NIS2-richtlijn: wat het is, vereisten, deadlines en hoe u hieraan kunt voldoen

De NIS2-richtlijn is niet langer alleen een doelstelling voor IT-afdelingen; het is een volwaardige wettelijke verplichting met daadwerkelijke sancties. Als u een bedrijf heeft in de EU of diensten verleent aan een bedrijf daar, zijn de dagen dat u het nog even kon uitstellen voorbij. De overgangsperiode is afgelopen en de aandacht is nu verschoven naar audits en handhaving.

Zie NIS2 als de manier waarop de EU de lat voor cyberbeveiliging hoger legt. Het gaat niet alleen om het voorkomen van een datalek; het gaat erom te waarborgen dat als een onderdeel van de digitale toeleveringsketen uitvalt, het hele systeem niet instort.

Wat is de NIS2-richtlijn?

De NIS2-richtlijn (afkorting van de herziene richtlijn inzake netwerk- en informatiebeveiliging (NIS2)) is een cyberbeveiligingswet van de Europese Unie die tot doel heeft de beveiliging van netwerken en informatiesystemen in alle lidstaten te versterken.

Het doel is om in de hele Unie een hoog gemeenschappelijk beveiligingsniveau voor netwerk- en informatiesystemen te waarborgen. Dit vereist dat de EU-lidstaten de richtlijn omzetten in hun eigen nationale wetgeving, waardoor bedrijven worden verplicht een „multirisico“-benadering te hanteren. Dit houdt in dat er rekening moet worden gehouden met alles, van elementaire wachtwoordhygiëne en versleuteling tot de manier waarop je omgaat met een totale systeemstoring.

Wie moet aan NIS2 voldoen?

Een van de grootste veranderingen bij NIS2 is het veel grotere aantal bedrijven dat onder de wet valt. De wet verdeelt organisaties in twee hoofdgroepen:

• Essentiële entiteiten: Dit zijn de grote spelers in sectoren als energie, vervoer, het bankwezen, de infrastructuur van de financiële markten, de gezondheidszorg, drinkwatervoorziening en digitale infrastructuur, zoals cloudproviders en datacenters. Als uw bedrijf meer dan 250 werknemers heeft of een omzet van meer dan 50 miljoen euro, valt u waarschijnlijk onder deze categorie.
• Belangrijke sectoren: Dit omvat een breder scala aan sectoren, zoals voedselproductie, postdiensten, afvalbeheer en de verwerkende industrie, zoals de chemische sector, medische hulpmiddelen, enz. De meeste bedrijven met ten minste 50 werknemers en een omzet van € 10 miljoen vallen hieronder.

Zelfs als u een kleiner bedrijf bent, kunt u hier toch door worden getroffen als u een belangrijke leverancier bent van een van deze grotere ondernemingen of als uw bedrijfsonderbreking een systeemrisico zou veroorzaken.

Belangrijkste vereisten van de NIS2-richtlijn

De wet richt zich op een aantal belangrijke punten. Als er een controleur bij je aanklopt, moet je kunnen aantonen dat deze punten een actieve rol spelen in je dagelijkse bedrijfsvoering.

Risicobeheer op het gebied van cyberbeveiliging

U moet beschikken over een formeel beleid voor risicoanalyse. Dit is niet zomaar een pdf-bestand dat ergens op een server staat; het gaat om actieve maatregelen zoals meervoudige authenticatie (MFA), beveiligde spraak- en videocommunicatie en gegevensversleuteling.

Detectie en melding van incidenten

De termijn voor het melden van een „ernstig“ incident is ontzettend kort:

• 24 uur: U moet een „vroegtijdige waarschuwing“ sturen naar de autoriteiten of het CSIRT.
• 72 uur: U dient een formele evaluatie en een update over het incident te verstrekken.
• 1 maand: Er moet een definitief, gedetailleerd rapport worden ingediend over wat er is gebeurd en hoe u het probleem hebt opgelost.

Bedrijfscontinuïteit en crisisbeheer

U moet een plan hebben om de boel draaiende te houden tijdens een cyberaanval. Dit omvat systeemherstel, noodprocedures en het samenstellen van een crisismanagementteam.

Beveiliging van de toeleveringsketen

U bent nu verantwoordelijk voor de veiligheid van uw partners. U moet uw leveranciers grondig controleren en ervoor zorgen dat zij niet de zwakke schakel in uw keten vormen.

Bestuur en verantwoording

Dit punt trekt de aandacht van het topmanagement. Bestuursleden kunnen persoonlijk aansprakelijk worden gesteld voor tekortkomingen op het gebied van beveiliging. Leidinggevenden zijn nu verplicht om een cybersecuritytraining te volgen, zodat ze daadwerkelijk begrijpen welke risico’s ze goedkeuren.

E-mail- en authenticatiecontroles (niet vermeld, maar aanbevolen)

NIS2 noemt niet expliciet alle softwaretools bij naam, maar schrijft wel „beveiliging van netwerken en informatiesystemen“ voor. Aangezien de meeste cyberaanvallen beginnen met een valse e-mail, is het beveiligen van uw domein van cruciaal belang.

Door gebruik te maken van DMARC, SPF en DKIM zorgt u ervoor dat wanneer een e-mail uw bedrijf verlaat, de ontvanger weet dat deze daadwerkelijk van u afkomstig is. Dit voorkomt „spoofing“, waarbij een hacker zich voordoet als uw CEO om een frauduleuze overschrijving in gang te zetten. Deskundigen uit de sector zijn het erover eens dat DMARC de bescherming tegen de meest voorkomende bedreigingen versterkt en perfect aansluit bij de pijlers van risicobeheer van NIS2.

Gevolgen van niet-naleving

Voor essentiële entiteiten kan dit oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4%.

Naast de financiële gevolgen krijgt u te maken met controles, nalevingsbevelen en het risico dat u uw vergunning om in bepaalde sectoren actief te zijn kwijtraakt.

NIS2-deadlines en mijlpalen voor 2026

Noteer deze data in je agenda, als je dat nog niet hebt gedaan. We zitten nu in de fase van actieve handhaving:

• Registratie: Begin 2026 zouden de meeste bedrijven zich als entiteit op hun nationale portalen moeten hebben geregistreerd.
• 17 april 2025: Dit was de uiterste datum waarop de lidstaten de eerste lijst van essentiële en belangrijke entiteiten moesten opstellen.
• 30 juni 2026: Dit is een belangrijke mijlpaal. Het is de streefdatum waarop veel bedrijven hun eerste formele NIS2-conformiteitscontrole moeten hebben afgerond.
• Doorlopende meldingsplicht: Vanaf 2026 is de regel inzake 24-uursmelding volledig van kracht. De autoriteiten verwachten dat elke ernstige inbreuk onmiddellijk wordt gemeld.

Hoe PowerDMARC helpt bij het voldoen aan de vereisten voor e-mailbeveiliging

In plaats van complexe e-mailprotocollen handmatig te beheren, helpt PowerDMARC bij het automatiseren van de beveiliging van de communicatie en het monitoren van risico’s.

• DMARC met SPF/DKIM: PowerDMARC biedt gehoste diensten voor DMARC, SPF, DKIM en andere protocollen. Dit versterkt de integriteit van uw e-mail en voorkomt domeinspoofing. Het voldoet aan de NIS2-eisen voor proactief risicobeheer en bescherming tegen phishing.
• Rapportage en inzicht: als iemand uw domein probeert aan te vallen, ziet u dat in uw dashboard. Zo beschikt u over de gegevens die u nodig hebt om afwijkingen op te sporen en de strakke deadlines voor incidentrapportage te halen.
• Risicobewaking: Dankzij geautomatiseerde dreigingsinformatie en beleidsbewaking blijft uw domein beveiligd zonder dat u handmatig hoeft te gissen, wat aansluit bij de oproep van NIS2 tot actieve beveiligingsmaatregelen.

Voorbereiding op naleving van NIS2

Als je nog bezig bent met het uitwerken van je plan, zijn dit de belangrijkste punten die je bovenaan je lijstje moet zetten:

• Zoek de zwakke plekken: Je moet eens rustig gaan zitten en een grondige lacuneanalyse uitvoeren. Bekijk je huidige situatie en ga na op welke punten deze niet voldoet aan de nationale wetgeving. Het is beter om die zwakke plekken zelf op te sporen voordat een auditor dat voor je doet.
• Beveilig je e-mail: dit is een eenvoudige maatregel die een enorm verschil maakt. Zorg ervoor dat DMARC, SPF en DKIM op elk domein van je bedrijf zijn ingesteld. Zo voorkom je dat je bedrijfsnaam wordt misbruikt voor phishing-aanvallen en wordt het veel moeilijker om je communicatie te manipuleren.
• Zorg dat je snel meldingen doorgeeft: die meldingstermijnen van 24 en 72 uur zijn geen grapje. Je hebt een waterdichte workflow nodig, zodat je team precies weet wie ze moeten bellen en wat ze moeten zeggen zodra ze iets verdachts opmerken.
• Controleer uw partners: u bent nu ook verantwoordelijk voor de beveiliging van uw leveranciers. Begin met het doorlopen van die leverancierscontracten. U moet er zeker van zijn dat de partijen waarmee u zaken doet zich aan dezelfde NIS2-regels houden als u.

Begin nu alvast met het bijhouden van uw administratie: wacht niet tot de week voor uw audit in juni 2026 om uw logbestanden te zoeken. Begin nu alvast met het ordenen van uw technische gegevens en beleidsdocumenten. Als u alles al klaar heeft liggen, verloopt het hele proces een stuk soepeler.

Samenvattend

Uiteindelijk gaat NIS2 niet alleen over het doorlopen van een hele reeks procedures om een boete te ontlopen. Het gaat erom ervoor te zorgen dat uw bedrijf een aanval daadwerkelijk kan overleven. We leven in een wereld waarin cyberaanvallen gewoon bij het zakendoen horen, en niet slechts een zeldzaam ‘wat als’-scenario zijn.

Door zaken als e-mailbeveiliging en de manier waarop u met incidenten omgaat serieus te nemen, voldoet u niet alleen aan de wet; u beschermt ook uw reputatie en zorgt ervoor dat uw bedrijf blijft draaien.

PowerDMARC helpt u precies die rapporten te genereren die u nodig hebt voor uw audit in 2026. Start vandaag nog uw gratis proefperiode bij PowerDMARC en ontdek hoe eenvoudig het is om uw domein te beveiligen.

Veelgestelde Vragen

Hoe draagt DMARC bij aan NIS2?

Hoewel NIS2 de implementatie van DMARC niet noemt als onderdeel van de nalevingsvereisten, moet u het beschouwen als een essentieel onderdeel van uw inspanningen op het gebied van „risicobeheer“ en „authenticatie“. Door DMARC in te stellen, laat u toezichthouders zien dat u concrete, actieve maatregelen neemt om phishing en domeinmisbruik te voorkomen nog voordat deze plaatsvinden.

Hoe vaak moeten we controleren of we aan de voorschriften voldoen?

Hoewel de EU-lidstaten hun lijst met betrokken bedrijven officieel om de twee jaar bijwerken, moet u niet zo lang wachten. Uw interne veiligheidscontroles moeten een doorlopend proces zijn; het is veel eenvoudiger om aan de voorschriften te blijven voldoen dan om vlak voor een audit alles te moeten ‘repareren’.

Waar kan ik het officiële reglement vinden?

Je kunt het beste de website van ENISA raadplegen. Kijk ook eens op de website van de cyberbeveiligingsinstantie in jouw land, want die biedt vaak het meest praktische, lokale advies.

Geldt NIS2 echt ook voor kleinere bedrijven (kmo’s)?

Over het algemeen geldt deze regel zodra je 50 werknemers en een omzet van 10 miljoen euro hebt. Maar er zit een addertje onder het gras: als je een klein bedrijf bent dat cruciaal werk verricht of een essentiële schakel bent in de toeleveringsketen van een groot bedrijf, kunnen de autoriteiten je toch aanmerken als een „belangrijke“ entiteit.

• Over
• Laatste berichten

Ayan Bhuiya

Shift Lead, Infrastructuur- en e-mailbeveiligingsdeskundige bij PowerDMARC

Ayan Bhuiya heeft meer dan 13 jaar ervaring in cyberbeveiliging en is gespecialiseerd in infrastructuur, bedrijfscontinuïteit, risicomanagement en e-mailbeveiliging. Momenteel is hij Shift Lead bij PowerDMARC. Hij heeft een Postgraduate Diploma in Netwerken en Beveiliging en heeft een bewezen staat van dienst in het leiden van strategische beveiligingsinitiatieven om bedreigingen te beperken en de veerkracht van het bedrijf te garanderen.

Laatste berichten van Ayan Bhuiya (Bekijk alle berichten)

• 6 manieren waarop een datalek de beveiliging van uw bedrijf in gevaar kan brengen - 1 april 2026
• NIS2-richtlijn: wat het is, vereisten, deadlines en hoe u hieraan kunt voldoen - 26 maart 2026
• Essential Eight vs SMB 1001: een volledige vergelijking voor moderne Australische cyberbeveiliging - 12 februari 2026