NIS2 verplichtingen

NIS2 zorgplicht, welke maatregelen verplicht zijn

Laatst bijgewerkt: 12 mei 2026Leestijd: 8 minDoor URL.nl Redactie

TL;DR

De zorgplicht onder NIS2 verplicht aangewezen organisaties tot passende technische, operationele en organisatorische maatregelen voor risicobeheer. De richtlijn benoemt tien concrete maatregelgebieden, van risicoanalyse en incident handling tot multifactorauthenticatie en leveranciersbeleid. Proportionaliteit betekent dat de invulling past bij de omvang en het risicoprofiel, maar alle tien gebieden moeten aantoonbaar zijn ingericht. Documentatie en bestuurlijke goedkeuring zijn de bewijslast. Wie ISO 27001 volgt, heeft een sterke basis maar is er nog niet vanzelf.

Wat is de zorgplicht

De zorgplicht is het hart van NIS2. Artikel 21 van de richtlijn verplicht entiteiten tot passende en evenredige technische, operationele en organisatorische maatregelen om risico's voor de beveiliging van netwerk- en informatiesystemen te beheersen, én om de gevolgen van incidenten te beperken. Anders dan eerdere kaders schrijft NIS2 expliciet tien maatregelgebieden voor, die als minimum gelden.

De tien NIS2-maatregelen

Risicobeheer. Beleid voor risicoanalyse en informatiebeveiliging, periodiek herzien.
Incident handling. Detectie, respons, herstel en evaluatie van beveiligingsincidenten.
Bedrijfscontinuïteit en crisismanagement. Back-upbeheer, disaster recovery, geteste herstelplannen.
Beveiliging van de toeleveringsketen. Risicoanalyse en contractuele eisen voor leveranciers en dienstverleners.
Veiligheid bij aanschaf, ontwikkeling en onderhoud. Secure development, kwetsbaarheidsbeheer en patching.
Beleid voor effectiviteit van maatregelen. Metrics en periodieke beoordeling of maatregelen daadwerkelijk werken.
Basisbeveiligingshygiëne en training. Awareness-cyclus voor alle medewerkers, met aantoonbare resultaten.
Cryptografie en encryptie. Beleid voor versleuteling in rust en in transit, sleutelbeheer.
Personeelsbeveiliging en toegangsbeheer. Screening, rolgebaseerde toegang, periodieke review.
Multifactorauthenticatie en beveiligde communicatie. MFA voor remote toegang en beheeraccounts, beveiligde communicatie en noodcommunicatie.

Bekijk ook de bredere context op de NIS2-pagina.

Proportionaliteit

NIS2 gebruikt het woord passend en evenredig. Dat betekent niet dat een kleine organisatie maatregelen mag overslaan, maar wel dat de zwaarte van de invulling rekening houdt met:

Omvang en complexiteit van de organisatie
Aard van de geleverde diensten en hun maatschappelijke impact
De stand van de techniek en wat in de sector gebruikelijk is
De kosten van invoering in verhouding tot het risico

In de praktijk: alle tien gebieden moeten zijn ingericht, maar de manier waarop kan variëren. De toezichthouder beoordeelt of je keuzes navolgbaar en aantoonbaar zijn.

Documentatie en bewijslast

Zorgplicht zonder documentatie is geen zorgplicht. Toezichthouders willen kunnen zien dat maatregelen daadwerkelijk zijn ingericht, getest en herzien. Een werkbaar minimum:

Informatiebeveiligingsbeleid, goedgekeurd door het bestuur
Risicoregister met eigenaren, maatregelen en review-data
Incident response plan met meldroutes en escalaties
Asset register en leveranciersregister
Logboek van bestuurlijke besluiten over cybersecurity
Bewijs van uitgevoerde trainingen, scans, pentest en oefeningen

Leveranciers en keten

Maatregel 4 verdient bijzondere aandacht. Een groot deel van de incidenten komt via de toeleverketen binnen. NIS2 verwacht een aantoonbaar proces:

Inventarisatie van leveranciers met toegang tot systemen of data
Risicoclassificatie per leverancier
Contractuele eisen rondom incidentmelding, audit, encryptie en exit
Periodieke heroverweging van kritieke leveranciers

Bestuurlijke verankering

Het bestuur keurt de risicomaatregelen goed, ziet toe op de uitvoering en is verplicht bijgeschoold te worden op cybersecurity. Bestuurlijke verantwoordelijkheid is niet symbolisch: bij ernstige tekortkomingen kan een toezichthouder een bestuurder tijdelijk verbieden om leidinggevende functies te bekleden.

Veelgemaakte vergissingen

Alleen technische maatregelen treffen, zonder beleid of governance
Beleid op papier zonder bewijs dat het wordt nageleefd
Awareness als eenmalige training in plaats van cyclus
Geen geteste back-ups, waardoor herstel in een echt incident vastloopt
Leveranciersrisico buiten scope laten
Geen bestuurlijke rapportage en daardoor geen aantoonbaar toezicht

Praktische aanpak

Een werkbaar zorgplicht-traject bestaat uit vier stappen.

Nulmeting tegen de tien maatregelen, met scores en prioriteiten
Gericht actieplan voor de grootste gaten, gekoppeld aan bestuurlijke goedkeuring
Implementatie en documentatie, in één centraal dossier
Doorlopende monitoring, periodieke scans, jaarlijkse pentest en bestuursrapportage

URL.nl voert deze aanpak uit met onze cybersecurity partners. Bekijk de losse diensten of plan een intake.

Deze informatie is bedoeld als praktische uitleg en vormt geen juridisch advies. Controleer altijd de actuele wetgeving en raadpleeg waar nodig een juridisch adviseur of toezichthouder.

Veelgestelde vragen

Wij hebben ISO 27001. Zijn we klaar?

Een grote stap vooruit, maar niet automatisch. NIS2 vraagt aanvullend om expliciete bestuurlijke verankering, een meldroute met strakke termijnen en specifieke aandacht voor de toeleverketen. Een gap-analyse wijst het verschil snel uit.

Geldt MFA echt voor alles?

MFA is verplicht voor remote toegang en voor beheeraccounts. Voor reguliere accounts is het sterk aangeraden, vooral bij toegang tot kritieke systemen.

Hoe vaak moet de zorgplicht herzien worden?

Minimaal jaarlijks, en na elk significant incident of grote wijziging in de organisatie of techniek.

Officiële bronnen

Verder lezen: NIS2 meldplicht, NIS2 registratieplicht, NIS2 hub.

Laatst bijgewerkt op 12 mei 2026 door de URL.nl Redactie.