NIS2 is de Europese cyberbeveiligingsrichtlijn die in Nederland wordt ingevoerd via de Cyberbeveiligingswet. Duizenden Nederlandse organisaties die nooit eerder onder cyberwetgeving vielen, krijgen er een zorgplicht, een meldplicht en persoonlijke verantwoordelijkheid voor het bestuur bij. Deze gids legt uit wie eronder valt, wat de wet vraagt, en wat dat concreet betekent voor je logging en monitoring.
Van NIS2-richtlijn naar Cyberbeveiligingswet
NIS2 (Richtlijn (EU) 2022/2555) is de opvolger van de eerste NIS-richtlijn en moest uiterlijk 17 oktober 2024 in nationale wetgeving zijn omgezet. Nederland doet dat met de Cyberbeveiligingswet (Cbw), de opvolger van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Nederland heeft de Europese deadline niet gehaald; controleer de actuele status van de wet bij de RDI of het NCSC.
Wachten op de formele inwerkingtreding is echter riskant én onnodig: de eisen van de richtlijn zijn al jaren bekend, toezichthouders verwachten dat organisaties zich voorbereiden, en de maatregelen die de wet vraagt (risicobeheer, logging, detectie, incident-respons) zijn precies de dingen die je ook zonder wet wilt hebben op de dag dat het misgaat.
De grootste verschuiving ten opzichte van de Wbni: die wet raakte enkele honderden vitale aanbieders. De Cyberbeveiligingswet raakt naar schatting duizenden Nederlandse organisaties, inclusief middelgrote bedrijven die zichzelf nooit als “vitaal” hebben gezien.
Val ik onder NIS2?
De wet kent twee categorieën, met verschillend toezicht en verschillende boetes:
- Essentiële entiteiten: grote organisaties in sectoren als energie, transport, bankwezen, financiële marktinfrastructuur, zorg, drinkwater en afvalwater, digitale infrastructuur, overheidsdiensten en ruimtevaart.
- Belangrijke entiteiten: middelgrote en grote organisaties in onder meer post en koeriersdiensten, afvalbeheer, chemie, levensmiddelen, industrie (waaronder medische hulpmiddelen en elektronica), digitale aanbieders en onderzoek.
De omvangsgrens ligt in de basis bij circa 50 medewerkers of 10 miljoen euro jaaromzet. Kleinere organisaties kunnen er toch onder vallen, bijvoorbeeld als enige aanbieder van een essentiële dienst of als onderdeel van een groter concern. Er geldt bovendien een registratieplicht: organisaties die onder de wet vallen moeten zich registreren bij de toezichthouder.
Twijfel je? De Rijksoverheid biedt een online NIS2-zelfevaluatie waarmee je in enkele minuten formeel toetst of je organisatie onder de wet valt en in welke categorie.
De zorgplicht: welke maatregelen moet je nemen?
De kern van de wet is de zorgplicht: passende en evenredige technische en organisatorische maatregelen om de risico’s voor je netwerk- en informatiesystemen te beheersen. De richtlijn noemt expliciet onder meer:
- risicoanalyse en beleid voor informatiebeveiliging;
- incidentafhandeling: kunnen detecteren, analyseren, beperken en herstellen, en dat kunnen aantonen;
- bedrijfscontinuïteit, back-ups en crisisbeheer;
- beveiliging van de toeleveringsketen (supply chain);
- beveiliging bij ontwikkeling, aanschaf en onderhoud van systemen;
- beleid om de effectiviteit van maatregelen te meten;
- cyberhygiëne en security-training;
- cryptografie en waar passend encryptie;
- toegangsbeveiliging, personeelsbeveiliging en asset-beheer;
- multifactorauthenticatie en beveiligde communicatie.
Nieuw ten opzichte van de oude situatie is de persoonlijke verantwoordelijkheid van het bestuur: bestuurders moeten de maatregelen goedkeuren, toezien op de uitvoering, en zelf een cybersecurity-opleiding volgen. Bij ernstige nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld.
De meldplicht: 24 uur, 72 uur, één maand
Significante incidenten moet je melden bij het nationale CSIRT (voor de meeste organisaties het NCSC) en de toezichthouder, in drie stappen:
- Binnen 24 uur: een vroegtijdige waarschuwing, met een eerste inschatting of er sprake is van kwaadwillig handelen en of het incident grensoverschrijdende gevolgen kan hebben.
- Binnen 72 uur: een volledige incidentmelding met een eerste beoordeling van ernst, impact en, waar beschikbaar, indicatoren van compromittering (IOC’s).
- Binnen één maand: een eindrapport met een gedetailleerde beschrijving van het incident, de vermoedelijke oorzaak, de genomen maatregelen en de grensoverschrijdende impact.
Die termijnen zijn kort. Wie pas na een incident begint met logs verzamelen, haalt ze niet: binnen 24 uur iets zinnigs zeggen over kwaadwillig handelen vereist dat de relevante logs er al zijn, doorzoekbaar zijn, en dat detectie het incident überhaupt heeft opgemerkt.
Toezicht, boetes en aansprakelijkheid
De Rijksinspectie Digitale Infrastructuur (RDI) is voor veel sectoren de toezichthouder; daarnaast houden sectorale toezichthouders toezicht op hun eigen domein, zoals DNB voor de financiële sector. Essentiële entiteiten krijgen proactief toezicht (audits en inspecties vooraf); belangrijke entiteiten reactief toezicht (na signalen of incidenten).
De boetes zijn van AVG-kaliber:
- essentiële entiteiten: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet;
- belangrijke entiteiten: tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.
Daarnaast kan de toezichthouder bindende aanwijzingen geven, en bij essentiële entiteiten in het uiterste geval bestuurders tijdelijk uit hun functie laten ontheffen.
Wat dit concreet betekent voor logging en monitoring
Logging en monitoring komen in bijna elke verplichting terug: je kunt geen incident detecteren, geen 24-uursmelding onderbouwen en geen eindrapport schrijven zonder de juiste logs. Praktisch komt de zorgplicht hierop neer:
Centraliseer je logs
Logs van servers, netwerkapparatuur, identity providers, cloud-diensten en applicaties horen in één doorzoekbaar systeem. Een incident reconstrueren over tien losse systemen heen lukt niet binnen 72 uur.
Bewaar ze lang genoeg, aantoonbaar
De wet noemt geen vaste termijn; het criterium is dat je incidenten kunt onderzoeken en rapporteren. In de praktijk is 6 tot 18 maanden gangbaar, met een doorzoekbare hot-laag en een goedkoper archief. Leg je keuze en onderbouwing vast, dat is precies waar een toezichthouder naar vraagt.
Monitor realtime, niet achteraf
De meldtermijnen veronderstellen dat je incidenten zíet gebeuren. Dat vraagt om detectieregels op je logs (mislukte inlogpogingen, afwijkend gedrag, verdachte netwerkverbindingen) en om alerting die een mens op tijd bereikt, zonder te verdrinken in vals alarm.
Houd een audit trail bij
Wie heeft wat wanneer gedaan, ook in je logplatform zelf? Een manipulatiebestendige audit trail onderbouwt zowel je incidentrapportage als je verantwoording richting toezichthouder.
Dit is de kant die LogPulse afdekt: gecentraliseerd logbeheer met instelbare retentie per plan, 50+ ingebouwde detecties met MITRE ATT&CK-mapping, risicogebaseerde alerting die een handvol echte incidenten oplevert in plaats van duizenden meldingen, en compliance-rapportages die je detecties en data aan NIS2-verplichtingen koppelen. Alle data blijft in de EU (GCP Amsterdam), wat de verantwoording richting toezichthouder en verwerkersafspraken aanzienlijk versimpelt.
Stappenplan: aan de slag
- Stel vast of je onder de wet valt via de NIS2-zelfevaluatie van de Rijksoverheid, en in welke categorie.
- Informeer het bestuur: zij zijn straks persoonlijk verantwoordelijk en moeten de aanpak goedkeuren.
- Doe een risicoanalyse en breng in kaart welke systemen en leveranciers kritiek zijn voor je dienstverlening.
- Centraliseer logging en richt detectie in: dit is de fundering onder zowel de zorgplicht als de meldplicht.
- Oefen de meldprocedure: weet wie binnen 24 uur het NCSC en de toezichthouder informeert, en met welke informatie.
- Documenteer alles: maatregelen, keuzes, retentietermijnen en oefeningen. Compliance die je niet kunt aantonen, bestaat voor een toezichthouder niet.
Meer weten over hoe LogPulse de logging-, detectie- en rapportagekant invult? Zie NIS2-compliance met LogPulse of start gratis en richt je eerste detecties vandaag in.