NIS2-implementatie bij de Nederlandse overheid: wat moet je nu doen?

De Europese NIS2-richtlijn (EU 2022/2555) is in Nederland geïmplementeerd via de herziene Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze wet breidt de scope van de vorige Wbni aanzienlijk uit en treft nu vrijwel alle overheidsorganisaties.

Wie valt eronder? • Rijksoverheid (ministeries, uitvoeringsorganisaties) • Provincies • Gemeenten • Waterschappen • Samenwerkingsverbanden en gemeenschappelijke regelingen • ZBO’s en RWT’s

De wet maakt onderscheid tussen "essentiële entiteiten" en "belangrijke entiteiten." Gemeenten en waterschappen vallen typisch onder essentiële entiteiten vanwege hun rol in de levering van essentiële diensten.

Belangrijke verschillen met de oude Wbni: • Persoonlijke aansprakelijkheid van bestuurders • Boetes tot €10 miljoen of 2% van de jaaromzet • Verplichte meldtermijnen (24 uur / 72 uur / 1 maand) • Uitgebreidere eisen aan risicobeheer en ketenbeheer • Toezicht door de Rijksinspectie Digitale Infrastructuur (RDI)

De Wbni vertaalt de NIS2-eisen naar 10 concrete verplichtingen voor overheidsorganisaties:

1. Risicoanalyse en informatiebeveiligingsbeleid: Documenteer je risicobeoordeling en onderhoud een actueel beveiligingsbeleid. Review minimaal jaarlijks.

2. Incidentafhandeling: Richt een incident response proces in met duidelijke rollen, escalatiepaden en communicatielijnen.

3. Bedrijfscontinuïteit en crisisbeheer: Onderhoud en test je bedrijfscontinuïteitsplan. Documenteer RTO en RPO per kritiek systeem.

4. Beveiliging van de toeleveringsketen: Beoordeel de beveiligingshouding van alle ICT-leveranciers. Leg beveiligingseisen contractueel vast.

5. Beveiliging bij verwerving, ontwikkeling en onderhoud: Implementeer kwetsbaarheidsbeheer. Patch kritieke kwetsbaarheden binnen 72 uur.

6. Beoordeling van de effectiviteit van maatregelen: Voer interne audits uit. Plan minimaal jaarlijks een penetratietest. Volg bevindingen op.

7. Cyberhygiëne en beveiligingsbewustzijn: Verplichte security awareness training voor alle medewerkers. Phishing-simulaties per kwartaal.

8. Beleid inzake cryptografie: Versleutel data at rest en in transit. Documenteer sleutelbeheer. Gebruik minimaal TLS 1.2.

9. Personeelsbeveiliging en toegangsbeheer: Pas het minst-privilege-principe toe. Review toegangsrechten per kwartaal. Onderhoud een actuele assetregistratie.

10. Multi-factor authenticatie: Verplicht MFA voor alle beheerdersaccounts, VPN-toegang en clouddiensten.

De goede nieuws voor overheidsorganisaties die al werken met de BIO (Baseline Informatiebeveiliging Overheid) of ISO 27001: er is aanzienlijke overlap.

BIO en Wbni: De BIO is gebaseerd op ISO 27001/27002 en dekt een groot deel van de Wbni-eisen. Organisaties die op BBN2-niveau werken hebben een sterke basis. De Wbni voegt echter specifieke eisen toe rondom: • Meldplicht met strakke termijnen • Persoonlijke bestuursaansprakelijkheid • Ketenbeheer (supply chain security) • Toezicht en handhaving

ISO 27001 en Wbni: Een ISO 27001-certificering dekt veel van de Wbni-eisen, maar is op zichzelf niet voldoende. Specifiek moet je aanvullend aantonen dat je voldoet aan de meldplicht en dat je bestuur actief betrokken is.

Praktisch advies: Gebruik de BIO als je primaire controlekader. Map de aanvullende Wbni-eisen als extra controls. Dit voorkomt dubbel werk en maakt gebruik van bestaande processen en documentatie.

Gatekeeper’s compliance module ondersteunt zowel BIO als NIS2/Wbni en toont automatisch waar de overlap zit en welke aanvullende maatregelen nodig zijn.

Als je organisatie nog niet begonnen is met de Wbni-implementatie, focus dan op deze prioriteiten:

Week 1–2: Bewustwording en mandaat • Informeer het bestuur over de Wbni-verplichtingen en persoonlijke aansprakelijkheid • Verkrijg mandaat en budget voor implementatie • Stel een projectleider aan

Week 3–4: Inventarisatie en gap-analyse • Breng je volledige ICT-landschap in kaart met geautomatiseerde discovery • Map je huidige maatregelen tegen de 10 kernverplichtingen • Identificeer en prioriteer gaps

Week 5–8: Quick wins • Implementeer MFA overal waar dit nog ontbreekt • Zet gecentraliseerde logging en monitoring op • Stel een incident response plan op met meldtemplates • Documenteer je risicoanalyse

Week 9–16: Structurele verbeteringen • Implementeer netwerksegmentatie • Deploy kwetsbaarheidsbeheer en patchmanagement • Voer leveranciersbeoordelingen uit • Start security awareness programma

Week 17–24: Audit-gereedheid • Voer interne audit uit • Laat penetratietest uitvoeren • Organiseer tabletop-exercitie • Bereid bewijspakketten voor

Dit is een ambitieus maar haalbaar schema. De sleutel is starten met geautomatiseerde tools zodat je niet verzandt in handmatige processen.

Wanneer moet ik compliant zijn? De Wbni is per direct van kracht. Organisaties die nog niet voldoen lopen risico op handhaving door de RDI. Begin vandaag.

Wat als ik al BIO-compliant ben? Dan heb je een sterke basis, maar je moet aanvullend de meldplicht inrichten, bestuursaansprakelijkheid formaliseren en ketenbeheer documenteren.

Wie houdt toezicht? De Rijksinspectie Digitale Infrastructuur (RDI) houdt toezicht op de naleving van de Wbni. Ze kunnen audits uitvoeren en sancties opleggen.

Kunnen we dit uitbesteden? Je kunt de uitvoering uitbesteden, maar de verantwoordelijkheid blijft bij je eigen organisatie. Het bestuur blijft persoonlijk aansprakelijk.

Hoe bewijs ik compliance? Door een combinatie van documentatie (beleid, procedures, risicoanalyses), technisch bewijs (patchstatus, logbestanden, scanrapporten) en procesmatig bewijs (trainingsregistraties, auditverslagen, incidentrapportages). Automatisering is essentieel om dit beheersbaar te houden.