personeel en human resources
2. Meldplicht (drie termijnen)
| Termijn | Wat meld je? | Aan wie? |
|---|---|---|
| 24 uur | Early warning, significant incident | CSIRT / NCSC |
| 72 uur | Volledige incidentmelding met impactanalyse | CSIRT + toezichthouder |
| 1 maand | Eindrapport met lessons learned | Toezichthouder |
Significante incidenten zijn: incidenten die ernstige operationele verstoring veroorzaken, financiële schade toebrengen, of natuurlijke personen raken.
3. Bestuurlijke aansprakelijkheid
Nieuw in NIS2: het bestuur is expliciet verantwoordelijk. Dit betekent:
- Bestuurders moeten cybersecurity-training volgen
- Het bestuur moet risicobeheer goedkeuren en toezicht houden
- Bij grove nalatigheid: persoonlijke boetes tot €10M of 2% van de jaaromzet
BIO2: de Nederlandse overheidsvertaling
Voor overheden is BIO2 (Baseline Informatiebeveiliging Overheid) de sectorale implementatie van NIS2. BIO2 dekt ~80% van de NIS2-eisen, maar voegt overheids-specifieke classificaties toe (BBN1/2/3) en strengere eisen rond logging, encryptie en auditing.
Hoe de nis2-compliance plugin helpt
De nis2-compliance Claude Code plugin checkt jouw organisatie in drie stappen:
/nis2-compliance, sector-classificatie: essentieel of belangrijk?- Zorgplicht-audit over de 10 NIS2-domeinen
- Meldplicht-check: zijn je procedures 24u/72u/1m klaar?
- BIO2-koppeling voor overheidsorganisaties
Meer weten?
DjimIT adviseert over NIS2-compliance en BIO2-audits voor de publieke sector. Van gap-analyse tot implementatiebegeleiding.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.