NIS2 Lees onze nieuwste inzichten over digitaal bestuur en cybersecurity

  • Home
  • Construction
  • NIS2 Lees onze nieuwste inzichten over digitaal bestuur en cybersecurity

Lees onze nieuwste inzichten over digitaal bestuur en cybersecurity.

Cybersecurity is niet langer slechts een technisch vraagstuk. In het nieuwe Europese regelgevings landschap is het een fundamentele pijler geworden van compliance en governance. 

Richtlijn (EU) 2022/2555, beter bekend als NIS2, vertegenwoordigt de belangrijkste Europese hervorming op het gebied van netwerk- en informatiesystemenbeveiliging sinds Richtlijn (EU) 2016/1148 (NIS1). Het markeert een keerpunt voor alle organisaties die direct of indirect afhankelijk zijn van digitale diensten, technologische infrastructuren of datagedreven kritieke processen. 

Hoewel NIS2 geen juridisch instrument is dat specifiek gericht is op de bescherming van persoonsgegevens, zoals het geval is bij de Algemene Verordening Gegevensbescherming (AVG), is de impact ervan op de privacy onmiskenbaar. De reden is simpel: waar de cybersecurityverplichtingen toenemen, nemen ook de garanties voor gegevensbescherming toe, omdat beveiligingsincidenten bijna altijd privacy-incidenten worden. Bovendien benadrukt de richtlijn in haar overwegingen dat de toepassing ervan geen invloed heeft op de bevoegdheden van toezichthoudende instanties voor gegevensbescherming en privacy, wat betekent dat beide kaders naast elkaar moeten bestaan en elkaar moeten versterken. 

In Spanje is de transpositie nog in behandeling. Het ontwerpwetsontwerp over de coördinatie en governance van cybersecurity, goedgekeurd door de Raad van Ministers in januari 2025, legt de basis voor het toekomstige nationale cyberbeveiligingssysteem en zal het belangrijkste instrument zijn voor de uitvoering van NIS2. Hoewel wetgevingsproces nog loopt, bepaalt de Europese standaard al de richting: risicobeheer, actieve supervisie, cyberweerbaarheid en versterkte controle op leveranciers. 

Beveiliging: de juridische brug tussen NIS2 en de AVG

Zowel de AVG als NIS2 zijn gebaseerd op hetzelfde kernprincipe: beveiliging is geen optionele eis of technische toevoeging, maar een essentiële wettelijke verplichting die moet worden aangepast aan het risiconiveau. 

Volgens de AVG vereist Artikel 32 dat organisaties “passende technische en organisatorische maatregelen” implementeren, rekening houdend met factoren zoals de stand van de techniek, de implementatiekosten, de aard van de verwerking en de risico’s voor de rechten en vrijheden van individuen. Deze op verantwoording gebaseerde aanpak vereist dat organisaties dreigingen anticiperen, falen voorkomen en naleving aantonen. 

NIS2 versterkt en specificeert deze benadering. Artikel 21 vereist dat essentiële en belangrijke entiteiten technische, operationele en organisatorische maatregelen nemen die proportioneel zijn aan het risico en vermeldt een minimale reeks elementen die moeten worden aangepakt: risicoanalyse en informatiebeveiligingsbeleid, incidentafhandeling, bedrijfscontinuïteit en rampenherstel, beveiliging van de toeleveringsketen, kwetsbaarheidsbeheer, encryptiebeleid, cyberhygiënemaatregelen en training, multifactorauthenticatie en toegangscontroles. 

Als gevolg hiervan zal elk cyberbeveiligingsincident dat de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens in gevaar brengt, in principe een “datalek” vormen in de zin van de AVG, zelfs als het niet altijd aan kennisgeving onderworpen is. Als bijvoorbeeld een ransomware-aanval de systemen van een ziekenhuis verlamt, is het incident relevant onder NIS2 vanwege de impact op de continuïteit van zorg, maar het kan ook een GDPR-schending vormen als medische dossiers worden versleuteld of ontoegankelijk gemaakt. 

In dergelijke gevallen zal de gegevensbeschermingsautoriteit beoordelen of de beveiligingsmaatregelen passend waren onder Artikel 32 van de AVG. Het is redelijk te verwachten dat NIS2-normen als relevante maatstaf zullen dienen, zelfs wanneer de richtlijn formeel niet van toepassing is op de getroffen organisatie, aangezien zij het verwachte zorgvuldigheidsniveau op Europees niveau vastleggen. 

Meer gereguleerde sectoren: meer risico... en meer data op het spel

Een van de belangrijkste veranderingen die NIS2 introduceerde, is de uitbreiding van de scope ten opzichte van het kader dat door NIS1 is vastgesteld. Annexen I en II voegen nieuwe essentiële en belangrijke sectoren toe, waaronder onder andere: digitale infrastructuur, energie, transport, bank- en financiële marktinfrastructuren, gezondheidszorg, drinkwater en afvalwater, openbaar bestuur, post- en koeriersdiensten, afvalverwerking, kritieke activiteiten in de voedingssector, bepaalde industriële sectoren en digitale dienstverleners (zoals clouddiensten, hosting en bepaalde online platforms). 

Deze uitbreiding heeft een directe impact op de privacy. Veel van deze sectoren verwerken enorme hoeveelheden persoonlijke gegevens—vaak zeer gevoelig—zijn afhankelijk van kritieke systemen of bieden diensten waarvan de onbeschikbaarheid kan leiden tot datalekken en ernstige schade aan gebruikers. Bijvoorbeeld, een openbaarvervoerbedrijf dat zijn wagenpark digitaliseert, verwerkt locatiegegevens met betrekking tot werknemers en gebruikers; als een cyberaanval de dienst verstoort, beïnvloedt het incident zowel de operationele continuïteit (NIS2) als de bescherming van persoonsgegevens (AVG). 

Bijgevolg geldt: hoe groter het gereguleerde digitale oppervlak, hoe groter de verplichting om de beveiliging te versterken, en dus hoe beter de bescherming tegen incidenten die de privacy in gevaar brengen. De naleving van de AVG zal steeds meer afhangen van afstemming met de cybersecuritystandaarden die door NIS2 zijn vastgesteld, vooral voor organisaties die essentiële of belangrijke diensten leveren binnen de betekenis van de Richtlijn. 

Incidentmelding: twee kaders, één responssysteem

NIS2 stelt een strikt, gefaseerd en veeleisend incidentmeldingsregime vast. Artikel 23 introduceert een meldingsplicht in drie fasen voor significante incidenten: 

  • een vroege waarschuwing binnen maximaal 24 uur vanaf het moment dat de entiteit op de hoogte wordt van het incident; 
  • een meer volledige melding binnen maximaal 72 uur, inclusief een eerste beoordeling van ernst, impact en mogelijke indicatoren van compromittering; 
  • een eindrapport binnen één maand na de eerste kennisgeving, met een gedetailleerde analyse van oorzaken, impact en herstelmaatregelen, met tussentijdse rapporten waar nodig. 

Dit systeem is ontworpen om vroegtijdige detectie te garanderen van significante incidenten die de continuïteit van de dienst of de beveiliging van netwerken en informatiesystemen beïnvloeden. 

De interactie tussen dit meldingsregime en de meldingsverplichtingen van de AVG is direct. Wanneer persoonsgegevens worden getroffen, moet de organisatie beoordelen of aan de vereisten van de artikelen 33 en 34 van de AVG wordt voldaan, waaronder kennisgeving aan de toezichthoudende autoriteit binnen 72 uur en, waar van toepassing, communicatie aan getroffen personen wanneer er een hoog risico is voor hun rechten en vrijheden. 

Als bijvoorbeeld de cloudprovider van een school een inbreuk ondervindt waardoor diensten tijdelijk worden uitgeschakeld en studentengegevens worden blootgesteld, kan het incident onder NIS2 vallen voor de provider zelf, terwijl het voor de school alleen GDPR-implicaties heeft. De onderwijsinstelling moet de inbreuk beoordelen op grond van de artikelen 33 en 34 van de AVG, terwijl de aanbieder—indien binnen de reikwijdte van NIS2—zijn eigen meldingsverplichtingen heeft aan de bevoegde autoriteit. 

Dit betekent dat teams voor cyberbeveiliging, gegevensbescherming en business continuity moeten opereren volgens een geïntegreerde procedure die in staat is om: 

  • het beoordelen van de aard en omvang van het incident; 
  • bepalen of het een NIS2-incident is, een GDPR-incident, of beide; 
  • het documenteren van incidentbeheer en genomen beslissingen; 
  • het activeren van de relevante meldingen binnen de vereiste termijnen; 
  • het waarborgen van consistentie tussen communicatie met de CSIRT of de bevoegde NIS2-autoriteit en met de Spaanse Gegevensbeschermingsautoriteit. 

Kennisgeving wordt daardoor een kernonderdeel van naleving. Een organisatie die niet kan aantonen dat ze incidenten kan detecteren, rapporteren en erop reageren, zal zowel de geest van NIS2 als de beveiligings- en meldingsverplichtingen van de AVG tekortschieten. 

De toeleveringsketen: verder dan de AVG

Als er één gebied is waarop NIS2 een kwalitatieve sprong vertegenwoordigt, dan is het de regulering van leveranciers en de toeleveringsketen. De richtlijn vereist dat essentiële en belangrijke organisaties  de beveiliging van de toeleveringsketen integreren in hun risicobeheermaatregelen, inclusief relaties met directe ICT-product- en dienstverleners, en versterkt deze aanpak door gecoördineerde beoordelingen van kritieke toeleveringsketens op EU-niveau. 

De AVG regelt de rol van de verwerker in Artikel 28 en vereist contracten die een adequaat niveau van beveiliging en verwerking garanderen in overeenstemming met instructies. 

NIS2 gaat echter verder. Het beperkt zich niet tot bescherming van persoonsgegevens, maar vereist een bredere beoordeling van cyberbeveiligingsrisico’s die samenhangen met kritieke producten, diensten en leveranciers, waaronder aspecten zoals dienstcontinuïteit, technische veerkracht en blootstelling aan geopolitieke dreigingen. 

In de praktijk zullen organisaties het volgende moeten doen: 

  • strengere cybersecurity-eisen stellen aan leveranciers; 
  • NIS2-gerelateerde vereisten integreren in inkoop- en goedkeuringsprocessen door derden; 
  • periodiek verificatie van naleving via audits, beoordelingen of certificeringen; 
  • voorbereid om het gebruik van diensten die niet voldoen aan de minimale beveiligingsnormen te beperken of op te schorten. 

Als bijvoorbeeld een ICT-dienstverlener een inbreuk ondergaat die de beschikbaarheid van diensten in gevaar brengt en de organisatie het beveiligingsniveau van de aanbieder niet adequaat heeft beoordeeld of geen actueel contract heeft, kan de autoriteit concluderen dat de organisatie de zorgvuldigheid heeft nagelaten die vereist is onder de AVG. Daarnaast moet de aanbieder, als deze onder de reikwijdte van NIS2 valt, voldoen aan de beveiligings- en meldingsverplichtingen van de Richtlijn. 

Beveiliging houdt dus op uitsluitend een interne aangelegenheid te zijn en wordt een gedeelde verantwoordelijkheid door de gehele toeleveringsketen. Wanneer het risico van derden niet goed is beheerd, blijft de organisatie verantwoordelijk voor de gevolgen—ook vanuit een GDPR-perspectief. 

Wat betekent dit alles voor organisaties?

De convergentie tussen NIS2 en de AVG heeft directe gevolgen voor organisaties, zelfs voor organisaties die nog niet formeel binnen de reikwijdte van de richtlijn vallen: 

  • Beveiliging wordt een structureel element. Het gaat niet langer alleen om reageren op incidenten, maar om het nemen van preventieve maatregelen die zijn verankerd in bedrijfsbeleid, risicoanalyses, systeemontwerp en business continuity planning. 
  • Documentatie krijgt bewijswaarde. Hoewel de AVG al bewijs van naleving vereiste, voegt NIS2 verplichtingen toe om risicomanagementbeleid, continuïteitsplannen, leveranciersbeheerprocedures, kwetsbaarheidsbeheerprogramma’s en documenten te onderhouden die de effectiviteit van maatregelen aantonen. 
  • Teams moeten coördineren. Incidentrespons kan niet langer worden onderverdeeld in “IT-incidenten” en “privacyincidenten.” In de praktijk zijn de meeste incidenten technisch en hebben ze privacy-implicaties. Dit vereist nauwe coördinatie tussen IT, cybersecurity, juridische zaken, compliance en de Data Protection Officer (DPO), met duidelijke protocollen en communicatiekanalen. 

Conclusie: cybersecurity en gegevensbescherming gaan samen vooruit

De inwerkingtreding van NIS2 markeert een ingrijpende verschuiving in hoe veiligheid en privacy in Europa worden begrepen. De richtlijn stelt versterkte verplichtingen vast die, hoewel ze de verwerking van persoonsgegevens niet direct reguleren, de toepassing van de AVG beslissend vormgeven — met name met betrekking tot technische beveiligingsmaatregelen, incidentbeheer en de toeleveringsketen. 

Beveiliging, weerbaarheid en gegevensbescherming zijn niet langer parallelle domeinen, maar maken deel uit van een geïntegreerd compliance systeem gebaseerd op risicomanagement en proactieve verantwoording. 

In afwachting van de Spaanse transpositie moeten organisaties zich nu voorbereiden: hun risicobeoordelingen herzien, beveiligingsmaatregelen versterken, leverancierscontracten afstemmen en incidentresponsprocedures aanpassen. Het Europese model beweegt zich richting een strengere standaard waarin veiligheid onlosmakelijk verbonden is met het fundamentele recht op gegevensbescherming. 

Het NIS2-tijdperk transformeert niet alleen de cybersecurity; Het herdefinieert de reikwijdte van regelgeving en de manier waarop organisaties moeten aantonen dat zij de data en diensten beschermen waarop ons digitale leven afhangt. 

EPRODAT — Experts in gegevensbescherming en privacy-compliance
Powered by  GDPR Cookie Compliance
Privacyoverzicht

Deze site maakt gebruik van cookies, zodat wij je de best mogelijke gebruikerservaring kunnen bieden. Cookie-informatie wordt opgeslagen in je browser en voert functies uit zoals het herkennen wanneer je terugkeert naar onze site en helpt ons team om te begrijpen welke delen van de site je het meest interessant en nuttig vindt.