Wat er misgaat met NIS 2-naleving en hoe u dit kunt oplossen

Door Phil Muncaster • 6 May 2025

Een 'one and done'-mentaliteit is niet de juiste manier om te voldoen aan de regelgeving – integendeel. De meeste wereldwijde regelgeving vereist voortdurende verbetering, monitoring en regelmatige audits en beoordelingen. De NIS 2-richtlijn van de EU vormt daarop geen uitzondering.

Daarom zullen veel CISO's en compliance-managers het nieuwste rapport van het EU-veiligheidsagentschap (ENISA) interessante lectuur vinden. ENISA NIS360 2024 schetst zes sectoren die worstelen met compliance en legt uit waarom, terwijl wordt benadrukt hoe meer volwassen organisaties het voortouw nemen. Het goede nieuws is dat organisaties die al ISO 27001-gecertificeerd zijn, zullen merken dat het dichten van de kloof naar NIS 2-compliance relatief eenvoudig is.

Wat is er nieuw in NIS 2

NIS 2 is de poging van de EU om haar belangrijkste wetgeving inzake digitale veerkracht te actualiseren voor het moderne tijdperk. inspanningen richten zich op op:

Uitbreiding van het aantal sectoren dat onder de richtlijn valt
Introductie van concretere basisvereisten voor cyberbeveiliging
Het verminderen van inconsistenties in de mate van veerkracht tussen verschillende sectoren
Verbetering van informatie-uitwisseling, incidentrespons en risicobeheer in de toeleveringsketen
Het senior management verantwoordelijk houden voor ernstige tekortkomingen

Britse organisaties krijgen hun eigen bijgewerkte versie van de oorspronkelijke richtlijn voor netwerk- en informatiesystemen (NIS) wanneer de Wetsvoorstel cyberveiligheid en veerkracht eindelijk zijn intrede in de wet. Veel organisaties verlenen echter diensten aan Europese burgers en/of zijn actief op het continent, waardoor ze onder NIS 2 vallen. Voor deze organisaties kan NIS360 nuttig leesvoer zijn.

Welke sectoren hebben het moeilijk?

Van de 22 sectoren en subsectoren die in het rapport worden bestudeerd, bevinden er zich zes in de "risicozone" voor compliance – dat wil zeggen dat de volwassenheid van hun risicohouding geen gelijke tred houdt met hun criticaliteit. Het gaat om:

ICT-servicemanagement: Hoewel de sector organisaties op een vergelijkbare manier ondersteunt als andere digitale infrastructuur, is de volwassenheid ervan lager. ENISA wijst op het "gebrek aan gestandaardiseerde processen, consistentie en middelen" om de steeds complexere digitale activiteiten die het moet ondersteunen, bij te houden. Gebrekkige samenwerking tussen grensoverschrijdende spelers verergert het probleem, evenals de "onbekendheid" van bevoegde autoriteiten (CA's) met de sector.

ENISA pleit onder andere voor nauwere samenwerking tussen bevoegde autoriteiten en geharmoniseerd grensoverschrijdend toezicht.

Ruimte: De sector speelt een steeds crucialere rol bij het faciliteren van een scala aan diensten, waaronder telefoon- en internettoegang, satelliet-tv- en radio-uitzendingen, monitoring van land- en waterbronnen, precisielandbouw, remote sensing, beheer van afgelegen infrastructuur en het traceren van logistieke pakketten. Het rapport merkt echter op dat de sector, als recent gereguleerde sector, zich nog in de beginfase bevindt van de aanpassing aan de vereisten van NIS 2. Een sterke afhankelijkheid van kant-en-klare producten (COTS), beperkte investeringen in cybersecurity en een relatief onvolwassen houding ten aanzien van informatie-uitwisseling dragen bij aan de uitdagingen.

ENISA pleit voor meer aandacht voor het vergroten van het beveiligingsbewustzijn, het verbeteren van de richtlijnen voor het testen van COTS-componenten vóór implementatie en het bevorderen van samenwerking binnen de sector en met andere sectoren, zoals de telecomsector.

Overheidsadministraties: Dit is een van de minst ontwikkelde sectoren, ondanks de cruciale rol die het speelt in de levering van publieke diensten. Volgens ENISA is er geen echt inzicht in de cyberrisico's en -dreigingen waarmee het te maken heeft, of zelfs maar wat de reikwijdte van NIS 2 is. Het blijft echter een belangrijk doelwit voor hacktivisten en door staten gesteunde dreigingsactoren.

ENISA beveelt een gedeeld servicemodel met andere overheidsinstanties aan om middelen te optimaliseren en de beveiligingscapaciteiten te verbeteren. Het moedigt overheidsdiensten ook aan om verouderde systemen te moderniseren, te investeren in training en de EU Cyber Solidariteitswet te gebruiken om financiële steun te verkrijgen voor het verbeteren van detectie, respons en herstel.

Maritiem: De sector is van essentieel belang voor de economie (68% van het vrachtvervoer wordt er verwerkt) en is sterk afhankelijk van technologie. De sector kampt met uitdagingen op het gebied van verouderde technologie, met name OT.

ENISA stelt dat het baat zou kunnen hebben bij op maat gemaakte richtlijnen voor de implementatie van robuuste cybersecurity-risicobeheermaatregelen – met prioriteit voor 'secure-by-design'-principes en proactief kwetsbaarheidsbeheer in maritieme OT. Het pleit voor een cybersecurity-oefening op EU-niveau om de multimodale crisisrespons te verbeteren.

Gezondheid: De sector is van vitaal belang en vertegenwoordigt 7% van de bedrijven en 8% van de werkgelegenheid in de EU. De gevoeligheid van patiëntgegevens en de potentieel fatale impact van cyberdreigingen maken respons op incidenten cruciaal. De diversiteit aan organisaties, apparaten en technologieën binnen de sector, de tekorten aan resources en verouderde werkwijzen zorgen er echter voor dat veel zorgverleners moeite hebben om verder te komen dan basisbeveiliging. Complexe toeleveringsketens en verouderde IT/OT verergeren het probleem.

ENISA wil graag meer richtlijnen zien voor veilige aanbestedingen en best practices voor beveiliging, opleidingen voor personeel en bewustmakingsprogramma's en meer betrokkenheid bij samenwerkingskaders om detectie van en reactie op bedreigingen te ontwikkelen.

Gas: De sector is kwetsbaar voor aanvallen door de afhankelijkheid van IT-systemen voor controle en interconnectiviteit met andere sectoren, zoals de elektriciteits- en productiesector. Volgens ENISA zijn de paraatheid en respons op incidenten bijzonder slecht, vooral in vergelijking met vergelijkbare sectoren in de elektriciteitssector.

De sector moet robuuste, regelmatig geteste incidentresponsplannen ontwikkelen en de samenwerking met de elektriciteits- en productiesector verbeteren op het gebied van gecoördineerde cyberverdediging, gedeelde best practices en gezamenlijke oefeningen.

Wat doen de leiders goed?

Volgens ENISA zijn de sectoren met de hoogste mate van volwassenheid om verschillende redenen opmerkelijk:

Uitgebreidere richtlijnen voor cyberbeveiliging, mogelijk inclusief sectorspecifieke wetgeving of normen
Sterker toezicht en steun van EU-autoriteiten die bekend zijn met de sector en de uitdagingen die deze met zich meebrengt
Dieper inzicht in risico en effectiever risicomanagement
Sterkere samenwerking en informatie-uitwisseling tussen entiteiten en autoriteiten op nationaal en EU-niveau
Volwassener operationele paraatheid door goed geteste plannen

Hoe u succesvol kunt zijn met NIS 2-naleving

We moeten niet vergeten dat geen twee organisaties in een specifieke sector hetzelfde zijn. De bevindingen van het rapport zijn echter leerzaam. En hoewel een deel van de verantwoordelijkheid voor het verbeteren van compliance bij de CA's ligt – om toezicht, begeleiding en ondersteuning te verbeteren – draait een groot deel ervan om een risicogebaseerde aanpak van cybersecurity. Dit is waar normen zoals ISO 27001 van pas komen, met extra details die NIS 2 mogelijk mist, aldus Jamie Boote, associate principal software security consultant bij Black Duck:

"NIS 2 is op een hoog niveau geschreven omdat het van toepassing moest zijn op een breed scala aan bedrijven en sectoren. Het kon daarom geen op maat gemaakte, voorschrijvende richtlijnen bevatten die verder gingen dan het informeren van bedrijven over waaraan ze moesten voldoen", legt hij uit aan ISMS.online.

Hoewel NIS 2 bedrijven vertelt dat ze 'incident handling' of 'basis cyberhygiënepraktijken en cybersecuritytraining' moeten hebben, staat er niet in hoe ze die programma's moeten opzetten, het beleid moeten schrijven, personeel moeten trainen en adequate tools moeten leveren. Het implementeren van kaders die gedetailleerd ingaan op hoe incident handling of supply chain security moet worden uitgevoerd, is van cruciaal belang bij het uitsplitsen van die beleidsverklaringen in alle elementen die de mensen, processen en technologie van een cybersecurityprogramma vormen.

Chris Henderson, senior director of threat operations bij Huntress, beaamt dat er een aanzienlijke overlap is tussen NIS 2 en ISO 27001.

"ISO 27001 omvat veel van dezelfde governance-, risicomanagement- en rapportageverplichtingen die vereist zijn onder NIS 2. Als een organisatie de ISO 27001-norm al heeft behaald, is deze goed gepositioneerd om ook de NIS2-maatregelen te dekken", vertelt hij aan ISMS.online. "Een gebied dat ze moeten verbeteren, is crisismanagement, aangezien er geen equivalente ISO 27001-maatregel is. De rapportageverplichtingen voor NIS 2 hebben ook specifieke eisen waaraan niet direct zal worden voldaan door de implementatie van ISO 27001."

Hij spoort organisaties aan om te beginnen met het testen van verplichte beleidselementen uit NIS 2 en deze in kaart te brengen binnen de controlemechanismen van hun gekozen raamwerk/standaard (bijvoorbeeld ISO 27001).

"Het is ook belangrijk om inzicht te hebben in hiaten in een raamwerk zelf, omdat niet elk raamwerk de volledige dekking van een regelgeving kan bieden. Als er nog niet in kaart gebrachte regelgevende verklaringen zijn, moet er mogelijk een aanvullend raamwerk worden toegevoegd", voegt hij toe.

Dat gezegd hebbende, kan het voldoen aan de regelgeving een hele opgave zijn.

"Compliancekaders zoals NIS 2 en ISO 27001 zijn omvangrijk en vereisen veel werk om te realiseren", zegt Henderson. "Als je een beveiligingsprogramma vanaf de grond opbouwt, kun je al snel vastlopen in de analyse en niet weten waar je moet beginnen."

Dit is waar oplossingen van derden, die al het werk in kaart brengen hebben gedaan om een NIS 2-ready nalevingsgids, Kan helpen.

Morten Mjels, CEO van Green Raven Limited, schat dat organisaties met naleving van ISO 27001 ongeveer 75% van de NIS 2-vereisten hebben bereikt.

"Compliance is een voortdurende strijd met een gigant (de toezichthouder) die nooit moe wordt, nooit opgeeft en nooit toegeeft", vertelt hij aan ISMS.online. "Daarom hebben grotere bedrijven hele afdelingen die zich toeleggen op het waarborgen van compliance over de hele linie. Als uw bedrijf zich niet in die positie bevindt, is het de moeite waard om er een te raadplegen."

Bekijk deze webinar om meer te weten te komen over hoe ISO 27001 u praktisch kan helpen bij de naleving van NIS 2.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster