De EU NIS2-richtlijn
NIS2 verhoogt de eisen op het gebied van cyberbeveiliging, risicobeheer en meldingsprocessen voor essentiële en belangrijke organisaties in 18 kritieke sectoren binnen de EU.
Gratis advies aanvragenLeestijd: 7 minuten
Wat is de EU NIS2-richtlijn?
De NIS2-richtlijn vormt een centraal onderdeel van de Europese cyberbeveiligingsstrategie. Zij verplicht organisaties in kritieke en belangrijke sectoren om een passend beveiligingsniveau te waarborgen, risico’s actief te beheren en beveiligingsincidenten te melden. Het doel is de weerbaarheid van essentiële infrastructuren en digitale diensten in de hele EU duurzaam te versterken. Samen met de Cyber Resilience Act en de Digital Operational Resilience Act vormt NIS2 een belangrijk onderdeel van het Europese kader voor digitale weerbaarheid.
Greenbone helpt klanten al meer dan 15 jaar zich voor te bereiden op de best mogelijke beveiligingsstandaard. Wij zien NIS2 als een kans om ondersteuning te bieden en de sterkst mogelijke cyberweerbaarheid op te bouwen. OPENVAS SECURITY INTELLIGENCE mit OPENVAS SCAN ondersteunt organisaties bij continu kwetsbaarheidsbeheer. Voor kleinere en middelgrote IT-omgevingen kan OPENVAS BASIC een zinvolle instapoplossing zijn.
De EU NIS2-richtlijn: welke doelen streeft zij na?
De NIS2-richtlijn moet zorgen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU en cyberdreigingen voor essentiële diensten verminderen. Met basismaatregelen voor beveiliging en governancestandaarden moeten incidenten worden voorkomen die kritieke diensten verstoren, centrale sectoren destabiliseren of aanzienlijke maatschappelijke en economische schade kunnen veroorzaken.
Gemeenschappelijk beveiligingsniveau verhogen
NIS2 creëert een uniformer minimumniveau voor cyberbeveiliging in de EU en versterkt de samenwerking tussen lidstaten, toezichthouders en CSIRT’s.
Essentiële diensten weerbaarder maken
Betrokken organisaties moeten cyberrisico’s actief beheersen, beveiligingsincidenten beter voorkomen en hun operationele continuïteit ook in crisissituaties waarborgen.
Management en directie sterker betrekken
Cyberbeveiliging wordt een bestuurstaak: directies moeten risicomaatregelen controleren en dragen bij overtredingen meer verantwoordelijkheid.
Wie moet aan NIS2 voldoen?
NIS2 geldt voor organisaties in vastgelegde kritieke sectoren en voor belangrijke economische actoren. Doorslaggevend zijn de branche, de omvang en het belang van de geleverde diensten. De indeling gebeurt in “essentiële” en “belangrijke” organisaties met verschillende vereisten en toezichtsniveaus.
18 kritieke sectoren
NIS2 omvat onder meer energie, vervoer, gezondheidszorg, digitale infrastructuur, overheid, chemie, levensmiddelen en digitale aanbieders.
Essentiële organisaties
Daaronder vallen doorgaans grote organisaties in bijzonder kritieke sectoren en bepaalde aanbieders die ongeacht hun omvang onder de richtlijn kunnen vallen.
Belangrijke organisaties
Ook belangrijke organisaties moeten passende technische, organisatorische en operationele maatregelen treffen en aanzienlijke beveiligingsincidenten melden.
Indeling van relevante sectoren in essentiële en belangrijke organisaties in het kader van NIS2.
NIS2-snelcheck: valt uw organisatie onder de richtlijn?
Met enkele criteria kunt u snel inschatten of uw organisatie onder de NIS2-richtlijn valt.
Branche controleren
Is uw organisatie actief in een van de 18 NIS2-sectoren, bijvoorbeeld energie, gezondheidszorg, digitale infrastructuur, openbaar bestuur, chemie, levensmiddelen, onderzoek of de maakindustrie?
Omvang beoordelen
Heeft uw organisatie minstens 50 medewerkers of een jaaromzet dan wel balanstotaal van minstens 10 miljoen euro? Dan kunnen aanvullende vereisten relevant zijn.
Beveiligingsvolwassenheid inschatten
Zijn assetmanagement, kwetsbaarheidsbeheer, incidentafhandeling, back-up, beveiliging van de toeleveringsketen en meldingsroutes al gedocumenteerd en worden deze regelmatig gecontroleerd?
Schematische beoordeling van de NIS2-relevantie aan de hand van centrale criteria zoals branche, omvang en beveiligingsniveau.
Welke vereisten gelden voor betrokken organisaties?
NIS2 verplicht organisaties tot technische, organisatorische en operationele beveiligingsmaatregelen. Daartoe behoren met name risicobeheer, kwetsbaarheidsbeheer en incidentafhandeling.
Risicoanalyse en beveiligingsconcepten
Betrokken organisaties moeten concepten voor risicoanalyse en informatiebeveiliging definiëren, implementeren en regelmatig aanpassen aan het dreigingsbeeld.
Asset- en kwetsbaarheidsbeheer
IT-assets moeten zichtbaar zijn. Kwetsbaarheden moeten regelmatig worden geïdentificeerd, geprioriteerd en verholpen, zodat systemen en applicaties veilig blijven.
Incidentafhandeling en crisismanagement
Organisaties moeten processen opzetten voor het herkennen, analyseren en behandelen van beveiligingsincidenten en meldingsroutes duidelijk documenteren.
Businesscontinuïteit en back-up
Back-upbeheer, herstelplanning, noodcommunicatie en crisisprocessen moeten de operationele continuïteit ook bij beveiligingsincidenten waarborgen.
Toeleveringsketen en dienstverleners
Risico’s bij externe aanbieders, leveranciers en dienstverleners moeten worden beoordeeld en worden geïntegreerd in beveiligingsconcepten en contractprocessen.
Training, cryptografie en toegangsbeveiliging
Awarenessmaatregelen, cyberhygiëne, versleuteling, veilige communicatie en toegangscontroles worden onderdeel van een robuust beveiligingsprogramma.
Welke meldingsplichten schrijft NIS2 voor?
Beveiligingsincidenten moeten binnen vastgelegde termijnen worden gemeld. NIS2 voorziet hiervoor in een meerfasig meldingsproces.
| Stap | Termijn | Inhoud |
|---|---|---|
| Vroege waarschuwing | Binnen 24 uur na kennisname | Eerste melding dat een aanzienlijk beveiligingsincident heeft plaatsgevonden of waarschijnlijk zal plaatsvinden. |
| Eerste beoordeling | Binnen 72 uur na kennisname | Beoordeling van ernst, gevolgen en, voor zover beschikbaar, aanwijzingen voor compromittering. |
| Tussenrapport | Op verzoek van de bevoegde autoriteit | Bijgewerkte status, verdere bevindingen en voortgang bij de behandeling van het incident. |
| Eindrapport | In de regel binnen één maand | Oorzaakanalyse, beoordeling van de gevolgen en beschrijving van de genomen herstelmaatregelen. |
Tijdschema voor het melden van beveiligingsincidenten volgens NIS2.
NIS2 vereist regelmatig risicobeheer, kwetsbaarheidsbeheer en robuuste beveiligingsprocessen.
OPENVAS SECURITY INTELLIGENCE en OPENVAS SCAN ondersteunen organisaties bij het opbouwen van een continue, aantoonbare beveiligingsroutine. Neem contact met ons op voor meer informatie.
Wanneer is de EU NIS2-richtlijn in werking getreden?
De NIS2-richtlijn trad in 2023 in werking en moest uiterlijk in oktober 2024 in nationale wetgeving zijn omgezet.
27 december 2022
Publicatie
NIS2 wordt gepubliceerd in het Publicatieblad van de Europese Unie.
16 januari 2023
Inwerkingtreding op EU-niveau
De richtlijn treedt in werking en start de omzettingstermijn voor de lidstaten.
17 oktober 2024
Deadline voor nationale omzetting
EU-lidstaten moesten de vereisten uiterlijk op deze datum in nationale wetgeving omzetten.
6 december 2025
Duitsland
De Duitse omzettingswet treedt in werking en moderniseert het nationale cyberbeveiligingsrecht.
Actie is nu nodig
NIS2 vereist permanent risicobeheer. Actuele assetgegevens, regelmatige kwetsbaarheidsscans, duidelijke verantwoordelijkheden en robuuste meldingsprocessen moeten voortdurend worden onderhouden.
Vrijblijvend advies aanvragen
Hoe Greenbone NIS2-compliance ondersteunt
Greenbone ondersteunt organisaties bij het technisch implementeren van NIS2-vereisten en het duurzaam verankeren van beveiligingsprocessen.
OPENVAS SECURITY INTELLIGENCE
OPENVAS SECURITY INTELLIGENCE consolideert resultaten uit gedistribueerde OPENVAS SCAN-systemen, verrijkt deze met context uit security advisories en ondersteunt centrale workflows voor kwetsbaarheidsbeheer.
OPENVAS SCAN
OPENVAS SCAN identificeert bekende kwetsbaarheden, foutieve configuraties en ontbrekende beveiligingsupdates in netwerken, systemen, applicaties, endpoints en containeromgevingen.
OPENVAS BASIC
OPENVAS BASIC is de ideale instapoplossing voor kwetsbaarheidsscans in kleine en middelgrote IT-omgevingen. Voor grotere NIS2-set-ups zijn OPENVAS SCAN en SECURITY INTELLIGENCE beter geschikt.
OPENVAS SECURITY INTELLIGENCE-dashboard met resultaten van kwetsbaarheidsscans, CVSS-ernstverdeling en assetinventaris, afgestemd op continu kwetsbaarheidsbeheer.
Veelgestelde vragen over NIS2
Wat is NIS2?
NIS2 is een EU-richtlijn ter versterking van de cyberbeveiliging. Zij verplicht organisaties in kritieke en belangrijke sectoren tot concrete beveiligingsmaatregelen en meldingsplichten.
Welke organisaties vallen onder NIS2?
Onder NIS2 vallen publieke en private organisaties in 18 kritieke sectoren. Doorslaggevend zijn de branche, de omvang en het belang van de geleverde diensten.
Wat is het verschil tussen essentiële en belangrijke organisaties?
Essentiële organisaties zijn bijzonder kritieke organisaties en vallen doorgaans onder strengere toezichtmaatregelen. Belangrijke organisaties moeten eveneens beveiligingsmaatregelen treffen en incidenten melden.
Welke maatregelen vereist NIS2?
NIS2 vereist onder meer risicoanalyse, beveiligingsconcepten, incidentafhandeling, businesscontinuïteit, beveiliging van de toeleveringsketen, trainingen, toegangscontrole, assetmanagement en kwetsbaarheidsbeheer.
Welke meldingstermijnen gelden bij beveiligingsincidenten?
Voor aanzienlijke beveiligingsincidenten is een vroege waarschuwing binnen 24 uur voorzien. Een eerste beoordeling volgt binnen 72 uur, het eindrapport in beginsel binnen één maand.
Wanneer geldt NIS2 in Duitsland?
De EU-richtlijn is op 16 januari 2023 in werking getreden. De lidstaten moesten haar uiterlijk op 17 oktober 2024 omzetten. In Duitsland is de omzettingswet op 6 december 2025 in werking getreden.
Hoe ondersteunt Greenbone bij NIS2?
Greenbone ondersteunt organisaties met OPENVAS SCAN en OPENVAS SECURITY INTELLIGENCE bij doorlopend kwetsbaarheidsbeheer, centraal inzicht in assets en het prioriteren van risico’s.
Is OPENVAS BASIC geschikt voor NIS2?
OPENVAS BASIC kan een zinvolle instapoplossing zijn voor kleinere en middelgrote IT-omgevingen. Voor grotere of sterker gereguleerde omgevingen zijn OPENVAS SCAN en OPENVAS SECURITY INTELLIGENCE doorgaans beter geschikt.
Is uw organisatie klaar voor NIS2?
Controleer nu of uw kwetsbaarheidsbeheer, uw assettransparantie en uw meldingsprocessen aan de vereisten voldoen. Greenbone ondersteunt u bij het opbouwen van continue beveiligingsprocessen en het vroegtijdig zichtbaar maken van risico’s.
NIS2-readinesscheck met Greenbone
Wilt u inschatten of uw kwetsbaarheidsbeheer, uw assettransparantie en uw beveiligingsprocessen voldoende zijn voor NIS2? Praat met ons over uw huidige omgeving en passende inzetmogelijkheden van OPENVAS SECURITY INTELLIGENCE, OPENVAS SCAN of OPENVAS BASIC.
