Kennisbank
Juridisch 9 min leestijd

NIS2 & softwareontwikkeling.

De Europese NIS2-richtlijn stelt strengere eisen aan cybersecurity. Wat betekent dat concreet voor jouw software, je leveranciers en je ontwikkelproces?

Wat is NIS2?

NIS2 (Network and Information Security Directive 2) is de opvolger van de eerste Europese NIS-richtlijn uit 2016. De richtlijn is in januari 2023 in werking getreden en moet door EU-lidstaten in nationale wetgeving worden omgezet. Het doel: de cyberweerbaarheid van essentiële en belangrijke organisaties structureel verhogen.

De scope is fors uitgebreid ten opzichte van NIS1. Waar de eerste richtlijn zich beperkte tot een handvol sectoren, raakt NIS2 nu ook de gezondheidszorg, digitale infrastructuur, ICT-dienstverleners, levensmiddelen, afvalbeheer, post- en koeriersdiensten en de maakindustrie. In de praktijk vallen duizenden Nederlandse organisaties onder de richtlijn — en daarmee ook hun softwareleveranciers.

Val je onder NIS2?

NIS2 maakt onderscheid tussen twee categorieën:

  • Essentiële entiteiten: energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur, overheidsdiensten en ruimtevaart.
  • Belangrijke entiteiten: post- en koeriersdiensten, afvalverwerking, levensmiddelen, maakindustrie, digitale dienstverleners en onderzoeksorganisaties.

De drempel is een middelgroot bedrijf: meer dan 50 medewerkers of meer dan 10 miljoen euro omzet. Maar ook kleinere organisaties kunnen eronder vallen als ze een kritieke rol spelen in de keten van een essentiële entiteit.

En hier wordt het relevant voor softwareontwikkeling: als jouw klant onder NIS2 valt, dan stelt die klant eisen aan jou als leverancier. Supply chain security is een kernonderdeel van de richtlijn.

Als jouw klant onder NIS2 valt, dan val jij als softwareleverancier indirect ook onder de richtlijn — via supply chain eisen.

Wat eist NIS2 concreet?

De richtlijn schrijft geen specifieke technologieën voor, maar verplicht organisaties om "passende en evenredige" maatregelen te nemen op deze gebieden:

  • Risicoanalyse en beveiligingsbeleid: je moet risico's structureel in kaart brengen en beheersmaatregelen treffen
  • Incidentafhandeling: detectie, respons en herstel bij beveiligingsincidenten
  • Bedrijfscontinuïteit: backups, disaster recovery en crisisbeheer
  • Supply chain security: beveiligingseisen aan leveranciers en dienstverleners
  • Beveiligingsmaatregelen bij ontwikkeling: security in het ontwikkelproces van netwerk- en informatiesystemen
  • Beoordeling van effectiviteit: testen en auditen of je maatregelen werken
  • Cryptografie en encryptie: waar passend
  • Toegangscontrole en asset management: wie heeft toegang tot wat?
  • Multi-factor authenticatie: waar passend ingezet

De impact op softwareontwikkeling

Voor softwarebedrijven en hun klanten betekent NIS2 dat security geen optionele feature meer is, maar een wettelijke verplichting. Dit raakt het hele ontwikkelproces.

Secure development lifecycle

NIS2 verwacht dat security is ingebouwd in je ontwikkelproces — niet als een afterthought, maar als standaard onderdeel van elke fase. Concreet:

  • Threat modeling bij het ontwerp van nieuwe features
  • Code reviews met aandacht voor security-kwetsbaarheden
  • Geautomatiseerde security tests in je CI/CD-pipeline
  • Dependency scanning: weet welke packages je gebruikt en of ze kwetsbaarheden bevatten
  • Versiebeheer en een reproduceerbaar buildproces

Vulnerability management

Je moet kwetsbaarheden structureel opsporen, beoordelen en verhelpen. Dat betekent:

  • Regelmatige security scans en penetratietests
  • Een proces voor het triageren en prioriteren van gevonden kwetsbaarheden
  • Vastgelegde doorlooptijden voor het patchen van kritieke, hoge en medium kwetsbaarheden
  • Monitoring van CVE-databases voor je gebruikte dependencies

Incidentdetectie en -respons

NIS2 verplicht het melden van significante incidenten binnen 24 uur (early warning) en een volledig rapport binnen 72 uur. Dit heeft directe impact op je software:

  • Logging moet voldoende gedetailleerd zijn om incidenten te detecteren en te onderzoeken
  • Je hebt monitoring nodig die afwijkingen signaleert — niet alleen uptime, maar ook verdacht gedrag
  • Audit trails moeten onwijzigbaar zijn, zodat je kunt aantonen wat er is gebeurd
  • Je moet een incident response plan hebben dat beschrijft wie wat doet bij een beveiligingsincident
Een significant incident moet binnen 24 uur gemeld worden. Dat lukt alleen als je software de juiste signalen geeft.

Toegangscontrole en authenticatie

NIS2 benadrukt het belang van robuuste toegangscontrole. In je software betekent dat:

  • Role-based access control (RBAC) of attribute-based access control (ABAC)
  • Principle of least privilege: gebruikers krijgen alleen de rechten die ze nodig hebben
  • Multi-factor authenticatie voor beheerders en toegang tot gevoelige data
  • Sessiemanagement: automatische time-outs, detectie van verdachte sessies
  • Wachtwoordbeleid conform actuele standaarden — geen verplichte complexiteitsregels, wel controle tegen bekende gelekte wachtwoorden

Encryptie en databeveiliging

Net als bij de AVG, maar met een explicieter accent op netwerk- en informatiebeveiliging:

  • Versleuteling van data in transit (TLS 1.2+) en at rest
  • Versleutelde backups met gescheiden sleutelbeheer
  • Veilige opslag van secrets, API-keys en credentials — niet in code, niet in .env-bestanden op productie

Supply chain: wat je klant van jou verwacht

Een van de meest impactvolle onderdelen van NIS2 is de nadruk op supply chain security. Organisaties die onder de richtlijn vallen, moeten eisen stellen aan hun leveranciers — inclusief hun softwareleverancier.

In de praktijk betekent dit dat je als softwarebedrijf vragen gaat krijgen als:

  • Hoe is jullie ontwikkelproces ingericht qua security?
  • Gebruiken jullie geautomatiseerde security tests?
  • Hoe snel patchen jullie kritieke kwetsbaarheden?
  • Hoe is de toegang tot productieomgevingen geregeld?
  • Hebben jullie een incident response procedure?
  • Waar worden data en backups opgeslagen?
  • Hoe gaan jullie om met third-party dependencies?

Dit zijn geen hypothetische vragen. Grote klanten sturen steeds vaker security questionnaires en eisen contractuele garanties over je beveiligingsniveau. Wie hier geen goed antwoord op heeft, verliest opdrachten.

Wat wij al doen — en wat NIS2 bevestigt

Veel van wat NIS2 voorschrijft, is voor een professioneel softwarebedrijf geen verrassing. Het is wat je sowieso hoort te doen:

  • CI/CD met geautomatiseerde tests — inclusief security checks en dependency scanning
  • Versleuteling standaard — HTTPS overal, versleutelde databases, veilig sleutelbeheer
  • Multi-factor authenticatie — standaard beschikbaar in onze applicaties
  • Audit trails — wie deed wat, wanneer, met welke data
  • Penetratietests — onze software doorstaat onafhankelijke pentests
  • RBAC — fijnmazige rechtenstructuur als standaard
  • Monitoring en alerting — afwijkingen worden gesignaleerd
  • Veilige hosting — AWS met encryption at rest, netwerk-isolatie en geautomatiseerde backups

NIS2 formaliseert wat goed vakmanschap al voorschrijft. Het verschil is dat het nu een wettelijke verplichting wordt — met boetes tot 10 miljoen euro of 2% van de wereldwijde omzet voor essentiële entiteiten.

NIS2 formaliseert wat goed vakmanschap al voorschrijft. Het verschil: het is nu een wettelijke verplichting met serieuze boetes.

Praktische checklist voor softwareontwikkeling onder NIS2

  • Security is onderdeel van je development lifecycle, niet een losse fase
  • Geautomatiseerde security tests draaien in je CI/CD-pipeline
  • Dependencies worden gescand op bekende kwetsbaarheden
  • Kritieke kwetsbaarheden worden binnen vastgelegde termijnen gepatcht
  • Logging is voldoende gedetailleerd voor incidentonderzoek
  • Audit trails zijn onwijzigbaar en bewaard voor de vereiste periode
  • Multi-factor authenticatie is beschikbaar voor privileged accounts
  • Toegangscontrole werkt op basis van least privilege
  • Data is versleuteld in transit en at rest
  • Backups zijn versleuteld en regelmatig getest op herstelbaarheid
  • Er is een incident response plan met contactpersonen en procedures
  • Je kunt aan klanten uitleggen hoe je ontwikkelproces security borgt

Compliance als concurrentievoordeel

NIS2 voelt misschien als extra regeldruk. Maar kijk het anders: organisaties die hun security op orde hebben, winnen het vertrouwen van klanten die onder de richtlijn vallen. Je kunt NIS2 zien als een drempel, of als een manier om je te onderscheiden van leveranciers die security als bijzaak behandelen.

De organisaties die het eerst hun security-verhaal op orde hebben — met bewijs, niet alleen met beloftes — zullen de voorkeur krijgen bij aanbestedingen en leveranciersselecties. En dat is precies waar wij onze klanten mee helpen: software bouwen die niet alleen functioneel klopt, maar ook voldoet aan de eisen die de markt en de wetgever stellen.

Onderwerpen
NIS2 Security Compliance EU

/Gerelateerde artikelen

Juridisch

AVG / GDPR voor webapplicaties

De technische vereisten voor AVG-compliance in je webapplicatie.

Lees artikel
Architectuur

Veiligheid en pentests

Hoe wij security inbouwen en waarom onze software pentests doorstaat.

Lees artikel
Architectuur

Audit trail in software

Wie deed wat, wanneer? Onmisbaar voor compliance en foutopsporing.

Lees artikel

/Hulp nodig?

Vragen over dit onderwerp? Laten we het erover hebben.

Neem contact op