{ "@context": "https://schema.org", "@type": "BlogPosting", "headline": "NIS2 Richtlijn: Europese Cybersecurityregels en wat ze betekenen voor jouw organisatie", "description": "Europese NIS2-richtlijn dwingt organisaties tot betere informatiebeveiliging, risicobeheer en transparantie bij cyberincidenten.", "author": "[object Object]", "timeRequired": "PT4M", "articleBody": "NIS2: Alles wat je moet weten over deze Europese regelgeving\n\n In 2023 werden Nederlandse organisaties gemiddeld 11 keer per week getroffen door een cyberaanval – een stijging van 38% ten opzichte van het jaar ervoor (Check Point Research, 2024).\n\n De digitale dreiging neemt toe, en daarmee ook de noodzaak voor betere bescherming van onze kritieke infrastructuur en diensten. Precies daarom heeft de EU de Network and Information Security 2 (NIS2) richtlijn in het leven geroepen.\n\n Maar wat houdt deze nieuwe wetgeving precies in? Voor wie geldt ze? En belangrijker nog: wat moet jouw organisatie doen om te voldoen aan deze verscherpte eisen? In deze blog lees je alles wat je moet weten over NIS2 – van de basisbeginselen tot praktische implementatiestappen.\n \n\n \n Inhoudsopgave\n \n Wat is NIS2?\n Waarom is NIS2 belangrijk?\n Welke sectoren vallen onder NIS2?\n Essentiële vs. belangrijke entiteiten\n De kernverplichtingen van NIS2\n Implementatie en deadlines in Nederland\n Praktische stappen naar compliance\n Best practices uit de praktijk\n Conclusie en toekomstperspectief\n Veelgestelde vragen over NIS2\n \n \n\n \n Wat is NIS2?\n\n De Network and Information Security 2 (NIS2) richtlijn is een nieuwe Europese cybersecuritywetgeving en de opvolger van de eerste NIS-richtlijn uit 2016. NIS2 werd in december 2022 vastgesteld (Richtlijn (EU) 2022/2555) (Europees Parlement en de Raad, 2022) met als doel een hoger gemeenschappelijk niveau van cybersecurity te bereiken in alle EU-lidstaten.\n\n Waar de oorspronkelijke NIS-richtlijn zich richtte op een beperkte set vitale sectoren, breidt NIS2 het toepassingsgebied aanzienlijk uit en scherpt het de eisen aan. De richtlijn is bedoeld om de cyberbeveiliging en digitale weerbaarheid van essentiële diensten in Europa te verbeteren.\n\n Achtergrond en motivatie\n\n De afgelopen jaren is de afhankelijkheid van digitale systemen sterk toegenomen, net als de cyberdreigingen. Grootschalige ransomware-aanvallen en geopolitieke ontwikkelingen (zoals COVID-19 en de oorlog in Oekraïne) hebben kwetsbaarheden blootgelegd in onze digitale infrastructuur.\n\n De eerste NIS-richtlijn bleek in de praktijk te beperkt qua reikwijdte en leidde tot versnipperde implementatie tussen lidstaten. NIS2 is daarom opgezet om deze lacunes te dichten en de verschillen tussen landen te verminderen.\n\n In Nederland stond de eerste richtlijn bekend als de \"NIB-richtlijn\" en werd deze geïmplementeerd via de Wet beveiliging netwerk- en informatiesystemen (Wbni) (Rijksoverheid, 2018). NIS2 bouwt hierop voort met strengere voorschriften.\n \n \n Terug naar boven\n \n \n\n \n Waarom is NIS2 belangrijk?\n\n Grotere impact en reikwijdte\n\n NIS2 is veel omvattender dan zijn voorganger. Waar NIS1 alleen gold voor een selecte groep \"operators of essential services\" die per land waren aangewezen, geldt NIS2 automatisch voor middelgrote en grote bedrijven in een veel breder scala aan sectoren.\n\n In Nederland betekent dit dat aanzienlijk meer organisaties onder de cybersecurityverplichtingen gaan vallen dan voorheen. Sectoren die eerder niet onder de NIS vielen (zoals de overheid, afvalbeheer en ruimtevaart) worden nu wél bestreken. Ook digitale aanbieders (zoals online marktplaatsen, clouddiensten en sociale platformen) vallen onder NIS2, terwijl die onder NIS1 beperkt gereguleerd waren.\n\n Bovendien zijn de criteria verruimd: alle middelgrote en grote organisaties in de benoemde sectoren moeten voldoen, zonder dat er een formele aanwijsprocedure nodig is. Dit leidt tot een verdubbeling van het aantal sectoren en betrokken partijen ten opzichte van NIS1.\n\n Strengere eisen\n\n NIS2 schrijft duidelijker en strenger voor welke beveiligingsmaatregelen organisaties moeten nemen en hoe zij met cyberincidenten moeten omgaan. Onder NIS1 hadden lidstaten enige flexibiliteit, wat leidde tot verschillen; NIS2 harmoniseert dit strakker.\n\n Zo geldt er nu een expliciete zorgplicht om proactief risico's in kaart te brengen en beveiligingsmaatregelen te treffen, en een ruimere meldplicht voor ernstige incidenten. Ook \"supply chain security\" – de beveiliging van toeleveranciers en partners – is voor het eerst expliciet opgenomen als verplicht aandachtspunt.\n\n Verder legt NIS2 meer verantwoordelijkheid bij het hoogste management van organisaties: directies moeten cybersecurity actief goedkeuren en laten trainen, en kunnen aansprakelijk worden gesteld als hun organisatie de verplichtingen verzaakt.\n\n Impact op Nederlandse organisaties\n\n Voor Nederland betekent NIS2 dat niet alleen de klassieke vitale infrastructuren, maar ook talloze andere organisaties hun cyberbeveiliging op orde moeten brengen. Denk aan middelgrote bedrijven in de voedsel- of chemiesector, gemeenten en provincies, digitale dienstverleners en zorginstellingen.\n\n Deze organisaties zullen moeten investeren in betere IT-beveiliging, procedures en awareness. Waar de NIS1-verplichtingen slechts enkele tientallen Nederlandse organisaties direct raakten, zal NIS2 potentieel honderden tot duizenden entiteiten raken.\n\n Het effect is vergelijkbaar met de invoering van de AVG destijds – een brede compliance-operatie – maar dan gericht op de continuïteit en veiligheid van systemen in plaats van op privacy. NIS2 is belangrijk om een algemeen hoger niveau van cyberweerbaarheid in onze economie en samenleving te creëren en sluit aan bij de urgentie van digitale dreigingen waar vrijwel elk bedrijf mee te maken kan krijgen.\n \n \n Terug naar boven\n \n \n\n \n Welke sectoren vallen onder NIS2?\n\n De richtlijn geldt voor organisaties in 18 kritieke sectoren die cruciaal zijn voor het functioneren van maatschappij en economie. NIS2 maakt onderscheid tussen \"sectoren van hoge kriticiteit\" (Annex I van de richtlijn) en \"andere kritieke sectoren\" (Annex II) (Europees Parlement en de Raad, 2022).\n\n Sectoren van hoge kriticiteit (Annex I)\n \n Energie (elektriciteit, olie, gas)\n Transport (luchtvaart, spoor, water en weg)\n Bankwezen\n Infrastructuur van financiële markten\n Gezondheidszorg\n Drinkwater\n Digitale infrastructuur (internetknooppunten, DNS, datacenters)\n ICT-dienstverleners (zoals cloudproviders)\n Afvalwater\n Overheidsdiensten (publieke administratie)\n \n\n Andere kritieke sectoren (Annex II)\n \n Digitale dienstverleners (online platforms, zoekmachines)\n Post- en koeriersdiensten\n Afvalstoffenbeheer\n Levensmiddelen (voedselvoorziening)\n Chemische stoffen\n Onderzoek\n Productie/manufacturing van kritieke producten\n Ruimtevaart\n \n\n Daarnaast vallen aanbieders van domeinregistratiediensten (zoals registries voor top-level domeinen) expliciet onder NIS2, ongeacht hun omvang – zij vormen een aparte categorie met eigen verplichtingen.\n \n \n Terug naar boven\n \n \n\n \n Essentiële vs. belangrijke entiteiten\n\n Binnen de genoemde sectoren definieert NIS2 twee categorieën organisaties, met deels verschil in regime: essentiële entiteiten en belangrijke entiteiten.\n\n Essentiële entiteiten\n \n Grote organisaties (≥250 medewerkers, of >€50 miljoen jaaromzet én >€43 miljoen balanstotaal) in sectoren van hoge kriticiteit (Annex I) (Europees Parlement en de Raad, 2022)\n Organisaties die aangewezen zijn als \"kritieke entiteit\" onder de parallelle CER-richtlijn\n Vallen onder proactief toezicht: kunnen periodieke audits of inspecties krijgen zonder directe aanleiding\n \n\n Belangrijke entiteiten\n \n Middelgrote organisaties (≥50 medewerkers, of >€10 miljoen omzet/balanstotaal) in sectoren van hoge kriticiteit\n Middelgrote of grote spelers in andere kritieke sectoren (Annex II)\n Vallen onder reactief toezicht: worden vooral gecontroleerd bij aanwijzingen van non-compliance\n \n\n Micro- en kleinbedrijven (met <50 medewerkers en <€10 miljoen omzet) zijn in principe uitgezonderd, tenzij een lidstaat ze toch aanwijst vanwege hun kritieke belang.\n\n Beide categorieën hebben in de kern dezelfde type verplichtingen; het verschil zit voornamelijk in de intensiteit van het toezicht en de hoogte van mogelijke sancties.\n \n \n Terug naar boven\n \n \n\n\n\n \n De kernverplichtingen van NIS2\n\n NIS2 legt alle in-scope entiteiten twee belangrijke kerntaken op: een zorgplicht en een meldplicht.\n\n 1. Zorgplicht (risicobeheer)\n\n Organisaties moeten zelf hun cyberrisico's beoordelen en \"passende en evenredige\" maatregelen treffen om die risico's te beheersen. Dit omvat technische, operationele en organisatorische maatregelen om de continuïteit van diensten te waarborgen.\n\n De richtlijn somt expliciet een aantal onderwerpen op die in het risicomanagementbeleid moeten worden meegenomen:\n\n \n Beleid voor risicoanalyse en informatiebeveiliging\n Incidentresponsplannen en bedrijfscontinuïteitsplannen (inclusief back-ups en noodherstel)\n Maatregelen voor ketenbeveiliging (toeleveranciersmanagement)\n Implementeren van cyberhygiëne en security awareness training\n Beleid voor gebruik van encryptie en toegangsbeveiliging (bijvoorbeeld multi-factor authenticatie)\n Periodieke toetsing van de effectiviteit van beveiligingsmaatregelen\n \n\n NIS2 schrijft hiermee feitelijk voor dat organisaties een behoorlijk volwassen Information Security Management System (ISMS) moeten inrichten – veel hiervan overlapt met normen als ISO 27001.\n\n 2. Meldplicht (incidentrapportage)\n\n Entiteiten moeten significante cyberincidenten melden aan de bevoegde autoriteit (toezichthouder) en waar nodig aan het nationale Computer Security Incident Response Team (CSIRT).\n\n Onder NIS2 is de meldplicht strenger en duidelijker omlijnd dan onder NIS1:\n\n \n Binnen 24 uur nadat de organisatie weet heeft van een significant incident: een eerste melding (\"early warning\") met basisinformatie\n Binnen 72 uur na ontdekking: een uitgewerkt incidentrapport\n Binnen een maand: nadere details en een afsluitende analyse (\"final report\")\n \n\n De meldplicht geldt alleen voor significante incidenten – incidenten met grote impact – niet voor iedere kleine verstoring. Er zijn criteria vastgesteld om te bepalen of een incident \"meldingswaardig\" is, zoals het aantal getroffen personen, de duur van de verstoring en de mogelijke financiële verliezen (Agentschap Telecom, 2023). Bij twijfel is melden echter raadzaam.\n\n Naast melding aan de overheid moeten organisaties ook afnemers en klanten informeren bij significante incidenten die hen raken, inclusief eventuele beschermingsmaatregelen die zij kunnen nemen.\n \n \n Terug naar boven\n \n \n\n \n Implementatie en deadlines in Nederland\n\n Status en tijdlijn\n\n De NIS2-richtlijn trad op EU-niveau in werking op 16 januari 2023, met als deadline 17 oktober 2024 voor omzetting naar nationale wetgeving. Nederland heeft deze deadline niet gehaald: de benodigde Cyberbeveiligingswet (Cbw) zal naar verwachting pas in het derde kwartaal van 2025 in werking treden (Ministerie van Justitie en Veiligheid, 2024).\n\n In de tussentijd (tussen oktober 2024 en de inwerkingtreding in 2025) gelden de nieuwe plichten formeel nog niet in Nederland. Organisaties kunnen in deze periode dus nog niet bestraft worden onder NIS2, hoewel er sprake is van directe werking van bepaalde onderdelen van de EU-richtlijn.\n\n Het NCSC heeft per 17 oktober 2024 alvast zijn diensten opengesteld voor de nieuwe doelgroep van NIS2-entiteiten (bijvoorbeeld voor het vrijwillig melden van incidenten) (Nationaal Cyber Security Centrum, 2024).\n\n Belangrijke data\n \n \n \n \n \n Datum\n Gebeurtenis\n \n \n \n \n 16 januari 2023\n Inwerkingtreding EU-richtlijn NIS2\n \n \n 17 oktober 2024\n Deadline voor omzetting in nationale wetgeving (niet gehaald door Nederland)\n \n \n Q3 2025 (verwacht)\n Inwerkingtreding Nederlandse Cyberbeveiligingswet\n \n \n 3 maanden na inwerkingtreding wet\n Deadline voor registratie van entiteiten\n \n \n \n \n\n Toezicht en handhaving\n\n Onder NIS2 moeten lidstaten één of meerdere bevoegde autoriteiten aanwijzen die toezicht houden op de naleving. In Nederland zal dit neerkomen op toezichthouders per sector of cluster van sectoren, vergelijkbaar met hoe bij de Wbni verschillende ministeries/agentschappen toezicht hielden op \"hun\" vitale sectoren.\n\n Waarschijnlijk krijgt de nieuwe Rijksinspectie Digitale Infrastructuur (RDI, voorheen Agentschap Telecom) een centrale rol, met name voor digitale dienstverleners, telecom en internet. Voor de financiële sector ligt DNB/AFM voor de hand, voor de zorg de IGJ, etc.\n\n Sancties en boetes\n\n NIS2 verplicht lidstaten om sanctieregimes in te voeren voor overtredingen. De richtlijn geeft maximumstraffen:\n\n \n Voor essentiële entiteiten: tot €10 miljoen of 2% van de wereldwijde jaaromzet (afhankelijk wat hoger is) (Europees Parlement en de Raad, 2022)\n Voor belangrijke entiteiten: tot €7 miljoen of 1,4% van de omzet\n \n\n Toezichthouders kunnen ook bindende instructies geven, waarschuwingen of berispingen uitdelen (Ministerie van Justitie en Veiligheid, 2023), en in uiterste gevallen een onderneming bevelen bepaalde activiteiten stil te leggen.\n\n Een interessant nieuw instrument is de mogelijkheid om individuele bestuurders tijdelijk te schorsen of te disqualificeren uit hun functie als het bedrijf hardnekkig niet voldoet – een duidelijk signaal dat persoonlijke aansprakelijkheid op de loer ligt.\n \n \n Terug naar boven\n \n \n\n \n Praktische stappen naar compliance\n\n \n \n Overzicht van de belangrijkste stappen om te komen tot compliance m.b.t. de NIS2-richtlijn\n \n\n Hoewel de Nederlandse Cyberbeveiligingswet pas in 2025 in werking treedt, raadt de overheid organisaties sterk aan nu al voorbereidingen te treffen. Niet alleen om straks klaar te zijn voor de nieuwe wet, maar ook omdat adequate cybersecurity vandaag al essentieel is.\n\n 1. Bepaal of je organisatie onder NIS2 valt\n\n Bedrijven doen er goed aan eerst te bepalen of zij onder de reikwijdte van NIS2 vallen. De Rijksoverheid heeft hiervoor hulpmiddelen beschikbaar gesteld:\n\n \n Een NIS2-zelfevaluatietool (regelhulp) waarmee een organisatie kan bepalen of NIS2 van toepassing is (Digital Trust Center, 2024)\n De Quickscan NIS2 om de eigen voorbereidingsstatus te meten (Nationaal Cyber Security Centrum, 2024)\n \n\n 2. Voer een gap-analyse uit\n\n Onderzoek in hoeverre je huidige cybersecuritymaatregelen al voldoen aan NIS2, en waar de gaten zitten die opgevuld moeten worden. Veel organisaties starten met het samenstellen van een intern NIS2-projectteam of het aanstellen van een coördinator (bijvoorbeeld de CISO) om dit in kaart te brengen.\n\n 3. Implementeer de benodigde maatregelen\n\n Op basis van de gap-analyse kun je prioriteiten stellen voor implementatie:\n\n Risicoanalyse en inventarisatie\n \n Breng essentiële bedrijfsprocessen, systemen en data in kaart\n Voer een grondige risicoanalyse uit van digitale dreigingen\n Identificeer de grootste kwetsbaarheden en knelpunten\n \n\n Beveiligingsmaatregelen implementeren\n \n Neem maatregelen om de organisatie beter te beschermen tegen de gevonden risico's\n Denk aan technische upgrades, strengere toegangscontroles (MFA), patchmanagement\n Prioriteer op basis van de risicoanalyse\n \n\n Procedures inrichten\n \n Ontwikkel interne procedures voor incidentdetectie, monitoring en oplossing\n Stel een incident response plan op\n Wijs rollen en verantwoordelijkheden toe\n Oefen het plan regelmatig\n \n\n Leveranciers en keten\n \n Identificeer belangrijke leveranciers/IT-dienstverleners\n Beoordeel hun beveiligingsniveau\n Neem contractuele eisen op rondom cybersecurity\n Ontwikkel een back-up-plan voor alternatieve leveranciers\n \n\n Bewustwording en training\n \n Investeer in security awareness onder personeel\n Train medewerkers én management in cyberhygiëne, phishing-herkenning, incidentmeldingsprocedures\n \n\n 4. Voorbereiden op de meldplicht\n\n Een van de meest concrete verplichtingen van NIS2 is de plicht om ernstige cyberincidenten te melden. Bereid je hierop voor:\n\n \n Stel een proces vast voor het identificeren van meldplichtige incidenten\n Bepaal wie verantwoordelijk is voor het opstellen en indienen van meldingen\n Documenteer contactgegevens van relevante autoriteiten\n Oefen het meldingsproces in incident response drills\n \n \n \n Terug naar boven\n \n \n\n\n\n \n Best practices uit de praktijk\n\n Hoewel NIS2 nog in transitie is naar nationale wetgeving, zijn vooruitstrevende organisaties al begonnen met hun voorbereidingen. Enkele voorbeelden en lessen uit de praktijk:\n\n Telecomsector (KPN – Security First)\n KPN heeft een \"Security First\"-strategie geïmplementeerd, waarin cybersecurity een integraal onderdeel is van de bedrijfsvisie en governance (KPN, 2023). De beveiligingsorganisatie is opgedeeld in duidelijke domeinen en rapporteert structureel over security aan de top. Dit benadrukt het belang van steun van het topmanagement – iets wat NIS2 nu ook afdwingt.\n\n Industrie/Onderzoek (TU Eindhoven – OT security)\n De TU/e heeft veel ervaring met het beveiligen van Operationele Technologie (OT) in onderzoeksfaciliteiten (TU Eindhoven, 2023). Zij benadrukken het belang van:\n \n Duidelijk onderscheid maken tussen IT- en OT-beveiliging\n Implementeren van Zero-Trust modellen\n Regelmatig uitvoeren van risico-assessments specifiek voor OT\n Gerichte awarenessprogramma's voor specialisten\n \n\n Overheid (Gemeenten)\n Lokale overheden vallen nieuw onder NIS2 als essentiële entiteit. Grote gemeenten upgraden hun bestaande Baseline Informatiebeveiliging Overheid (BIO) richting NIS2-eisen. Ze richten gemeentelijke Security Operations Centers in samenwerking met elkaar op, delen incidentinformatie regionaal en trainen hun IT-personeel. Dit toont aan dat samenwerking loont.\n \n \n Terug naar boven\n \n \n\n \n Conclusie en toekomstperspectief\n\n De NIS2-richtlijn markeert een nieuwe fase in cyberveiligheid voor Nederlandse organisaties. Het is een uitgebreide en ambitieuze wetgeving die de lat voor cybersecurity aanzienlijk hoger legt door de scope te verdubbelen en organisaties te verplichten tot een proactieve aanpak van digitale risico's.\n\n Hoewel de nationale Cyberbeveiligingswet pas in 2025 in werking treedt, is het verstandig om nu al stappen te zetten. De belangrijkste inzichten zijn dat bestuurders actief betrokken moeten zijn, dat een integrale risico-gebaseerde aanpak nodig is, en dat samenwerking (intern tussen afdelingen en extern met sectorpartners) een succesfactor is.\n\n NIS2 is geen eindpunt maar maakt deel uit van een bredere reeks initiatieven. Parallel aan NIS2 is ook de CER-richtlijn aangenomen (Europese Commissie, 2022), die fysieke weerbaarheid van kritieke infrastructuur adresseert. Daarnaast werkt de EU aan de Cyber Resilience Act voor veilige producten (Europese Commissie, 2023) en de Digital Operational Resilience Act (DORA) voor de financiële sector (Europese Commissie, 2022).\n\n Voor organisaties betekent dit dat compliance een voortdurend proces wordt. Bedrijven die nu investeren in hun cyberweerbaarheid, zullen niet alleen compliant zijn wanneer de wet van kracht wordt, maar ook beter beschermd tegen de onverminderde stroom van dreigingen.\n\n Zoals vaak in security: voorkomen is beter dan genezen. NIS2 biedt het kader om die preventie structureel in te bedden.\n \n \n Terug naar boven\n \n \n\n \n Veelgestelde vragen over NIS2\n\n Moet ik nu al voldoen aan NIS2, of kan ik wachten tot de Nederlandse wet er is?\n Formeel gelden de verplichtingen pas als de Cyberbeveiligingswet in werking treedt (verwacht Q3 2025). Toch is het sterk aan te raden nu al te beginnen met voorbereidingen, omdat de implementatie tijd kost en goede cyberbeveiliging hoe dan ook belangrijk is.\n\n Hoe weet ik of mijn organisatie onder NIS2 valt?\n Dit hangt af van je sector en grootte. Middelgrote en grote organisaties in de 18 aangewezen sectoren vallen eronder. De overheid heeft een zelfevaluatietool ontwikkeld om dit te bepalen.\n\n Wat is het verschil tussen NIS2 en de AVG/GDPR?\n NIS2 gaat over cybersecurity en continuïteit van diensten, terwijl de AVG over privacybescherming gaat. NIS2 heeft andere rapportageverplichtingen (incidentmeldingen) en geldt voor specifieke sectoren, terwijl de AVG voor alle organisaties geldt die persoonsgegevens verwerken.\n\n Wat zijn de boetes als ik niet aan NIS2 voldoe?\n Boetes kunnen oplopen tot €10 miljoen of 2% van de mondiale jaaromzet voor essentiële entiteiten, en tot €7 miljoen of 1,4% voor belangrijke entiteiten.\n\n Kan een ISO 27001-certificering helpen bij NIS2-compliance?\n Ja, een ISO 27001-certificering biedt een goed fundament voor NIS2-compliance. Echter, NIS2 stelt aanvullende eisen, bijvoorbeeld rondom incidentmeldingen aan autoriteiten en ketenbeveiliging. Een gap-analyse blijft nodig.\n\n Welke incidenten moet ik melden onder NIS2?\n Alleen \"significante\" incidenten moeten gemeld worden – dat wil zeggen, incidenten met grote impact op dienstverlening. Criteria hiervoor zijn onder andere het aantal getroffen gebruikers, de duur van de verstoring, en de ernst van de impact.\n \n \n Terug naar boven\n \n \n\n \n Laat je ondersteunen door specialisten\n\n Voldoen aan NIS2 vergt expertise op zowel technisch, organisatorisch als juridisch gebied. Het kan daarom verstandig zijn om hierbij ondersteuning te zoeken. IBgidsNL heeft een uitgebreid netwerk van gekwalificeerde specialisten in informatiebeveiliging, cybersecurity en compliance die je kunnen helpen bij de implementatie van NIS2.\n\n Of je nu behoefte hebt aan een gap-analyse, hulp bij het opstellen van procedures of technische beveiligingsmaatregelen – de aangesloten partners van IBgidsNL bieden oplossingen voor elke fase van je NIS2-compliance traject.\n\n Bekijk het overzicht van NIS2-specialisten in de IBgidsNL-directory\n \n \n Terug naar boven\n \n \n\n \n Bronnenlijst\n \n Agentschap Telecom. (2023). Handleiding Meldplicht Cybersecurity Incidenten.\n Check Point Research. (2024). Security Report 2024.\n Digital Trust Center. (2024). NIS2 Zelfevaluatie.\n Europees Parlement en de Raad. (2022). Artikel 3 van Richtlijn (EU) 2022/2555.\n Europees Parlement en de Raad. (2022). Artikel 34 van Richtlijn (EU) 2022/2555.\n Europees Parlement en de Raad. (2022). Bijlagen I en II van Richtlijn (EU) 2022/2555.\n Europese Commissie. (2022). Critical Entities Resilience (CER) Directive.\n Europese Commissie. (2022). Digital Operational Resilience Act.\n Europees Parlement en de Raad. (2022). Richtlijn (EU) 2022/2555.\n Europese Commissie. (2023). Proposal for a Cyber Resilience Act.\n KPN. (2023). Jaarverslag 2023: Security First Strategy.\n Ministerie van Justitie en Veiligheid. (2024). Kamerbrief over implementatie NIS2-richtlijn.\n Ministerie van Justitie en Veiligheid. (2023). Handhavingskader Cyberbeveiligingswet.\n Nationaal Cyber Security Centrum. (2024). NIS2 Implementatie in Nederland.\n Nationaal Cyber Security Centrum. (2024). NIS2 Quickscan.\n Rijksoverheid. (2018). Wet beveiliging netwerk- en informatiesystemen.\n TU Eindhoven. (2023). OT Security Framework.\n \n \n\n \n Terug naar boven", "articleSection": "Governance Risk Compliance", "datePublished": "2024-04-29T00:00:00.000Z", "dateModified": "2025-09-30T00:00:00.000Z", "publisher": { "@type": "Organization", "name": [ "IBgidsNL" ], "url": "https://ibgids.nl" } }