De NIS2-zorgplicht verplicht organisaties om passende technische, operationele en organisatorische maatregelen te nemen om de risico’s voor hun netwerk- en informatiesystemen te beheersen. De kern staat in art. 21 van de NIS2-richtlijn, dat tien categorieën maatregelen voorschrijft — van risicoanalyse en incidentafhandeling tot ketenbeveiliging, cryptografie en meervoudige authenticatie. In dit artikel loop ik die tien maatregelen langs, telkens met een implementatienotitie voor de Nederlandse praktijk en de overlap met art. 32 AVG, zodat u geen dubbel werk doet. De zorgplicht geldt gelijk voor essentiële en belangrijke entiteiten; het bestuur is er persoonlijk verantwoordelijk voor.
Key Takeaways
- Art. 21 NIS2 schrijft tien categorieën beveiligingsmaatregelen voor, gebaseerd op een risicogebaseerde aanpak.
- De maatregelen gelden gelijk voor essentiële en belangrijke entiteiten.
- Ketenbeveiliging (leveranciers) is expliciet onderdeel van de zorgplicht — een nieuw accent ten opzichte van de oude wet.
- Het bestuur moet de maatregelen goedkeuren, erop toezien en een opleiding volgen; het is persoonlijk aansprakelijk.
- Veel maatregelen overlappen met artikel 32 AVG — benut die overlap.
De risicogebaseerde kern van artikel 21
Art. 21 NIS2 schrijft geen dichtgetimmerde checklist voor, maar een risicogebaseerde aanpak: de maatregelen moeten in verhouding staan tot de risico’s, de stand van de techniek en de omvang van uw organisatie. Dat betekent dat u begint met een risicoanalyse en van daaruit maatregelen kiest en documenteert. De aantoonbaarheid — kunnen laten zien dát en waaróm u iets hebt gedaan — is minstens zo belangrijk als de maatregel zelf. Dit is dezelfde logica als de verantwoordingsplicht onder de AVG.
De Nederlandse omzetting loopt via de Cyberbeveiligingswet; het bredere kader beschrijven we in NIS2-richtlijn: omzetting in Nederland. Of u onder de zorgplicht valt, hangt af van uw classificatie als essentiële of belangrijke entiteit.
De tien verplichte maatregelen
| # | Maatregel (art. 21 lid 2) | Implementatienotitie |
|---|---|---|
| 1 | Risicoanalyse en informatiebeveiligingsbeleid | Startpunt; jaarlijks actualiseren |
| 2 | Incidentafhandeling | Detectie, respons, meldproces |
| 3 | Bedrijfscontinuïteit en crisisbeheer | Back-ups, herstelplannen, RTO/RPO |
| 4 | Beveiliging van de toeleveringsketen | Leverancierseisen en -contracten |
| 5 | Beveiliging bij verwerving en ontwikkeling | Security by design in ICT-inkoop |
| 6 | Meten van effectiviteit | Audits, tests, KPI’s |
| 7 | Cyberhygiëne en training | Awareness voor alle medewerkers |
| 8 | Cryptografie en encryptie | Beleid voor versleuteling |
| 9 | Toegangsbeheer en assetmanagement | Least privilege, inventaris |
| 10 | Meervoudige authenticatie (MFA) | MFA en beveiligde communicatie |
1. Risicoanalyse en beveiligingsbeleid
Alles begint hier. Zonder een actueel beeld van uw risico’s kunt u de overige negen maatregelen niet proportioneel invullen. Leg het beleid vast en laat het door het bestuur vaststellen.
2. Incidentafhandeling
U moet incidenten kunnen detecteren, erop reageren en ze binnen de wettelijke termijnen melden. De concrete meldcascade (24u/72u/1 maand) staat in onze gids NIS2-meldplicht: incidenten melden.
3. Bedrijfscontinuïteit
Back-upbeheer, hersteltests en crisisplannen. Ransomware is de dominante dreiging; een getest herstelproces is uw belangrijkste vangnet.
4. Ketenbeveiliging
Dit is het meest onderschatte onderdeel. NIS2 rekent u af op de beveiliging van uw leveranciers. Stel eisen in contracten en beoordeel het beveiligingsniveau van kritieke toeleveranciers. Dit sluit direct aan op de verwerkersovereenkomst onder artikel 28 AVG.
5. Veilige ontwikkeling en verwerving
Bouw beveiliging in bij inkoop en ontwikkeling van ICT — niet achteraf. Voor eigen software geldt hetzelfde principe als privacy by design.
6. Effectiviteit meten
Beleid zonder toetsing is papier. Voer audits en (penetratie)tests uit en leg de resultaten vast als bewijs richting de toezichthouder.
7. Cyberhygiëne en training
Basismaatregelen (patchen, wachtwoordbeleid) plus bewustwording voor álle medewerkers. De mens blijft de meest gebruikte ingang.
8. Cryptografie
Een beleid voor versleuteling van gegevens in rust en in transit. Encryptie is ook onder art. 32 AVG een genoemde maatregel.
9. Toegangsbeheer en assets
Least privilege, een actuele asset-inventaris en offboarding-procedures. U kunt niet beveiligen wat u niet in kaart hebt.
10. Meervoudige authenticatie
MFA op kritieke systemen en beveiligde spraak-, video- en tekstcommunicatie. Een van de meest kosteneffectieve maatregelen tegen accountovername.
De bestuurdersverplichting
NIS2 legt de verantwoordelijkheid expliciet bij het bestuur (art. 20). Bestuurders moeten de maatregelen goedkeuren, erop toezien én zelf een opleiding volgen over risicobeheer. Bij nalatigheid kunnen zij persoonlijk aansprakelijk worden gehouden. Dit tilt cybersecurity van de IT-afdeling naar de bestuurstafel — documenteer de goedkeuring daarom aantoonbaar.
Aantoonbaarheid: het bewijs telt
Een terugkerend misverstand is dat het treffen van een maatregel volstaat. Onder NIS2 telt de aantoonbaarheid minstens zo zwaar. De toezichthouder — in Nederland naar verwachting de Rijksinspectie Digitale Infrastructuur (RDI) — toetst niet alleen óf u een maatregel hebt, maar of u kunt laten zien dat die is afgeleid uit uw risicoanalyse, is goedgekeurd door het bestuur en periodiek wordt getoetst. Praktisch betekent dit: leg per maatregel vast waarom u die hebt gekozen, wie er verantwoordelijk voor is, wanneer die voor het laatst is getest en welke resultaten dat opleverde.
Het NCSC publiceert handreikingen die helpen om de tien maatregelen concreet in te vullen; die vormen een praktisch startpunt, maar ontslaan u niet van de eigen risicoafweging. Bouw uw documentatie zo op dat een externe auditor binnen een dag een compleet beeld krijgt van uw risicobeeld, uw maatregelen en de bestuurlijke goedkeuring. Een organisatie die de maatregelen wél treft maar niet kan aantonen, staat bij een controle alsnog met lege handen.
Benut de overlap met de AVG
Wie al voldoet aan artikel 32 AVG heeft een flinke voorsprong: risicoanalyse, encryptie, toegangsbeheer en incidentrespons komen in beide regimes terug. Het verschil is de scope — NIS2 kijkt naar de weerbaarheid van systemen en de keten, de AVG naar persoonsgegevens — en de meldketen. Beheer beide daarom in één register in plaats van twee losse trajecten. Een platform zoals Legiscope kan die gedeelde documentatie- en governancelaag afdekken, zodat u niet twee keer hetzelfde vastlegt. Voor de concrete toolkeuze verwijzen we naar onze gids over NIS2 compliance software voor Nederland.
FAQ
Wat houdt de NIS2-zorgplicht precies in?
De zorgplicht (art. 21 NIS2) verplicht u passende technische, operationele en organisatorische maatregelen te nemen om de risico’s voor uw netwerk- en informatiesystemen te beheersen. Art. 21 noemt tien categorieën, van risicoanalyse tot MFA en ketenbeveiliging, in te vullen naar rato van uw risico en omvang.
Gelden de tien maatregelen ook voor belangrijke entiteiten?
Ja. De zorgplicht is inhoudelijk gelijk voor essentiële en belangrijke entiteiten. Het verschil tussen beide categorieën zit uitsluitend in de intensiteit van het toezicht en de hoogte van de boetes, niet in de maatregelen zelf.
Is ISO 27001 genoeg om aan de NIS2-zorgplicht te voldoen?
ISO 27001 vult de meeste NIS2-beveiligingseisen in en is de meest praktische norm voor aantoonbaarheid. Maar NIS2 stelt aanvullende eisen — met name de registratie- en meldplicht bij de Nederlandse autoriteiten en de expliciete bestuurdersverantwoordelijkheid — die een ISMS niet automatisch afdekt.
Wat is de rol van het bestuur onder de zorgplicht?
Het bestuur moet de maatregelen goedkeuren, erop toezien en een opleiding over risicobeheer volgen (art. 20 NIS2). Bij nalatigheid is het bestuur persoonlijk aansprakelijk. Documenteer de goedkeuring en het toezicht daarom aantoonbaar.
Hoe verhoudt de zorgplicht zich tot artikel 32 AVG?
Sterk overlappend. Risicoanalyse, encryptie, toegangsbeheer en incidentrespons komen in beide regimes voor. Het verschil is de scope (systemen en keten vs persoonsgegevens) en de meldketen. Benut de overlap door beide in één governance-aanpak te beheren.
Conclusie
De NIS2-zorgplicht draait om tien categorieën maatregelen uit art. 21, ingevuld naar rato van uw risico’s en aantoonbaar vastgelegd. Ketenbeveiliging en de persoonlijke bestuurdersverantwoordelijkheid zijn de nieuwe accenten; de rest overlapt sterk met wat u onder art. 32 AVG al zou moeten doen. Begin bij de risicoanalyse, verankert de goedkeuring bij het bestuur, en beheer NIS2 en de AVG in één register om dubbel werk te voorkomen.
Zie ook: de Wet bescherming klokkenluiders.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial