top of page

IT-beheersing

NIS2

Stel je voor: je werkt bij een ziekenhuis, een drinkwaterbedrijf of een regionale vervoerder. Het is maandagochtend, systemen vallen uit, bestanden zijn versleuteld, meldingen stromen binnen. Patiënten kunnen niet ingepland worden, pompen zijn niet op afstand aan te sturen, reisinformatie klopt niet meer. Binnen een uur gaat het niet meer alleen over “IT”, maar over continuïteit, veiligheid en over reputatie.

In dat spanningsveld is de NIS2-richtlijn ontstaan. NIS2 moet ervoor zorgen dat organisaties in kritieke sectoren hun cybersecurity en digitale weerbaarheid structureel op orde brengen, mét duidelijke verantwoordelijkheden voor bestuur en management.

In deze blog nemen we NIS2 onder de loep. Wat is het, wie valt eronder, wat vraagt het concreet en vooral: wat betekent dit voor internal audit, risk management en control?

 

Wat is NIS2 en waarom nu?

NIS2 staat voor de Network and Information Security Directive 2: een Europese richtlijn die als doel heeft een hoog, gemeenschappelijk niveau van cybersecurity in alle lidstaten af te dwingen. Het is de opvolger van de eerste NIS-richtlijn en breidt de scope, verplichtingen en handhaving flink uit.

De kern is: lidstaten en organisaties moeten hun netwerk- en informatiesystemen zo inrichten dat essentiële diensten, denk aan energie, transport, zorg, financiën en digitale infrastructuur ook bij cyberincidenten kunnen blijven draaien.

Belangrijke data:

  • De NIS2-richtlijn is op EU-niveau in werking getreden op 17 oktober 2024.

  • Lidstaten moesten NIS2 uiterlijk op 17 oktober 2024 omzetten in nationale wetgeving; in de praktijk zijn veel landen te laat, waardoor de Europese Commissie in 2024 en 2025 inbreukprocedures is gestart.

  • In Nederland gebeurt de implementatie via de Cyberbeveiligingswet (Cbw). Die wordt, zoals het er nu uitziet in de tweede helft van 2026 van kracht.

Dat de nationale wet in Nederland later komt, betekent niet dat je achterover kunt leunen. De richtlijn is er, de verwachtingen van toezichthouders groeien en de cyberdreiging neemt aantoonbaar toe.

 

Wie valt er onder NIS2?

NIS2 richt zich op organisaties die essentiële of belangrijke diensten leveren aan de economie en de samenleving. De richtlijn onderscheidt:

  • Essentiële entiteiten, zoals energie- en netwerkbeheerders, grote zorginstellingen, banken en aanbieders van digitale infrastructuur.

  • Belangrijke entiteiten, zoals bepaalde industriële producenten, logistieke bedrijven, digitale dienstverleners, post- en koeriersdiensten en delen van de maakindustrie.

 

In grote lijnen geldt:

  • NIS2 is gericht op middelgrote en grote organisaties (vanaf 50 medewerkers of een jaaromzet vanaf 10 miljoen euro), in sectoren die als kritisch zijn aangewezen.

  • Micro- en kleine ondernemingen vallen meestal buiten scope, behalve in uitzonderlijke gevallen, bijvoorbeeld bepaalde trust- of digitale dienstverleners.

Veel organisaties zijn nog druk bezig om überhaupt te bepalen: “Vallen wij eronder?” Juist hier ligt een rol voor riskmanagers en internal auditors: sector, omvang, rol in de keten en afhankelijkheden scherp krijgen en op basis daarvan bepalen of NIS2 (direct of indirect) relevant is.

 

De kernverplichtingen van NIS2 in gewone taal

NIS2 vertaalt zich voor organisaties grofweg in vier grote “blokjes verplichtingen”:

1. RisicomanagementOrganisaties moeten systematisch cyberrisico’s identificeren, beoordelen en beheersen. Dat gaat veel verder dan een eenmalige risicoanalyse. Denk aan beleid, processen, technische maatregelen, monitoring, logging, vulnerability management, encryptie, identity & access management en security in de supply chain.

2. Corporate accountabilityBestuur en hoger management kunnen zich niet langer verschuilen achter “IT regelt dit wel”. Zij moeten de cybersecuritymaatregelen goedkeuren, toezien op de uitvoering en blijven eindverantwoordelijk. Lidstaten moeten bovendien zorgen dat bestuurders bij ernstige nalatigheid persoonlijk aansprakelijk kunnen worden gesteld; in uiterste gevallen kunnen functies tijdelijk worden geschorst bij essentiële entiteiten.

3. Meldplicht en rapportageBij ernstige incidenten geldt een strikte meldplicht richting de bevoegde autoriteit (en vaak ook Computer Security Incident Response Team: CSIRT), inclusief een eerste melding binnen 24 uur, een gedetailleerdere melding binnen enkele dagen en een eindrapportage na afhandeling.

4. Business continuity en crisismanagementOrganisaties moeten aantonen dat ze continuïteit en herstel kunnen waarborgen: back-up- en herstelprocedures, noodscenario’s, crisisplannen, communicatieafspraken met stakeholders, en het oefenen hiervan.

Deze verplichtingen worden versterkt met stevige toezicht- en sanctiebevoegdheden. Boetes kunnen in de miljoenen lopen en zijn gekoppeld aan omzet.

 

Voor internal auditors en risicomanagers sluiten deze thema’s aan bij waar ze al mee bezig zijn: risico’s in kaart brengen, beheersmaatregelen beoordelen, incidenten analyseren en bestuurders in positie brengen.

 

NIS2 is geen IT-project maar een governancevraagstuk

Een veelgemaakte denkfout is dat NIS2 “iets van IT” is. Natuurlijk gaat het over firewalls, logging, kwetsbaarhedenscans en patchmanagement. Maar de essentie van NIS2 is governance.

De richtlijn maakt IT onderdeel van risicomanagement en de besturing van de organisatie. Het gaat om strategische keuzes: welke processen zijn vitaal, welke impact tolereren we, hoe verankeren we cybersecurity in onze planning & control, hoe sturen we op gedrag en cultuur?

Dit sluit aan bij de praktijk van operational auditing: de auditor kijkt niet alleen naar individuele controles, maar naar de vraag of de beheersing zo is ingericht dat de organisatie haar doelen waarschijnlijk gaat behalen. Met andere woorden: is de organisatie digitaal weerbaar genoeg om te blijven functioneren in een wereld vol dreiging?

 

De rol van internal audit, risk en control bij NIS2

Voor de drie lijnen (three lines model) creëert NIS2 het volgende speelveld:

  • Eerste lijn (business & IT): eigenaar van processen, systemen en maatregelen. Zij moeten NIS2 echt implementeren in ontwerp, inrichting en dagelijkse operatie.

  • Tweede lijn (risk, compliance, CISO): ontwikkelt kaders, monitort, ondersteunt en daagt uit.

  • Derde lijn (internal audit): geeft een onafhankelijk oordeel over het geheel: governance, risico’s, controles, rapportages én cultuur.

 

Voor internal auditors en risicomanagers betekent dit:

1. Scope en impact scherp krijgenWie in jouw organisatie valt onder NIS2? Welke entiteiten, processen, ketens en systemen zijn kritisch? Hoe verhouden NIS2-eisen zich tot bestaande kaders als ISO 27001, COBIT, DORA of sectorale regelgeving?

2. Gap-analyse en roadmapEen gestructureerde vergelijking tussen de huidige situatie en NIS2-verplichtingen: beleid, risk assessments, incidentprocessen, monitoring, contracten met leveranciers, governance, rapportages en training van bestuur en medewerkers. Daaruit volgt een realistische roadmap met prioriteiten, afhankelijkheden en mijlpalen.

3. Opzet van een meerjarig audit- en toetsprogrammaNIS2 is geen eenmalige compliance oefening. Het vraagt om een meerjarige cyclus van onderzoeken, toetsen en verbeteren. Internal audit kan bijvoorbeeld jaarlijks de governance en incidentmanagement beoordelen, periodiek deep dives doen op kritieke ketens en specifieke thema-audits uitvoeren op topics als third-party risk of OT-security. Risk Management kan daarbij de risicokaders actualiseren, de NIS2-risicoanalyse coördineren, voortgang en effectiviteit van beheersmaatregelen monitoren, en de eerste lijn ondersteunen bij het doorvoeren van verbeteringen en het verhogen van risicobewustzijn.

4. Aandacht voor soft controlsNet als bij andere governance- en risicothema’s geldt ook hier: gedrag bepaalt of maatregelen écht werken. Worden phishingmails gemeld? Durft een medewerker een datalek te escaleren? Neemt het management cyberrisico’s serieus, of blijft het een IT-agenda-item onderaan? In de opleidingen en blogs van Ferocia komt deze balans tussen hard en soft controls nadrukkelijk terug.

Auditors die naast de formele beheersmaatregelen ook cultuur en gedrag meenemen, leveren aanbevelingen op die verder gaan dan het “afvinken” van NIS2-artikelen.

 

Specifiek voor Nederland: NIS2 zonder wet?

Een veelgehoorde vraag in de Nederlandse praktijk: “Moeten we nu al iets met NIS2? De wet is er toch nog niet?”

Formeel klopt dat: de Cyberbeveiligingswet, de Nederlandse implementatie van NIS2 wordt pas in 2026 verwacht. Tegelijkertijd benadrukken overheid, toezichthouders en adviespartijen: wacht niet tot het laatste moment. De inhoudelijke eisen veranderen niet wezenlijk meer, de dreiging is er al en je hebt tijd nodig om volwassen processen op te bouwen.

 

Voor internal audit en risk biedt dit juist een kans:

  • Je kunt proactief een nulmeting doen.

  • Je hebt ruimte om maatregelen goed te laten aansluiten op de organisatie, in plaats van ad hoc te reageren op wetgeving.

  • Je kunt NIS2 integreren in bestaande trajecten rond DORA, ISO 27001, privacy en business continuity, zodat er één samenhangend weerbaarheidsverhaal ontstaat.

 

Veelvoorkomende valkuilen bij NIS2

In gesprekken met auditors, risicomanagers en controllers komen steeds dezelfde valkuilen naar voren: tijdgebrek, snel veranderende regelgeving en complexe IT-omgevingen.

Een eerste valkuil is dat NIS2 wordt behandeld als een los compliance project. Er wordt beleid geschreven, procedures bij elkaar gezocht en een incidentformulier gemaakt, maar de relatie met strategische doelen, risk appetite en de planning- & controlcyclus ontbreekt.

 

Een tweede valkuil: NIS2 verdwijnt in een technisch jargon dat voor bestuur en business niet te volgen is. Dan wordt het toch weer een IT-verhaal, terwijl de richtlijn juist inzet op bestuurlijke verantwoordelijkheid, training van management en brede verankering in de organisatie.

 

Een derde valkuil is dat organisaties zich blindstaren op het moment dat de wet in werking treedt. Terwijl NIS2 in de kern gaat over structurele weerbaarheid: de kwaliteit van je processen, de volwassenheid van je riskmanagement en het lerend vermogen van je organisatie. Dat bouw je niet in een paar maanden op.

 

Hoe kun je vandaag al beginnen?

Of je nu internal auditor, riskmanager, CISO of controller bent: je hoeft niet te wachten op een Kamerdebat of op de wet. Een paar concrete eerste stappen:

Begin met een inventarisatie op hoofdlijnen: in welke NIS2-sectoren ben je actief, wat is je omvang, welke rol speel je in de keten? Gebruik daarbij publiek beschikbare overzichten van sectoren en entiteitstypen als grove check.

Breng vervolgens in kaart welke elementen je al hebt: riskmanagementprocessen, ISO 27001, BCM-plannen, incidentprocessen, awarenessprogramma’s. Vaak blijkt dat er veel ís, maar dat samenhang, eigenaarschap en rapportage ontbreken.

En tenslotte: zet NIS2 op de agenda van bestuur en auditcommissie. Niet als angstverhaal over boetes, maar als strategisch gesprek over digitale continuïteit, reputatie en vertrouwen. Daar ligt precies de meerwaarde van de internal auditor en risicomanager: scherpe vragen stellen, verbanden leggen en het gesprek verder brengen dan “hebben we dit afgevinkt?”.

 

Tot slot

NIS2 is een stevige zet van Europa om de digitale ruggengraat van economie en samenleving weerbaar te maken, in een tijd waarin cyberaanvallen, geopolitieke spanningen en ketenafhankelijkheden elkaar versterken.

Voor organisaties in kritieke sectoren én voor professionals in audit, risk, control en compliance is NIS2 daarmee vooral een uitnodiging: om cybersecurity niet meer als bijzaak of IT-hobby te zien, maar als volwaardig onderdeel van governance, risicomanagement en strategie.

Juist hier ondersteunt Ferocia organisaties, via opleidingen en training, interim en consultancy en werving & selectie zodat je niet alleen “NIS2-compliant” bent, maar vooral: aantoonbaar digitaal weerbaar, nu én in de toekomst.

 

Neem contact met ons op

Meer weten? Neem dan contact met ons op. Wij helpen je graag verder!

©NFP-250028-378_edited.jpg
©NFP-250028-399_edited.jpg
Foto Guus achtergrond 2_edited_edited_ed
bottom of page