Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

NIS2-zorgplicht: de beveiligingsmaatregelen

Vastgesteld 2026-06-29 · ≈ 2 min lezen · Dirk Baaijen

Artikel 21 van de NIS2-richtlijn verplicht essentiële en belangrijke entiteiten tot tien concrete, risicogebaseerde beveiligingsmaatregelen waarover het bestuur eindverantwoordelijkheid draagt.

Kort antwoord: Artikel 21 van Richtlijn (EU) 2022/2555 (NIS2) verplicht essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen te nemen om de risico's voor hun netwerk- en informatiesystemen te beheersen. De maatregelen zijn risicogebaseerd en samengevat in tien concrete categorieën. Het bestuur van de organisatie is eindverantwoordelijk en aansprakelijk voor naleving.

Wettelijke grondslag en reikwijdte

Artikel 21, lid 1 van de NIS2-richtlijn schrijft voor dat lidstaten waarborgen dat essentiële en belangrijke entiteiten maatregelen nemen die in verhouding staan tot het risico, rekening houdend met de stand van de techniek en de implementatiekosten. De maatstaf is niet een uniforme vereistenlijst, maar een risicoanalyse die de organisatie zelf uitvoert. Artikel 20 bepaalt daarnaast dat het bestuur van een entiteit de maatregelen goedkeurt, toeziet op de uitvoering en aansprakelijk kan worden gesteld bij niet-naleving. Bestuurders moeten daarvoor over voldoende cybersecuritykennis beschikken of die verwerven via periodieke training.

De tien maatregelen van artikel 21, lid 2

De richtlijn noemt de volgende verplichte categorieën, die voor de Nederlandse uitvoeringspraktijk door het NCSC zijn uitgewerkt:

  1. Risicoanalyse en beleid — vastgesteld beleid voor analyse van netwerk- en informatiesysteemrisico's.
  2. Incidentrespons — procedures voor het afhandelen van beveiligingsincidenten.
  3. Bedrijfscontinuïteit — back-upbeheer, noodherstelplannen en crisisbeheer.
  4. Ketenbeveiliging — beveiligingsaspecten van relaties met directe leveranciers en dienstverleners.
  5. Beveiliging bij ontwikkeling en onderhoud — veilige verwerving, ontwikkeling en onderhoud van systemen, inclusief patchbeheer en kwetsbaarheidsafhandeling.
  6. Effectiviteitsbeoordeling — beleid en procedures voor het periodiek testen van beveiligingsmaatregelen.
  7. Cyberhygiëne en training — basispraktijken voor digitale hygiëne en bewustwordingstraining van medewerkers.
  8. Cryptografie en encryptie — beleid voor het gebruik van cryptografische standaarden en sleutelbeheer.
  9. Personeel, toegang en assetbeheer — screening van medewerkers, toegangsbeheer en inventarisatie van bedrijfsmiddelen.
  10. Multifactorauthenticatie — inzet van MFA of continue authenticatie en beveiligde communicatiekanalen.

Proportionaliteit en Nederlandse implementatie

De maatregelen zijn niet one-size-fits-all: de organisatie weegt omvang, blootstellingsprofiel en sectorspecifieke risico's mee. Nederland heeft de NIS2-richtlijn nog niet volledig omgezet; de Europese omzettingstermijn was 17 oktober 2024. Het wetsvoorstel Cyberbeveiligingswet is in 2025 bij de Tweede Kamer ingediend en treedt naar verwachting in de loop van 2026 in werking. Organisaties die nu al vallen onder de reikwijdte van de richtlijn, worden geacht vrijwillig aan de verplichtingen te voldoen in afwachting van de formele inwerkingtreding.

Bronnen

  1. https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng
    Richtlijn (EU) 2022/2555 (NIS2), artikel 20 en 21 — beveiligingsverplichtingen en bestuursverantwoordelijkheid
  2. https://www.ncsc.nl/cyberbeveiligingswet-nis2/bereid-je-voor/zorgplicht
    NCSC — toelichting op de tien zorgplichtmaatregelen per artikelonderdeel
  3. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
    Europese Commissie — NIS2-beleidspagina, omzettingstermijn en reikwijdte
  4. https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/cyberbeveiligingswet/verplichtingen-cyberbeveiligingswet/
    Digitale Overheid — verplichtingen Cyberbeveiligingswet, proportionaliteit en bestuurlijke verantwoordelijkheid

Deel op LinkedIn

Lees ook

U

Dekt mijn ISO 27001-certificering de zorgplicht onder NIS2?

ISO 27001 dekt een groot deel van de NIS2-risicobeheermaatregelen, maar is geen automatische compliance. Meldplicht, bestuursverantwoordelijkheid, ketenrisico en registratie moet je apart afdekken.

U

De Nederlandse Cyberbeveiligingswet: zo wordt NIS2 in Nederland recht

De Cyberbeveiligingswet zet NIS2 om in Nederlands recht: zorgplicht, meldplicht en bestuursaansprakelijkheid. De wet is nog in behandeling en treedt naar verwachting later in werking dan de EU-deadline.

U

Mijn klant valt onder NIS2 en vraagt mij om maatregelen — moet dat?

NIS2 verplicht onder NIS2 vallende organisaties om risico's in hun toeleveringsketen te beheersen. Als leverancier valt u meestal niet zelf onder de wet, maar uw klant mag eisen contractueel doorgeven; weigeren kan betekenen dat u de opdracht verliest.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.