# NIS2 Snelgids

## Overzicht

De Network and Information Security Directive 2 (NIS2) is de Europese richtlijn voor cyberveiligheid die vanaf oktober 2024 van kracht is. Deze gids helpt organisaties bij het begrijpen en implementeren van de belangrijkste vereisten.

## Toepassingsgebied

### Essentiële Entiteiten
- Energie (elektriciteit, olie, gas, waterstof)
- Transport (lucht, rail, water, weg)
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur (DNS, IXP, TLD, cloud, datacenters)
- Overheidsdiensten

### Belangrijke Entiteiten
- Post en koeriersdiensten
- Afvalbeheer
- Chemie
- Voeding
- Productie van medische hulpmiddelen
- Digitale dienstverleners (online marktplaatsen, zoekmachines, sociale netwerken)

## Kernvereisten

### 1. Governance en Verantwoordelijkheid

Het bestuur moet:
- Cybersecuritymaatregelen goedkeuren en toezicht houden op implementatie
- Cybersecurity awareness training volgen
- Persoonlijk aansprakelijk zijn voor niet-naleving

### 2. Risicobeheermaatregelen (Artikel 21)

| Maatregel | Beschrijving | Bewijstype |
|-----------|--------------|------------|
| Risicoanalyse | Periodieke beoordeling van cyberdreigingen | Risico register, BIA |
| Incidentbeheer | Procedures voor detectie, respons en herstel | Incident logs, runbooks |
| Bedrijfscontinuïteit | Back-up beheer en disaster recovery | DR plannen, test rapporten |
| Supply chain beveiliging | Leveranciersbeoordeling en monitoring | Vendor assessments |
| Netwerk- en systeembeveiliging | Technische beveiligingsmaatregelen | Hardening baselines |
| Toegangsbeheer | Identity management en authenticatie | IAM logs, MFA status |
| Cryptografie | Encryptie van data in rust en transit | Certificaten, key management |
| Personeel beveiliging | Awareness training en screening | Training records |
| Asset management | Inventaris van kritieke systemen | CMDB, asset register |
| Authenticatie | Multi-factor en sterke wachtwoorden | MFA coverage reports |

### 3. Incidentmelding (Artikel 23)

**Verplichte meldingstijdlijnen:**

```
 0h        24h              72h                    1 maand
  |---------|----------------|------------------------|
  Detectie  Vroege           Incident                Eindrapport
            waarschuwing     melding
```

- **Vroege waarschuwing**: Binnen 24 uur na detectie significante dreiging
- **Incidentmelding**: Binnen 72 uur met impact assessment
- **Tussentijdse updates**: Op verzoek van autoriteit
- **Eindrapport**: Binnen 1 maand met root cause en maatregelen

### 4. Toezicht en Handhaving

**Boetes:**
- Essentiële entiteiten: tot €10 miljoen of 2% van wereldwijde omzet
- Belangrijke entiteiten: tot €7 miljoen of 1,4% van wereldwijde omzet

**Maatregelen:**
- Audits en inspecties
- Bevelen tot naleving
- Tijdelijke schorsing van diensten
- Verbod op bestuursfuncties

## Implementatie Checklist

### Governance (Week 1-4)
- [ ] Stel CISO of verantwoordelijke aan met bestuurlijk mandaat
- [ ] Informeer en train bestuur over NIS2 verplichtingen
- [ ] Bepaal of organisatie onder NIS2 valt (essentieel/belangrijk)
- [ ] Registreer bij nationale autoriteit indien vereist

### Technisch (Week 4-12)
- [ ] Voer asset inventarisatie uit
- [ ] Voer risicoanalyse uit op kritieke systemen
- [ ] Implementeer of valideer MFA op alle toegang
- [ ] Configureer centrale logging (SIEM)
- [ ] Implementeer netwerksegmentatie

### Operationeel (Week 8-16)
- [ ] Documenteer incidentresponsplan
- [ ] Voer tabletop oefening uit
- [ ] Stel meldprocedures op naar autoriteit
- [ ] Review en documenteer supply chain risico's
- [ ] Implementeer backup en DR procedures

### Continu
- [ ] Periodieke vulnerability scans
- [ ] Jaarlijkse risicoherziening
- [ ] Kwartaal awareness training
- [ ] Maandelijkse patch management reviews

## Hoe Noveu Helpt

Het Noveu platform ondersteunt NIS2 compliance met:

| Vereiste | Noveu Oplossing |
|----------|-----------------|
| Risicobeheer | Continuous compliance monitoring dashboard |
| Incidentmelding | Geautomatiseerde detectie en escalatie workflows |
| Audit trail | Onveranderlijke logs met bewijsexport |
| Toegangsbeheer | Geïntegreerde IAM met MFA enforcement |
| Dataresidentie | 100% EU hosting, geen US transfers |
| Supply chain | Europese partners met transparante audits |

## Bronnen

- [Europese Commissie NIS2](https://digital-strategy.ec.europa.eu/en/policies/nis2-directive)
- [NCSC Nederland](https://www.ncsc.nl/)
- [ENISA Good Practices](https://www.enisa.europa.eu/)

---

*Laatste update: Januari 2026*  
*Disclaimer: Dit document is informatief. Raadpleeg juridisch advies voor specifieke compliance vragen.*