Academie thuis
Blogs
Inzicht in NIS2: toezicht en sancties bij niet-naleving
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

Inzicht in NIS2: toezicht en sancties bij niet-naleving

ISO 27001 collectie
Inzicht in NIS2: toezicht en sancties bij niet-naleving
NIS2-verzameling
Inzicht in NIS2: toezicht en sancties bij niet-naleving
Cyberday blog
Inzicht in NIS2: toezicht en sancties bij niet-naleving

De Netwerk- en Informatiebeveiligingsrichtlijn of NIS2-richtlijn is een belangrijke verzameling regels in de Europese Unie. Het doel is om netwerk- en informatiesystemen in alle lidstaten te beschermen. Deze richtlijn creëert een gezamenlijke strategie voor het verbeteren van cyberbeveiliging en veerkracht tegen digitale bedreigingen. In plaats van alleen maar richtlijnen voor te stellen, zorgt de richtlijn ervoor dat alle lidstaten over sterke beveiligingsmaatregelen beschikken.

Laten we nu eens kijken naar de NIS2-richtlijn, het toezicht in de EU-lidstaten en waar toezicht op wordt gehouden. We bekijken ook de NIS2-sancties voor niet-naleving en hoe je aan de regels kunt blijven voldoen (om sancties te voorkomen).

Wat is NIS2?

De NIS2-richtlijn is een bijgewerkte EU-wetgeving inzake cyberbeveiliging en vervangt de oorspronkelijke NIS-richtlijn. NIS2 is bedoeld om het algemene niveau van cyberbeveiliging in de hele EU te verhogen door strengere verplichtingen op het gebied van risicobeheer en rapportage vast te stellen voor een breder scala aan publieke en private entiteiten.

NIS2 is een belangrijke ontwikkeling in de inspanningen van de EU om de veerkracht van cyberbeveiliging te vergroten. Deze richtlijn bouwt voort op zijn voorganger en heeft een verfijnde focus, omvat een breder scala aan sectoren en stelt duidelijkere, robuustere verwachtingen op het gebied van regelgeving. Belangrijk is dat NIS2 de toegenomen urgentie onderstreept om Europa's kritieke infrastructuur te beschermen tegen evoluerende cyberdreigingen, door ervoor te zorgen dat organisaties beter zijn uitgerust om incidenten te voorkomen, op te sporen en erop te reageren.

NIS2 is van invloed op een groot aantal private en publieke entiteiten in de hele EU die essentiële of belangrijke diensten verlenen. Het toepassingsgebied is aanzienlijk uitgebreid ten opzichte van de oorspronkelijke NIS-richtlijn. De meeste organisaties met meer dan 250 werknemers of een omzet van meer dan 50 miljoen euro in de betrokken sectoren zullen onder NIS2 vallen. Kleinere organisaties kunnen er echter ook onder vallen als ze een hoog risico vormen of van cruciaal belang zijn voor de samenleving.

Lees onze blog voor meer informatie over NIS2: Op wie is NIS2 van toepassing? Toepassingsgebied en vereiste beveiligingsmaatregelen uitgelegd.

Ultieme NIS2-gids

Ontvang onze gratis ultieme NIS2-gids met praktische stappen voor NIS2-compliance.

Nu downloaden

Toezicht onder NIS2

Onder de NIS2-richtlijn moet elk land een bevoegde autoriteit aanwijzen die toezicht houdt op en zorgt voor naleving van de bepalingen. Deze autoriteit speelt een cruciale rol bij het toezicht houden op en ondersteunen van organisaties bij het omgaan met de complexe regelgeving op het gebied van cyberbeveiliging. Hun taken variëren van het uitvoeren van audits en risicobeoordelingen tot het geven van advies over best practices.

Wie houdt toezicht op NIS2?

Op Europees niveau wordt het toezicht op en de coördinatie van de NIS2-richtlijn voornamelijk verzorgd door:

  1. Agentschap voor cyberbeveiliging van de Europese Unie (ENISA): Enisa werkt als het centrale EU-agentschap dat de implementatie van NIS2 ondersteunt.
  2. Samenwerkingsgroep tussen EU-leden: Een strategisch orgaan bestaande uit vertegenwoordigers van alle EU-lidstaten, de Europese Commissie en ENISA.
  3. CSIRTs-netwerk: Een netwerk van nationale Computer Security Incident Response Teams. Werkt aan de coördinatie van incidentafhandeling over de grenzen heen

Elke EU-lidstaat benoemt ook zijn eigen nationale bevoegde autoriteit om lokaal toezicht te houden op de NIS2 en deze te handhaven, maar deze entiteiten werken op EU-niveau samen via de bovengenoemde structuren.

Hoe supervisie werkt:

De NIS2-richtlijn heeft tot doel de collectieve veerkracht van de EU op het gebied van cyberbeveiliging te versterken door middel van een evenwichtige combinatie van proactieve en reactieve toezichtmaatregelen. In tegenstelling tot zijn voorganger legt NIS2 meer nadruk op zowel het voorkomen van incidenten voordat ze zich voordoen als het effectief reageren wanneer ze zich voordoen.

Proactieve manieren van toezicht houden:

NIS2-toezicht omvat proactief toezicht, audits, beoordelingen van incidentrapportages en handhavingsacties. Het doel is om ervoor te zorgen dat organisaties zich houden aan hun vereisten voor risicobeheer op het gebied van cyberbeveiliging en het melden van incidenten.

  • Regelmatige audits en beoordelingen van de cyberbeveiligingspraktijken van organisaties
  • Naleving bewaken door cyberbeveiligingsincidenten in realtime te volgen
  • Organisaties begeleiden en feedback geven over verbeteringen op het gebied van cyberbeveiliging
  • Uitvoeren van workshops en trainingssessies om het bewustzijn en begrip van de NIS2-vereisten te verbeteren
  • Rapportageprotocollen opstellen om te zorgen dat incidentrapporten tijdig worden ingediend
  • Incidentpatronen analyseren om potentiële kwetsbaarheden te identificeren en proactieve maatregelen aan te bevelen

De proactieve aanpak is gericht op het voorkomen van incidenten en het verminderen van kwetsbaarheden voordat ze worden uitgebuit.

Reactieve manier van toezicht houden

Reactief toezicht richt zich op het melden van incidenten, onderzoek en handhavingsacties wanneer er inbreuken plaatsvinden. Dit kunnen zijn:

  • Analyse na het incident om de oorzaken te begrijpen en herhaling te voorkomen.
  • Het opleggen van straffen en sancties nadat tekortkomingen in de naleving zijn vastgesteld.
  • Uitvoeren van audits en beoordelingen na inbreuken op de beveiliging of cyberincidenten.
  • Afdwingen van tijdelijke verboden op leidinggevende verantwoordelijkheden bij niet-naleving.
  • Beoordelen en herzien van beveiligingsprotocollen als reactie op overtredingen van regelgeving.
  • Incidentenrapporten en actieplannen na een incident verplicht stellen voor toezichthoudende instanties.

De reactieve aanpak zorgt ervoor dat als er incidenten optreden, deze effectief worden afgehandeld, grondig worden gedocumenteerd en tot verbeteringen leiden.

Daarnaast moeten organisaties op verzoek, tijdens audits, inspecties of na een incident, kunnen aantonen dat ze voldoen aan de eisen van de nationale toezichthouder. Dit gaat niet alleen over beweren dat je compliant bent; het gaat over bewijzen met bewijs. Samen vormen deze twee benaderingen een robuust raamwerk dat is ontworpen om risico's te beperken, de mogelijkheden om incidenten te bestrijden te vergroten en voortdurende verbetering te stimuleren.

Sancties voor niet-naleving in NIS2

NIS 2 geeft 10 miljoen redenen om je aan de regels te houden.  

Toezichthoudende instanties hebben een reeks handhavingsacties die ze kunnen toepassen op organisaties die zich niet aan de regels houden. Deze sancties zijn bedoeld om ervoor te zorgen dat er op een zinvolle manier verantwoording wordt afgelegd en dat de cyberbeveiligingsnormen worden nageleefd. Laten we nu eens kijken naar deze vormen van sancties.

Soorten straffen:

Bindende bestellingen

Deze maatregelen kunnen bestaan uit bevelen om de activiteiten in overeenstemming te brengen met de voorschriften, wat de implementatie van specifieke beveiligingsmaatregelen of het ondergaan van regelmatige audits kan inhouden. Dergelijke corrigerende maatregelen zijn bedoeld om tekortkomingen te verhelpen en toekomstige overtredingen te voorkomen. Dit kunnen zijn:

  • Beveiligingsupgrades: Zorgen voor de juiste technische en organisatorische maatregelen, zoals betere toegangscontroles, versleuteling en systemen om bedreigingen op te sporen.
  • Beleidsherzieningen: Updates of verbeteringen van cyberbeveiligingsbeleid en -protocollen vereisen.
  • Verbeteringen in rapportage: Ervoor zorgen dat systemen voor het opsporen en rapporteren van incidenten goed en snel werken.
  • Beheer door derden: Problemen oplossen in de manier waarop organisaties omgaan met risico's in de toeleveringsketen.

Bindende bevelen zijn directe bevelen van toezichthoudende autoriteiten die specifieke acties vereisen om tekortkomingen in de naleving te verhelpen. Het negeren van deze bevelen kan leiden tot meer boetes of zelfs zwaardere straffen, zoals beperkingen of een verbod op bedrijfsactiviteiten.

Administratieve boetes

Administratieve boetes zijn de meest voorkomende strafmaatregelen na niet-naleving.

  • Misstappen op het gebied van beveiligingsmaatregelen: Niet de juiste technische en organisatorische stappen nemen om cyberbeveiliging te beschermen.
  • Gemiste incidentmeldingen: Het niet snel melden van grote incidenten, meestal binnen 24 uur, gevolgd door een gedetailleerd rapport binnen 72 uur.
  • Slechte risicocontroles: Het niet regelmatig beoordelen en documenteren van cyberbeveiligingsrisico's.
  • Toezicht op toeleveringsketen mist: Er niet voor zorgen dat leveranciers voldoen aan de cyberbeveiligingsnormen.

Boetes voor niet-naleving kunnen aanzienlijk zijn, tot €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Tijdelijk verbod voor verantwoordelijk personeel

Ja, NIS2 kan persoonlijk worden. In tegenstelling tot eerdere richtlijnen erkent NIS2 het belang van individuele verantwoordelijkheid door autoriteiten toe te staan om leidinggevenden of ander verantwoordelijk personeel een tijdelijk verbod op te leggen. Autoriteiten kunnen specifieke personen een tijdelijk verbod opleggen om management- of operationele taken binnen hun organisatie uit te voeren. Maar deze verboden zullen niet lichtvaardig zijn, omdat de verboden een relatief hoge mate van nalatigheid vereisen:

  • Grove nalatigheid of wanbeheer: Wanneer de acties (of het gebrek aan actie) van topmanagers direct leiden tot beveiligingsinbreuken of het niet voldoen aan compliance.
  • Het niet implementeren van corrigerende maatregelen: Wanneer leiders bekende risico's negeren of geen orders opvolgen om ze te verhelpen.
  • Onvoldoende toezicht op incidenten: Wanneer leidinggevenden er niet voor zorgen dat incidenten op de juiste manier worden gerapporteerd en herstelstappen worden genomen.

Hoe blijf je compliant (en voorkom je boetes)?

Nu we hebben doorgenomen hoe het NIS2-toezicht werkt en welke boetes je kunt krijgen als je de regels niet naleeft, zou het zeker leuk zijn om tips te horen hoe je deze boetes kunt vermijden. Hier zijn een paar belangrijke tips om naleving te bereiken en op de langere termijn te handhaven.

Risicobeoordelingen en kloofanalyse

Om te voldoen aan de NIS2-regelgeving moet u eerst een volledige risicobeoordeling uitvoeren om mogelijke bedreigingen en zwakke punten op het gebied van cyberbeveiliging te vinden. Dit betekent dat u uw huidige beveiliging moet controleren en moet uitzoeken waar u verbeteringen moet aanbrengen om aan de NIS2-normen te voldoen. Een gap-analyse kan inzicht verschaffen in welke maatregelen u nu neemt en wat er nog gedaan moet worden om aan de normen te voldoen.

Cyberday biedt een gratis beoordelingstool van 15 minuten om te beoordelen of u klaar bent voor NIS2. Als u nieuw bent bij Cyberday, kunt u beoordelen of u voldoet aan NIS2 en kunt u een uitgebreide proefperiode starten en de resultaten van de beoordeling in het product gebruiken. Als u een Cyberday hebt, kunt u de naleving in het product beoordelen.

Personeelsbewustzijn

Investeren in training en bewustwordingsprogramma's voor werknemers is cruciaal voor naleving. Organisaties moeten hun personeel voorlichten over best practices op het gebied van cyberbeveiliging en de specifieke vereisten van NIS2. Regelmatige trainingssessies kunnen werknemers helpen potentiële beveiligingsincidenten te herkennen en er effectief op te reageren.

Een manier om informatiebeveiligingsrichtlijnen onder werknemers te verspreiden is via ISMS zoals Cyberday, waar richtlijnen kunnen worden gemaakt met casusvoorbeelden en vaardigheidstests en kunnen worden gedistribueerd naar de persoonlijke Guidebook van werknemers, zelfs direct in MS Teams.

Cyberday Guidebook brengt richtlijnen voor werknemers rechtstreeks naar de vertrouwde omgeving.

Op de hoogte blijven van documenten en audits

Documentatie helpt je om aan te tonen dat je voldoet aan de wettelijke normen. Door je processen, procedures en nalevingsstappen zorgvuldig te documenteren, creëer je een duidelijk dossier dat je tijdens audits of inspecties kunt laten zien. Het is belangrijk om deze documentatie up-to-date te houden, zodat deze overeenkomt met de huidige regels en de activiteiten van uw organisatie. Deze documentatie kan ook op verzoek bewijzen dat je voldoet aan de regels.

Regelmatige controles, zoals interne of externe audits, helpen je om voorbereid te blijven op het naleven van de regelgeving en verminderen het risico op boetes bij niet-naleving. U moet interne audits uitvoeren om te zien hoe uw cyberbeveiliging zich houdt en om gebieden te vinden die niet aan de norm voldoen. Externe deskundigen inschakelen voor een externe audit kan u extra vertrouwen geven.

Als de NIS2-richtlijn wordt verwerkt in een flexibel ISMS zoals Cyberday, kunt u met één druk op de knop, eenvoudig en met actuele informatie documentatie over naleving krijgen. Interne en externe audits worden ook eenvoudig met een ISMS, omdat alle informatie op één plek beschikbaar is.

Best practices implementeren (bijvoorbeeld ISO 27001)

Het ontwikkelen van een robuuste cyberbeveiligingsstrategie is essentieel. Deze strategie moet duidelijke beleidslijnen en procedures bevatten voor het opsporen van incidenten, respons en herstel. Organisaties moeten ervoor zorgen dat dit beleid is afgestemd op de NIS2-vereisten en regelmatig wordt bijgewerkt om nieuwe bedreigingen het hoofd te bieden.

Maar het lastige is dat wetgeving zoals NIS2 geen directe implementatiemaatregelen biedt. Daarom worden vrijwillige normen zoals ISO 27001, die maatregelen bieden om naleving te bereiken en die hand in hand gaan met de NIS2-vereisten, aanbevolen om naleving te bereiken. ISO 27001 kan ook betere documentatiemogelijkheden bieden voor aantoonbare naleving en met ISO 27001-certificering kunt u ook aantonen dat u voldoet aan de vereisten van NIS2. We hebben er ook een gids voor gemaakt - en u kunt het ebook NIS2 ready with ISO 27001 best practices gratis downloaden.  

Laatste gedachten

NIS2 is niet alleen een richtlijn, het is een wet. Proactieve naleving is goedkoper (en gemakkelijker) dan boetes. Maar als we erin geslaagd zijn om u bang te maken voor de boetes, laat me dan dit zeggen: De NIS2-richtlijn is ontworpen om streng maar rechtvaardig te zijn, zodat organisaties de kans krijgen om problemen op te lossen voordat er strafmaatregelen worden opgelegd.

Geschreven door
Ronja Isaksson
15.4.2025
@
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Andere vergelijkbare content van Academy

Blogs

Wat is een vCISO? De rol van een virtuele CISO begrijpen

Wat is een vCISO, wat doen ze en waarom groeit het virtuele CISO-model snel onder bedrijven en cyberbeveiligingsconsultants.
12.6.2025

Wat is een modulair cyberbeveiligingsraamwerk en waarom zijn ze essentieel voor consultants?

Modulaire cyberbeveiligingsframeworks maken compliancebeheer eenvoudiger en helpen consultants sneller te schalen, meer deals binnen te halen en terugkerende inkomsten op te bouwen.
12.6.2025

Cyberday app storing op dinsdag 10/6/2025: Uitleg en follow-up

Dit bericht bespreekt de details van het recente incident dat downtime veroorzaakte in Cyberday tijdens 10.6.2025, en de gerelateerde vroegtijdige mitigatie.
11.6.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekNieuwsbriefLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid