Wat is de NIS2-richtlijn?
NIS2 staat voor de Network and Information Security Directive 2, een Europese richtlijn die in 2023 is vastgesteld als opvolger van de oorspronkelijke NIS-richtlijn (2016). Het doel van NIS2 is het verhogen van de cyberweerbaarheid van organisaties die essentiële of belangrijke diensten leveren binnen de EU.
NIS2 is bindend voor zowel publieke als private organisaties en geldt ook voor OT-omgevingen, zoals in energie, productie, drinkwater en transport.
🎯 Doel van NIS2
- Verplichten tot minimale beveiligingsmaatregelen
- Verbeteren van incidentenrespons en meldplicht
- Zorgen voor transparantie en samenwerking tussen lidstaten
- Uniforme beveiligingseisen in kritieke sectoren
🧱 Wie valt onder NIS2?
De richtlijn onderscheidt twee soorten organisaties:
| Categorie | Voorbeelden |
|---|---|
| Essentiële entiteiten | Energie, transport, drinkwater, gezondheidszorg, overheidsdiensten |
| Belangrijke entiteiten | Digitale diensten, voedselproductie, chemie, post & koeriers, maakindustrie |
NIS2 is van toepassing op organisaties met meer dan 50 werknemers of een jaaromzet van >10 miljoen euro, tenzij ze specifiek zijn uitgesloten.
🔐 Verplichtingen onder NIS2
Onder NIS2 moeten organisaties o.a.:
- Een risicobeheersaanpak opzetten (bijv. via een ISMS)
- Incidenten binnen 24 uur melden aan de nationale autoriteit (bijv. NCSC, CSIRT)
- Regelmatig beveiligingsaudits uitvoeren
- Supply Chain-risico’s analyseren
- Netwerksegmentatie, Defense in Depth en Vulnerability Management toepassen
- Business Continuity en herstelplannen documenteren en testen
🏭 Relevantie voor OT
Ook industriële omgevingen vallen onder NIS2, zoals:
- SCADA-systemen in drinkwaterbedrijven
- PLC’s in energiecentrales
- MES- en Historian-systemen in de maakindustrie
- Beveiliging volgens IEC 62443 en ISO 27001 wordt aanbevolen
📌 Samengevat
NIS2 is de Europese richtlijn voor digitale weerbaarheid van kritieke en belangrijke sectoren. Organisaties moeten technische én organisatorische beveiligingsmaatregelen nemen, incidenten melden en risico’s structureel beheersen.
De richtlijn is op 16 januari 2023 in werking getreden; EU-lidstaten (zoals Nederland) moeten deze uiterlijk oktober 2024 hebben omgezet in nationale wetgeving. In Nederland is dat de Cyberbeveiligingswet