Gids Naleving Cyberbeveiliging

Implementatie van cyberbeveiligingscontroles voor NIST CSF 2.0 en NIS2

NIST CSF 2.0 en NIS2 vereisen beide dat u bedreigingen identificeert, systemen beschermt, incidenten detecteert en snel reageert. De meeste organisaties behandelen ze als afzonderlijke oefeningen. Ze delen dezelfde onderliggende cyberbeveiligingscontroles, wat betekent dat u ze één keer kunt implementeren en aan beide raamwerken kunt voldoen met veel minder dubbel werk.

CT
Cyvra-team
Cyvra-advies
13 mei 2026
10 minuten lezen
Belangrijkste afhaalrestaurants
  • NIST CSF 2.0 omvat de inhoud van de meeste NIS2 Artikel 21-vereisten voor zijn zes functies
  • De nieuwe GOVERN-functie in CSF 2.0 sluit rechtstreeks aan bij NIS2 artikel 20-managementverantwoordelijkheid
  • Drie NIS2-vereisten hebben geen direct CSF-equivalent: tijdlijnen voor wettelijke kennisgevingen, entiteitsclassificatie en bestuursaansprakelijkheid
  • Met één enkele beoordeling van de tekortkomingen kunnen beide kaders worden aangepakt, mits correct gestructureerd
  • Gezondheidszorg-, financiële dienstverlenings- en horecaorganisaties vallen binnen het bereik van NIS2 als essentiële of belangrijke entiteiten

Twee live vereisten, één programma

NIS2 werd in oktober 2024 afdwingbaar in alle EU-lidstaten. NIST CSF 2.0 werd in februari van dat jaar gepubliceerd. Beide zijn nu van toepassing op dezelfde populatie: middelgrote en grote ondernemingen in gereguleerde sectoren met activiteiten of klanten in de EU.

De natuurlijke reactie is om ze als afzonderlijke projecten te behandelen, met afzonderlijke beoordelingen van tekorten, afzonderlijke hersteltrajecten en afzonderlijke rapporten. Dat dupliceren kost tijd zonder dat er extra controles ontstaan. NIS2 Artikel 21 en NIST CSF 2.0 delen een hoge mate van structurele overlap, en de gebieden waar ze uiteenlopen zijn specifiek en beheersbaar.

De argumenten voor het gebruik van NIST CSF 2.0 als werkframework voor NIS2 zijn eenvoudig. CSF 2.0 is operationeel flexibeler dan ISO 27001, gemakkelijker stapsgewijs te implementeren en heeft een directe analoog voor elke artikel 21-maatregel. De nieuwe GOVERN-functie sluit rechtstreeks aan bij de vereisten voor managementverantwoordelijkheid van de NIS2. Het resultaat is één wetenschappelijke basis die beide raamwerken bedient, in plaats van twee parallelle programma's die tweemaal dezelfde controles produceren.

Wat is er veranderd in NIST CSF 2.0

Het originele NIST Cybersecurity Framework had vijf functies: identificeren, beschermen, detecteren, reageren, herstellen. Versie 2.0 voegt een zesde toe: GOVERN.

GOVERN omvat de andere vijf functies. Het behandelt de organisatorische context, de risicobeheerstrategie, het risicobeheer van de toeleveringsketen, de rollen en verantwoordelijkheden, en toezichtsmechanismen. Waar versie 1.1 beschreef welke controles moesten worden geïmplementeerd, gaat GOVERN in op wie verantwoordelijk is voor die controles, hoe de risicobereidheid wordt bepaald en hoe cyberbeveiliging aansluit op de bredere bedrijfsstrategie.

Deze toevoeging is specifiek van belang voor NIS2. NIS2 Artikel 20 vereist dat besturen en managementorganen cyberbeveiligingsmaatregelen goedkeuren en toezicht houden op de implementatie ervan, met persoonlijke aansprakelijkheid als ze dit niet doen. GOVERN biedt de raamwerkstructuur om precies dat bestuur te documenteren. CSF 2.0 past beter bij NIS2 dan versie 1.1.

Versie 2.0 breidde het beoogde publiek ook uit buiten exploitanten van kritieke infrastructuur. Het oorspronkelijke raamwerk was vooral gericht op grote infrastructuurorganisaties. Versie 2.0 richt zich op organisaties van elke omvang in alle sectoren, waardoor het in lijn ligt met het uitgebreide bereik van NIS2 van ongeveer 160.000 EU-entiteiten.

6
CSF 2.0-functies, vergeleken met vijf in versie 1.1. REGERING is nieuw.
10
verplichte beveiligingsmaatregelen onder NIS2 artikel 21
februari 2024
CSF 2.0 gepubliceerd, acht maanden voordat de handhaving van NIS2 begon

De zes functies van CSF 2.0 kort samengevat:

  • BESTUUR (ALV): Organisatorische context, risicostrategie, supply chain, rollen, toezicht
  • IDENTIFICEREN (ID): Vermogensbeheer, risicobeoordeling, verbetering
  • BESCHERMEN (PR): Toegangscontrole, training, gegevensbeveiliging, platformbeveiliging
  • DETECTEREN (DE): Continue monitoring, analyse van bijwerkingen
  • REAGEER (RS): Incidentbeheer, analyse, communicatie, mitigatie
  • HERSTELLEN (RC): Uitvoering herstelplan, herstelcommunicatie

Hoe NIS2 artikel 21 aansluit bij CSF 2.0

Elke NIS2 artikel 21-maatregel heeft een overeenkomstige functie en subcategorie in NIST CSF 2.0. De onderstaande tabel toont de primaire KSF-functies en subcategoriecodes voor elk van de 10 verplichte maatregelen.

1
Risicoanalyse en informatiebeveiligingsbeleid
REGEREN + IDENTIFICEREN
GV.RMGV.OCID.RA
2
Incidentafhandeling
DETECTEREN + REAGEREN
DE.AERS.MARS.ANRS.CO
3
Bedrijfscontinuïteit, back-upbeheer en noodherstel
HERSTEREN + BESCHERMEN
RC.RPRC.COPR.DS
4
Beveiliging van de toeleveringsketen
BESTUUR
GV.SC
5
Beveiliging bij systeemaankoop, -ontwikkeling en -onderhoud
BESCHERMEN + IDENTIFICEREN
PR.PSID.AM
6
Beleid om de effectiviteit van cyberbeveiligingsmaatregelen te beoordelen
IDENTIFICEER + BESTUUR
ID.IMGV.OC
7
Basistraining cyberhygiëne en cyberbeveiliging
BESCHERMEN
PR.ATPR.AA
8
Beleid inzake cryptografie en encryptie
BESCHERMEN
PR.DS
9
Human resources-beveiliging, toegangscontrole en activabeheer
BESCHERMEN + IDENTIFICEREN
PR.AAID.AM
10
Multi-factor authenticatie en veilige communicatie
BESCHERMEN
PR.AAPR.DS

De meeste organisaties beschikken al over gedeeltelijke controles op deze gebieden. De gemeenschappelijke kloof bestaat uit controles die informeel bestaan, processen die niet gedocumenteerd zijn en herstelplannen die nooit zijn getest. Een KSF 2.0-gapbeoordeling brengt precies dat aan het licht: het verschil tussen controles die op papier bestaan ​​en controles die kunnen worden aangetoond.

Waar CSF 2.0 NIS2 niet dekt

Drie NIS2-vereisten vallen buiten wat NIST CSF 2.0 direct aanpakt. Deze moeten expliciet in uw programma worden ingebouwd.

Tijdlijnen voor incidentmeldingen

CSF 2.0 omvat de respons op en rapportage van incidenten (RS.MA, RS.CO), maar stelt geen specifieke deadlines vast voor het informeren van regelgevende instanties. NIS2 zorgt voor: een vroegtijdige waarschuwing aan het relevante CSIRT of de bevoegde autoriteit binnen 24 uur nadat er kennis is genomen van een significant incident, een uitgebreidere melding binnen 72 uur en een eindrapport binnen één maand.

Voor uw incidentresponsplan moeten deze stappen expliciet worden gedocumenteerd, waarbij in elke fase bij naam genoemde personen verantwoordelijk zijn voor de communicatie over de regelgeving. Vooral de deadline van 24 uur overrompelt organisaties, omdat de reactie-instincten bij incidenten eerst gericht zijn op de beheersing en pas op de tweede plaats op de melding. Als melding door de toezichthouder geen stap is in het eerste uur van uw proces voor gemelde incidenten, moet dat wel zo zijn.

Belangrijk

Voor het binnen 24 uur melden bij uw bevoegde autoriteit is geen volledig beeld van het incident nodig. De vroegtijdige waarschuwing is er juist om de autoriteiten de tijd te geven om te helpen. Het uitstellen van de melding terwijl u onderzoek doet, is wat de aandacht van de handhavingsautoriteiten trekt.

Entiteitsclassificatie

NIS2 classificeert organisaties als essentiële entiteiten of belangrijke entiteiten. Deze classificatie is van invloed op de auditfrequentie, de boeteniveaus (tot € 10 miljoen of 2% van de mondiale omzet voor essentiële entiteiten; tot € 7 miljoen of 1,4% voor belangrijke entiteiten) en enkele procedurele vereisten. NIST CSF 2.0 heeft geen gelijkwaardige tiering. U moet uw classificatie bevestigen bij de relevante nationale autoriteit in elke EU-lidstaat waar u actief bent. In Nederland coördineert het NCSC de sectorregistratie NIS2.

Verantwoordelijkheid van het bestuursorgaan

CSF 2.0 GOVERN behandelt rollen, verantwoordelijkheden en toezicht (GV.RR). NIS2 Artikel 20 gaat verder: het creëert persoonlijke aansprakelijkheid voor individuele bestuursleden en C-suite executives die hun verplichtingen op het gebied van cyberbeveiligingsbeheer niet nakomen. Toezichthouders kunnen bij naam genoemde personen verantwoordelijk houden en, voor essentiële entiteiten, hen tijdelijk verbieden leidinggevende verantwoordelijkheden uit te oefenen.

Om aan artikel 20 te voldoen is gedocumenteerd bewijs nodig. Notulen van het bestuur waarin de goedkeuring van de maatregelen voor cyberbeveiligingsrisicobeheer wordt vermeld, aanwezigheidsregistraties voor cyberbeveiligingstrainingen op bestuursniveau en een schriftelijke aftekening van het programma. Een KSF-profieldocument alleen voldoet hieraan niet. Een gestructureerd trainingsprogramma met registraties doet dat wel.

Het uitvoeren van één complianceprogramma voor beide

Een aanpak in vier stappen om beide kaders in één programma te integreren:

  1. Voer een CSF 2.0-profielbeoordeling uit. Breng uw huidige statuscontroles in kaart voor alle zes functies. Maak een huidig ​​profiel en een doelprofiel. Dit is het basisdocument voor beide raamwerken en het startpunt voor alles wat volgt.
  2. Leg NIS2 artikel 21 over uw CSF-openingen. Bepaal met behulp van de bovenstaande mapping welke artikel 21-maatregelen overeenkomen met elke KSF-kloof. De meeste NIS2-vereisten verschijnen al als hiaten in uw huidige CSF-profiel. Geef prioriteit aan herstel op basis van het NIS2-handhavingsrisico, niet alleen op basis van de CSF-implementatielaag.
  3. Pak de drie NIS2-specifieke hiaten aan. Werk uw incidentresponsplan bij met de 24u/72u/1-maand notificatiestappen met genoemde eigenaren. Bevestig uw entiteitsclassificatie. Maak een bestuurstraining en aftekenrecord voor artikel 20.
  4. Zorg voor een uniform nalevingsdocument. Eén document dat uw huidige CSF- en doelprofielen toont, naast uw NIS2 Artikel 21-status, geeft u het interne managementoverzicht en het regelgevend bewijsmateriaal op één plek. Wanneer een nieuwe controle wordt geïmplementeerd, worden beide raamwerken tegelijk bijgewerkt.
Praktische opmerking

Het uitvoeren van een CSF 2.0-gapbeoordeling gevolgd door een artikel 21-overlay is doorgaans sneller dan het uitvoeren van twee afzonderlijke beoordelingen. Het levert ook een schoner bewijsmateriaal op: controles worden één keer gedocumenteerd en er wordt door beide raamwerken naar verwezen, waardoor er minder moeite hoeft te worden gedaan wanneer een toezichthouder of auditor om bewijsmateriaal vraagt.

Opmerkingen over gezondheidszorg, financiële diensten en horeca

Gezondheidszorg

Zorgorganisaties zijn essentiële entiteiten onder NIS2. In Groot-Brittannië moeten NHS-trusts ook voldoen aan de DSPT-vereisten, die overlappen met verschillende NIS2 Artikel 21-maatregelen, waaronder incidentafhandeling, toegangscontrole en gegevensbeveiliging. In Nederland gelden op grond van zowel NIS2 als sectorspecifieke regelgeving specifieke verplichtingen op het gebied van de beveiliging van medische hulpmiddelen en de veerkracht van klinische systemen. Een NIST CSF 2.0-programma waarin de drie NIS2-specifieke hiaten zijn aangepakt, biedt een gemeenschappelijke basislijn voor al deze problemen, waardoor het aantal afzonderlijke compliance-tracks dat parallel loopt, wordt verminderd.

Financiële diensten

Financiële entiteiten die onderworpen zijn aan DORA hebben naast NIS2 te maken met aanvullende vereisten. Het ICT-risicobeheerraamwerk van DORA, de vereisten voor de classificatie van incidenten en het TLPT-regime (threat-led penetratietesten) zijn op verschillende gebieden strenger dan NIS2. Een CSF 2.0-programma dat NIS2 bestrijkt, biedt een sterke basis, maar DORA vereist aanvullende documentatie voor ICT-risicobeheer door derden en de categorieën van incidentclassificatie die verschillen van NIS2's definitie van significante incidenten. Eerst een gecombineerd CSF/NIS2-programma uitvoeren en vervolgens DORA-specifieke overlays in lagen aanbrengen, is de meest efficiënte volgorde voor bedrijven die aan alle drie de programma's onderworpen zijn.

Gastvrijheid

Hotels, resorts, restaurantketens en reisorganisaties kwalificeren doorgaans als belangrijke entiteiten onder NIS2. PCI DSS-compliance, die al vereist is voor kaartaccepterende bedrijven, biedt een zinvolle voorsprong. PCI DSS-besturingselementen komen nauw overeen met de PROTECT- en DETECT-functies in CSF 2.0. De gebieden die specifieke aandacht behoeven voor NIS2 zijn de governance-documentatie (GOVERN), procedures voor het melden van incidenten en beveiligingsclausules voor de toeleveringsketen in leverancierscontracten, met name met aanbieders van vastgoedbeheersystemen en betalingsplatforms.

Wat nu te doen

Als uw organisatie onderworpen is aan NIS2 en nog geen werkend cyberbeveiligingsframework heeft aangenomen, is NIST CSF 2.0 de praktische keuze voor 2026. De GOVERN-functie geeft u de bestuursstructuur die NIS2 Artikel 20 vereist, en de mapping naar Artikel 21 is zo direct dat één programma beide omvat.

Als u al onder CSF 1.1 werkt, is een upgrade naar 2.0 alleen al voor GOVERN de moeite waard. De toevoegingen zijn incrementeel in plaats van herschreven, dus de verbetering is beheersbaar en het voordeel voor NIS2-compliance is onmiddellijk.

De CSF 2.0-profielenbenadering, waarbij u de huidige status en de beoogde status afzonderlijk documenteert, werkt ook goed als communicatiemiddel op bestuursniveau. Het maakt duidelijk wat is goedgekeurd en wat nog moet worden aangepakt, en dat is precies het soort gedocumenteerd bewijsmateriaal dat artikel 20 vereist.

Als u niet zeker weet waar u moet beginnen, is een gecombineerde CSF 2.0- en NIS2-gapbeoordeling de meest efficiënte eerste stap. Het stelt uw basislijn vast, identificeert uw hiaten in de prioriteiten en produceert in één werkstuk de bewijsset die u nodig heeft voor beide raamwerken.

NIST Cybersecurity Framework 2.0-documentatie, inclusief de volledige raamwerkkern, implementatielagen en profielen, is beschikbaar op nist.gov/cyberframework. De volledige tekst van de NIS2-richtlijn is gepubliceerd op EUR-Lex.

Veelgestelde vragen

Betekent het volgen van NIST CSF 2.0 dat u NIS2-compatibel bent?

Niet automatisch. NIST CSF 2.0 is een raamwerk, geen certificering. Het behandelt de inhoud van de meeste NIS2 artikel 21-vereisten, maar NIS2 heeft drie elementen die afzonderlijke aandacht behoeven: specifieke incidentmeldingsprocedures met wettelijke deadlines (24 uur, 72 uur, 1 maand), classificatie van entiteiten bij uw nationale autoriteit en gedocumenteerde verantwoordelijkheid op bestuursniveau onder artikel 20. Een CSF 2.0-programma plaatst u in een sterke positie, maar deze drie hiaten moeten expliciet worden aangepakt.

Is NIST CSF verplicht in Nederland of Groot-Brittannië?

Nee. NIST CSF is een vrijwillig raamwerk gepubliceerd door het Amerikaanse National Institute of Standards and Technology. Dit is niet vereist volgens de Nederlandse of Britse wetgeving. Toezichthouders in Nederland en Groot-Brittannië zullen bewijs van controles accepteren, ongeacht het raamwerk dat wordt gebruikt om deze te documenteren. NIST CSF wordt veel gebruikt als werkraamwerk omdat het flexibel, sectoronafhankelijk en goed gedocumenteerd is, niet omdat het verplicht is.

Kunnen we ISO 27001 gebruiken in plaats van NIST CSF 2.0 voor NIS2?

Ja. ISO 27001 en NIST CSF 2.0 zijn beide compatibel met NIS2 Artikel 21. ISO 27001 is meer prescriptief en meer gericht op certificering, waar sommige organisaties de voorkeur aan geven voor leveranciersgarantiedoeleinden. NIST CSF is flexibeler als intern werkraamwerk. Veel organisaties gebruiken beide: CSF voor intern programmabeheer en ISO 27001 voor externe certificering. Er moet aan de drie NIS2-specifieke vereisten (meldingstijdlijnen, entiteitsclassificatie, bestuursverantwoordelijkheid) worden voldaan, ongeacht welk raamwerk u gebruikt.

Wat is de GOVERN-functie in NIST CSF 2.0?

GOVERN is de nieuwe functie die is toegevoegd in NIST CSF 2.0, gepubliceerd in februari 2024. Het behandelt de organisatorische context, de risicobeheerstrategie, het risicobeheer van de toeleveringsketen, rollen en verantwoordelijkheden, en toezichtsmechanismen. Het werd toegevoegd om een ​​leemte in CB 1.1 aan te pakken, waar het raamwerk operationele en technische controles omvatte, maar niet duidelijk inging op bestuur en verantwoording op bestuursniveau. Voor NIS2-doeleinden is GOVERN de functie die het meest direct relevant is voor de verplichtingen van artikel 20 van het bestuursorgaan.

Hoe verhoudt DORA zich tot NIST CSF 2.0 en NIS2?

DORA (de Digital Operational Resilience Act) is naast NIS2 van toepassing op financiële entiteiten in de EU. DORA is op verschillende gebieden prescriptiever dan NIS2, met name de classificatie van ICT-incidenten, ICT-risicobeheer van derden en op bedreigingen gebaseerde penetratietests. NIST CSF 2.0 is compatibel met de vijf pijlers van DORA, maar voldoet niet volledig aan de specifieke documentatievereisten van DORA. Een CSF 2.0-programma voor NIS2 biedt een sterke basis, maar financiële entiteiten hebben DORA-specifieke overlays nodig voor de classificatie van risico's en incidenten van derden.

Praat met Cyvra

Wilt u uw NIS2- en NIST CSF-programma's op elkaar afstemmen?

We voeren gecombineerde gap assessments uit voor organisaties in Nederland en Groot-Brittannië die aan beide eisen moeten voldoen zonder twee parallelle werkstromen te runnen.

Neem contact op Onze compliancediensten

Vrijwaring: Dit artikel is uitsluitend bedoeld voor algemene informatiedoeleinden en vormt geen juridisch, regelgevend of professioneel advies. Cyvra geeft geen garantie met betrekking tot de juistheid of volledigheid van deze inhoud, die mogelijk niet de meest recente ontwikkelingen op regelgevingsgebied weerspiegelt. Lezers moeten onafhankelijk juridisch en regelgevend advies inwinnen dat geschikt is voor hun specifieke omstandigheden. Cyvra aanvaardt geen aansprakelijkheid voor enig verlies dat voortvloeit uit het vertrouwen op deze inhoud.