Blog

NIS2 voor de publieke sector: wat moet je nú doen?

NIS2 voor de overheid is geen ver-van-mijn-bedshow meer: de Cyberbeveiligingswet komt eraan en raakt gemeenten, provincies, waterschappen en uitvoeringsorganisaties direct. De vraag bij NIS2 voor gemeenten en andere overheden is niet óf je iets moet doen, maar wat je nú al kunt oppakken zonder op de definitieve wettekst te wachten. In dit artikel vertalen we de NIS2-implementatie voor de publieke sector naar concrete stappen.

Wat is NIS2 en waarom raakt het de overheid?

NIS2 is de Europese richtlijn voor netwerk- en informatiebeveiliging die de oude NIS-richtlijn vervangt. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet (Cbw). De richtlijn verbreedt de reikwijdte fors: waar voorheen vooral vitale aanbieders onder de regels vielen, vallen nu veel meer organisaties onder het regime — inclusief een groot deel van de overheid.

Voor de publieke sector betekent dit dat onder andere het Rijk, provincies en (afhankelijk van de uiteindelijke aanwijzing) gemeenten en waterschappen als entiteit in beeld komen. De kern: je moet aantoonbaar passende technische en organisatorische maatregelen nemen, incidenten tijdig melden en — en dat is nieuw — het bestuur is verantwoordelijk voor het toezicht hierop en kan daarop worden aangesproken.

De zorgplicht, meldplicht en bestuursverantwoordelijkheid

NIS2 staat op drie pijlers. De zorgplicht verplicht je tot een risicogebaseerde aanpak met maatregelen op tien terreinen, waaronder risicoanalyse, incidentafhandeling, bedrijfscontinuïteit en back-ups, supply-chain-beveiliging, toegangsbeheer en beveiligingstrainingen.

De meldplicht is strak: een significant incident meld je binnen 24 uur als vroege waarschuwing, gevolgd door een uitgebreidere melding binnen 72 uur en een eindrapport binnen een maand. Tot slot komt er actief toezicht met de mogelijkheid tot stevige boetes. Voor bestuurders betekent het dat cybersecurity een vast agendapunt op directie- en collegeniveau wordt, niet iets dat je volledig delegeert aan de IT-afdeling.

BIO, ENSIA en NIS2: bouw voort op wat er al ligt

Het goede nieuws voor de overheid: je begint niet bij nul. Veel NIS2-maatregelen overlappen met de Baseline Informatiebeveiliging Overheid (BIO) en het verantwoordingsproces ENSIA dat gemeenten al jaarlijks doorlopen. Wie de BIO serieus heeft geïmplementeerd, heeft een groot deel van het fundament al staan.

De nieuwe BIO2 sluit bovendien dichter aan op de NIS2-eisen. Onze praktische tip: leg de tien NIS2-zorgplichtthema's naast je bestaande BIO-maatregelen en ENSIA-verantwoording. Zo zie je in één oogopslag waar je al voldoet en waar de échte gaten zitten — typisch rond ketenbeveiliging, incidentdetectie en bestuurlijke betrokkenheid.

Vijf stappen die je nú kunt zetten

Wachten op de definitieve wettekst is geen strategie. Deze vijf stappen leveren direct waarde op en zijn geen weggegooid werk, ongeacht de exacte invulling van de Cbw. Stap 1: bepaal of en hoe je organisatie onder NIS2 valt (essentiële of belangrijke entiteit) en leg dat vast. Stap 2: voer een gap-analyse uit tegen de tien zorgplichtthema's, met de BIO als vertrekpunt.

Stap 3: richt je incidentmeldproces in zodat je de 24-uurstermijn daadwerkelijk haalt — inclusief wie 's avonds en in het weekend mag melden. Stap 4: breng je leveranciers en ketenpartners in kaart en neem beveiligingsafspraken op in contracten en aanbestedingen. Stap 5: agendeer NIS2 in college en directie en beleg de verantwoordelijkheid expliciet, want het bestuur draagt die straks zelf.

Let op je keten: leveranciers en aanbestedingen

Een van de meest onderschatte onderdelen van NIS2 is supply-chain-beveiliging. Veel overheidsincidenten ontstaan niet bij de organisatie zelf, maar bij een softwareleverancier of ketenpartner. NIS2 verwacht dat je risico's in je keten actief beheerst.

Concreet betekent dit dat je beveiligingseisen verankert in je inkoop- en aanbestedingsproces. Wie volgens Best Value of een vergelijkbare methodiek aanbesteedt, kan informatieveiligheid als gunningscriterium en als prestatie-afspraak meenemen, in plaats van als afvinklijst achteraf. Zo wordt de leverancier mede-eigenaar van je cyberweerbaarheid.

Maak het behapbaar: begin met een nulmeting

De grootste valkuil is verlamming door de omvang van NIS2. Het advies dat wij overheden geven: knip het op en begin met een nuchtere nulmeting. Niet om een dik rapport te produceren, maar om binnen enkele weken te weten waar je staat en welke drie tot vijf acties het meeste risico wegnemen.

Een volwassenheidsscan over dimensies als governance, risicobeheer, incidentrespons, ketenbeveiliging en — in 2026 onmisbaar — AI-governance geeft bestuur en CISO een gedeeld vertrekpunt. Vanuit dat beeld bouw je een realistische routekaart richting de Cbw, zonder paniek en zonder dubbel werk.

Aan de slag met NIS2? Wij helpen je op weg

NIS2 voor de publieke sector is goed te doen als je het stap voor stap aanpakt en voortbouwt op BIO en ENSIA. De winst zit in vroeg beginnen: een nulmeting en een heldere routekaart voorkomen dat je straks onder tijdsdruk en met hogere kosten moet schakelen.

Wij combineren informatieveiligheid (BIO, ENSIA, NIS2), Best Value-aanbesteding en AI-governance met praktische ervaring in de publieke sector. Wil je weten waar je organisatie staat? Doe onze gratis volwassenheidsscan of vraag een vrijblijvende second opinion aan. Via onze instapvouchers met vaste prijs zet je snel en zonder verrassingen de eerste stap. Neem gerust contact op voor een kennismaking.