Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Wettelijke naleving > NIS 2-richtlijn: Wat betekent het voor uw bedrijf

NIS 2-richtlijn: Wat betekent het voor uw bedrijf

by Mustafa Kazi updated juli 11, 2025 Wettelijke naleving
Reading Time: 8 minutes

De Network and Information Security Directive (NIS-richtlijn) is een wetgeving die in 2016 door de Europese Unie (EU) is aangenomen om de cyberbeveiliging te verhogen en essentiële diensten en infrastructuur te beschermen tegen cyberbedreigingen. De NIS-richtlijn verplicht EU-lidstaten om een nationaal kader voor netwerk- en informatiebeveiliging op te zetten en bepaalde aanbieders van essentiële diensten (OES) en digitale dienstverleners (DSP’s) aan te wijzen als “kritieke infrastructuur” die aan cyberbeveiligingsnormen moeten voldoen. De richtlijn stelt ook incidentmeldingsvereisten vast en vereist dat lidstaten samenwerken op het gebied van cyberbeveiliging.

Schedule a Demo

Ontwikkeling van de NIS-richtlijn

De NIS-richtlijn was bedoeld om de samenwerking tussen lidstaten te vergroten, een beveiligingscultuur te bevorderen in sectoren die van vitaal belang zijn voor de economie of samenleving, en ervoor te zorgen dat digitale dienstverleners en aanbieders van essentiële diensten voldoen aan de noodzakelijke cyberbeveiligingsvereisten.

Door de snelle digitale transformatie en toenemende cyberbedreigingen was echter meer uitgebreide wetgeving nodig. Dit leidde ertoe dat de Europese Commissie in december 2020 de NIS 2-richtlijn voorstelde.

De NIS 2-richtlijn, een geüpgradede versie van de NIS-richtlijn, is bedoeld om vastgestelde tekortkomingen en inconsistenties aan te pakken, zoals die met betrekking tot de beveiligingsvereisten en het toezicht op belangrijke digitale dienstverleners. Ook wordt het toepassingsgebied uitgebreid naar meer sectoren zoals post- en koeriersdiensten, afvalwaterbeheer, enzovoort, en worden strengere toezichtmaatregelen geïntroduceerd.

De NIS 2-richtlijn heeft daarnaast als doel de beveiligingsverplichtingen van bedrijven verder te harmoniseren, het regelgevend landschap te vereenvoudigen en forumshopping te voorkomen.

In november 2022 kondigde de Europese Unie haar voornemen aan om het toepassingsgebied van de Network and Information Systems (NIS)-richtlijn uit te breiden als oplossing tegen cyberkwetsbaarheden en -bedreigingen. Deze hervormingen, nu aangeduid als NIS 2, zijn gericht op het versterken van de cyberweerbaarheid door uitbestede IT-dienstverleners en managed service providers (MSP’s) toe te voegen aan de huidige dekking van de richtlijn. Zoals verwacht zullen de nieuwe regels gevolgen hebben voor aanbieders van essentiële diensten, zoals energie, zorgprocessen, transport of water, waardoor zij zich aan de regelgeving moeten houden en het risico lopen op boetes tot £17 miljoen in het VK en €10 miljoen of 2% van de wereldwijde omzet in de EU bij niet-naleving.

De formele goedkeuring van NIS 2 vond plaats op 10 november 2022, met de formele publicatie en inwerkingtreding op 16 januari 2023. Dit betekent dat EU-lidstaten binnen 21 maanden na publicatie moeten beginnen met de implementatie. De implementatie moet dus uiterlijk op 17 oktober 2024 zijn afgerond.

Compliance and Certification Table

Kiteworks beschikt over een lange lijst van behaalde compliance- en certificeringsprestaties.

NIS 2-richtlijn: Belangrijkste Wijzigingen

De NIS 2-richtlijn trekt de oorspronkelijke NIS-richtlijn in en creëert een uitgebreider en gestandaardiseerd regelpakket op het gebied van cyberbeveiliging voor organisaties die hun activiteiten binnen de EU uitvoeren. NIS 2 omvat enkele belangrijke wijzigingen, waaronder:

Ruimer Toepassingsgebied voor de NIS 2-richtlijn

Het aantal organisaties dat onder de NIS 2-richtlijn valt, is aanzienlijk toegenomen ten opzichte van de oorspronkelijke NIS-richtlijn. De nieuwe NIS 2-richtlijn definieert specifiek voor welke organisaties de verplichtingen gelden. Door de opname van postdiensten, afvalbeheer, chemische productie en distributie en de landbouw- en voedselsectoren stijgt het aantal sectoren dat door de NIS 2-richtlijn wordt bestreken van 19 naar 35.

Bovendien biedt NIS 2 meer details over welke entiteiten binnen deze sectoren aan de vereisten moeten voldoen. Elke entiteit met meer dan 250 medewerkers en een jaarlijkse omzet van meer dan €50 miljoen en/of een jaarlijkse balans van meer dan €43 miljoen valt onder de richtlijn. In bepaalde gevallen moeten entiteiten ongeacht hun omvang voldoen, zoals aanbieders van openbare elektronische communicatienetwerken.

Versterkte Beveiligingsvereisten in de NIS 2-richtlijn

De NIS 2-richtlijn versterkt de beveiligingsvereisten voor bedrijven door een risicobeheer-aanpak te verplichten en een minimale lijst van basisbeveiligingselementen te bieden die moeten worden toegepast. Daarnaast worden meer specifieke bepalingen geïntroduceerd over het proces van incidentmelding, de inhoud van de rapportages en de timing (d.w.z. binnen 24 uur na ontdekking van het incident).

Meer Samenwerking met de NIS 2-richtlijn

NIS 2 is gericht op het vergroten van de samenwerking door het vergroten van vertrouwen en het faciliteren van informatie-uitwisseling tussen EU-lidstaten en hun gecoördineerd beheer van grootschalige cybercrises op EU-niveau. Dit leidde tot de oprichting van het European Cyber Crisis Liaison Organization Network (EU CyCLONe), dat zich specifiek richt op deze initiatieven op EU-niveau.

Snellere Incidentmelding met de NIS 2-richtlijn

NIS 2 verplicht dat essentiële en kritieke entiteiten hun nationale computer security incident response teams (CSIRTs) of, indien van toepassing, de relevante bevoegde autoriteiten op de hoogte stellen van elk incident dat een grote impact heeft op hun diensten. De te nemen stappen zijn onder meer: binnen 24 uur na kennisname van het incident een vroege waarschuwing sturen, waarin moet worden vermeld of het incident het gevolg kan zijn van kwaadwillige handelingen of een grensoverschrijdend effect kan hebben; binnen 72 uur een incidentmelding sturen met een eerste beoordeling van het incident, de omvang en de gevolgen; indien gevraagd door het CSIRT of de bevoegde autoriteit een tussentijds rapport sturen; en uiterlijk één maand na de melding van het incident een eindrapport sturen met daarin de waarschijnlijke oorzaak van het incident, eventuele genomen mitigerende maatregelen en eventuele grensoverschrijdende gevolgen van het incident.

Handhaving van NIS 2-naleving

EU-lidstaten kunnen een streng handhavingssysteem hanteren, waaronder het recht om inspecties uit te voeren, veiligheidsevaluaties te doen en gegevens en documenten op te vragen. Overtredingen van de NIS 2-richtlijn kunnen leiden tot zware financiële sancties:

  • Tot €10 miljoen of 2% van de totale wereldwijde jaaromzet voor OES (Operator of Essential Services)
  • Tot €10 miljoen of 2% van de totale wereldwijde jaaromzet voor DSP’s (Digital Service Providers)

NIS 2-richtlijn Beperkt Derdenrisico in de Toeleveringsketen

De toeleveringsketen is een belangrijk doelwit van cyberaanvallen. Risicobeheer toeleveringsketen (SCRM) is gericht op het begrijpen en balanceren van de verschillen tussen bestaande beveiligingsmaatregelen, potentiële kwetsbaarheden, regelgevingseisen en bedrijfsdoelstellingen. De NIS 2-richtlijn houdt rekening met dit cyberbeveiligingsrisico door streng risicobeheer van de toeleveringsketen te eisen.

NIS 2-richtlijn Brengt Strengere, Risicogebaseerde Beveiligingsvereisten

Een risicogebaseerde benadering van beveiliging vormt de basis van de nieuwe beveiligingsverplichtingen van de NIS 2-richtlijn. Deze aanpak sluit aan bij andere regelgeving zoals de General Data Protection Regulation (GDPR). Incident response en crisis- en risicobeheer zijn essentieel voor naleving van NIS 2 en vormen de basis voor het implementeren van de beveiligingsmaatregelen uit de richtlijn. Om een hoog beveiligingsniveau bij aanbieders van essentiële diensten te waarborgen, vereist NIS 2 dat relevante organisaties voldoen aan strikte vereisten voor:

  • Het uitvoeren van een risicobeoordeling en het hebben van voldoende informatiebeveiligingsbeleid
  • Het tijdig voorkomen, detecteren en reageren op incidenten
  • Crisismanagement en operationele continuïteit bij een groot cyberincident
  • Het waarborgen van de beveiliging van hun toeleveringsketen
  • Het waarborgen van de beveiliging van hun netwerk- en informatiesystemen
  • Het hebben van beleid en procedures die de effectiviteit van cyberbeveiligingsrisicobeheer beoordelen

Hoe Bedrijven Hun NIS 2-richtlijn Compliance Readiness Kunnen Verbeteren

Bedrijven kunnen hun NIS 2-compliance readiness verbeteren door de volgende maatregelen te implementeren, zoals:

Content-gedefinieerd Zero-trust Model

Zero-trust modellen zijn gebaseerd op het principe “nooit vertrouwen, altijd verifiëren”, waarbij toegang tot het netwerk of systeem van een bedrijf alleen wordt verleend aan geautoriseerde gebruikers. Authenticatiebeleid moet worden geïmplementeerd om ervoor te zorgen dat toegang pas wordt verleend nadat de gebruiker door het systeem is geïdentificeerd via multi-factor authentication (MFA) of een ander verificatieproces. Een content-gedefinieerde zero-trust aanpak moet granulaire toegangscontrolebeleid en logging omvatten, zodat bedrijven hun gevoelige contentcommunicatie kunnen beschermen tegen cyber- en compliance risico’s.

Risicobeheer Cyberbeveiliging

Risicobeheer moet een centraal onderdeel zijn van de beveiligingsstrategie van elke organisatie. Er moeten regelmatig risicobeoordelingen worden uitgevoerd om potentiële bedreigingen of kwetsbaarheden te identificeren. Er moeten ook beleidsmaatregelen en controles worden ingevoerd om geïdentificeerde bedreigingen tegen te gaan. Dit omvat zowel technische oplossingen, zoals firewalls, inbraakdetectiesystemen en antivirus/anti-malwarebescherming, als niet-technische oplossingen zoals beveiligingstrainingen voor medewerkers en procedures om potentiële risico’s te beheren en te monitoren.

Multi-factor Authentication

Multi-factor authentication kan worden gebruikt om een extra beveiligingslaag toe te voegen aan gebruikersauthenticatie. Dit vereist dat gebruikers twee of meer authenticatiefactoren invoeren, zoals een gebruikersnaam en wachtwoord, om toegang te krijgen tot een systeem of bron. Dit is vooral belangrijk voor externe toegang, waarbij een extra verificatieproces, zoals een eenmalige code via sms of e-mail, een extra beveiligingslaag toevoegt.

End-to-End Encryptie

End-to-end encryptie is essentieel voor het beschermen van gevoelige gegevens die worden opgeslagen of verzonden via een netwerk. Dit is een proces waarbij gegevens worden versleuteld, waardoor ze onleesbaar zijn totdat ze met een juiste sleutel worden ontsleuteld. Er zijn diverse encryptie-algoritmen die kunnen worden gebruikt, zoals AES-256 encryptie. Encryptie kan ook worden gebruikt om gegevens te anonimiseren of om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben, bijvoorbeeld via een encryptiesleutel.

Beveiligde Bestandsoverdracht

Dit houdt in dat een beveiligde bestandsoverdracht-oplossing wordt geïmplementeerd om vertrouwelijke gegevens te beschermen tegen het delen met onbevoegden. Dit kan het gebruik van toegangscontrolebeleid omvatten, zodat alleen geautoriseerd personeel toegang heeft tot de gegevens en tools om te monitoren welke medewerkers bestanden delen. Daarnaast kan digital rights management (DRM) worden ingezet om te bepalen wie bestanden kan openen, bewerken en delen, en kan toegang worden beperkt op basis van rollen en gebruikersprofielen.

Beveiligde E-mail

E-mail is vaak het eerste doelwit van social engineering of phishing-aanvallen, dus het is belangrijk om te zorgen dat e-mails veilig zijn en dat gevoelige informatie wordt versleuteld. Beveiligde e-mail-oplossingen kunnen helpen beschermen tegen onbevoegde toegang of onderschepping van berichten, en kunnen encryptie, digitale handtekeningen en andere beveiligingsmaatregelen omvatten.

Security Training en Awareness Programma

Het is essentieel dat medewerkers op de hoogte zijn van de juiste cyberbeveiligingspraktijken en potentiële bedreigingen kunnen herkennen en vermijden. Dit kan worden bereikt via security awareness training-programma’s, met onderwerpen als phishing, social engineering-tactieken en het creëren van sterke wachtwoorden. Daarnaast is het belangrijk dat medewerkers op de hoogte blijven van nieuwe beveiligingsmaatregelen, beste practices en de nieuwste dreigingen.

Netwerkbeveiligingsoplossingen

Firewalls, intrusion prevention systems en antivirus/anti-malwareoplossingen zijn allemaal essentiële onderdelen van een uitgebreide netwerkbeveiligingsoplossing. Firewalls kunnen worden gebruikt om het verkeer dat het systeem binnenkomt en verlaat te controleren en ongeautoriseerde toegang te voorkomen. Inbraakdetectiesystemen kunnen kwaadaardige activiteiten detecteren, zoals malware, dataverlies en hackpogingen, en beheerders waarschuwen. Antivirus/anti-malwareoplossingen beschermen tegen schadelijke software die mogelijk op het systeem aanwezig is. Daarnaast moet een effectieve beveiligingsstrategie ook regelmatige systeem- en netwerkscans, applicatiepatching, monitoring en testen omvatten.

Kiteworks Ondersteunt Bedrijven Met een NIS 2-richtlijn Conform Private Content Network

Kiteworks helpt organisaties om NIS 2-richtlijn naleving aan te tonen. Hoe? Het Kiteworks Private Content Network biedt het hoogste niveau van zichtbaarheid en controle over hun gevoelige content, inclusief waar deze wordt opgeslagen, wie er toegang toe heeft en met wie deze wordt gedeeld. Samen helpen deze mogelijkheden om te voldoen aan de strenge vereisten van de NIS 2-richtlijn. Het Kiteworks-platform doet dit via:

Naleving van Informatiebeveiligingsbeleid Afdwingen

Kiteworks stelt klanten in staat om beveiligingsbeleid te standaardiseren over e-mail, bestandsoverdracht, mobiel, MFT, SFTP en meer, met de mogelijkheid om granulaire beleidscontroles toe te passen ter bescherming van wet bescherming persoonsgegevens 2018. Beheerders kunnen rolgebaseerde machtigingen voor externe gebruikers definiëren, waardoor NIS 2-naleving consistent wordt afgedwongen over communicatiekanalen.

Ondersteuning van Bedrijfscontinuïteit

Behoud nauwkeurige gegevens van alle activiteiten en technische data met gebruiksvriendelijke trackingweergaven, zodat logs kunnen dienen om zowel datalekken te onderzoeken als bewijs van naleving te leveren tijdens audits. In het geval van een datalek kan een organisatie precies zien wat er is geëxfiltreerd, zodat direct kan worden gestart met disaster recovery en de dagelijkse bedrijfsvoering kan worden voortgezet met behoud van compliance.

Definiëren en Afdwingen van Basis Cyberhygiënepraktijken

ISO heeft gevalideerd dat Kiteworks uw gevoelige content effectief beschermt tegen cyberrisico (ISO 27001), ook wanneer het als clouddienst wordt ingezet (ISO 27017), en uw organisatie beschermt tegen schadelijke lekken van persoonlijk identificeerbare informatie (PII) zoals gevalideerd door ISO 27018. Daarnaast beschikt Kiteworks over een bibliotheek van compliance-certificeringen, waaronder SOC 2 compliant en SOC 2 gecertificeerd. Deze certificeringen, samen met de single-tenant architectuur en meerlaagse hardening, bevestigen het vermogen van Kiteworks om contentrisico te beperken met het content management systeem en uw basis cyberhygiënepraktijken binnen NIS 2-naleving te houden.

Content Beschermen met Encryptie

Zorg voor encryptie op volume- en bestandsniveau van alle content in rust (met AES-256 encryptie) en TLS-encryptie tijdens transport om content te beschermen tegen onbevoegde toegang, gegevenscorruptie en malware. Flexibele encryptie stelt klanten in staat om gebruik te maken van de end-to-end encryptie van Kiteworks en te koppelen aan partners met andere standaarden zoals OpenPGP, S/MIME en TLS. De beveiligde e-mail van Kiteworks biedt encryptie en uniforme beveiligingscontroles met een Email Protection Gateway (EPG) die ervoor zorgt dat alleen geauthenticeerde gebruikers berichten kunnen lezen. 

Toegangscontrolebeleid en Asset Management Invoeren

Kiteworks-beheerders stellen granulaire controles in om gevoelige content te beschermen en compliancebeleid af te dwingen, zodat bedrijfseigenaren eenvoudig content, mappen, uitnodigingen en toegangscontroles kunnen beheren om NIS 2-naleving van alle content te waarborgen. Toegangscontrole kan verder worden beheerd binnen compliance met geofencing, app-inschakeling, filtering op bestandstype en controle op e-maildoorsturing.

Kiteworks biedt diverse functies om naleving van informatiebeveiligingsbeleid af te dwingen, incidenten efficiënt af te handelen, bedrijfscontinuïteit te ondersteunen, kwetsbaarheden in ontwikkeling en onderhoud te beheren, basis cyberhygiënepraktijken te definiëren en af te dwingen, content te beschermen met encryptie, toegangscontrolebeleid en asset management te implementeren en gebruikers te verifiëren met multi-factor authentication. Deze functies stellen organisaties in staat om beveiligingsincidenten te detecteren en erop te reageren, kwetsbaarheden te beheren en te voldoen aan de NIS 2-vereisten.

Bedrijven in de hele EU die hun traject naar NIS 2-richtlijn naleving willen starten, kunnen een aangepaste demo plannen om meer te weten te komen over het Kiteworks-platform.

Aanvullende Bronnen

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks