EU-soeverein hosten in NL: wat NIS2 echt vraagt

Wat NIS2 eigenlijk is, en voor wie

De Europese richtlijn NIS2 (Netwerk- en Informatiebeveiliging 2) is in oktober 2022 vastgesteld en moest in oktober 2024 zijn omgezet in nationale wetgeving door de lidstaten.¹ Nederland loopt daarin achter: de Cyberbeveiligingswet is per medio 2025 nog in wetgevingstraject. Maar vertraging in nationale implementatie betekent niet dat de richtlijn irrelevant is — organisaties die straks onder de wet vallen, moeten nu al nadenken over hun technische maatregelen.

NIS2 heeft een veel breder toepassingsgebied dan zijn voorganger. De richtlijn onderscheidt twee categoriën: essentiële entiteiten (sectoren als energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur) en belangrijke entiteiten (onder meer maakbedrijven, voedingsindustrie, post & koeriers, ICT-dienstverleners, afvalverwerking).² De drempel voor de categorie “belangrijk” is 50+ medewerkers of €10 miljoen+ jaaromzet. Dat treft een substantieel deel van het Nederlandse MKB-segment.

ICT-dienstverleners en managed service providers vallen expliciet in scope, ook als zij zelf kleiner zijn — dit is een bewuste keuze vanuit de Europese wetgever om supply chain-aanvallen te adresseren.³ Een installateur die kassa-software beheert voor tien horecabedrijven, een bureau dat ERP host voor drie productiebedrijven: zij vallen al snel in de categorie “ICT-managed service provider”.

De vier concrete maatregelgebieden

Artikel 21 van NIS2 somt de minimummaatregelen op die organisaties moeten nemen. Ze zijn technischer dan de GDPR-verplichtingen — geen vage zorgplicht maar concrete domeinen:

Risicoanalyse en informatiebeveiligingsbeleid — gedocumenteerd, periodiek herzien.
Incidentenbehandeling — detectie, response, en herstelproces vastgelegd. Significante incidenten moeten binnen 24 uur worden gemeld aan de bevoegde autoriteit (in NL: het NCSC of sectorale CSIRT), met een volledig rapport binnen 72 uur.⁴
Bedrijfscontinuiteit — back-upbeheer, noodherstelplan, crisisbeheer.
Beveiliging van de toeleveringsketen — dit is het punt waar hosting en leverancierskeuzes rechtstreeks in beeld komen.
Toegangsbeleid en authenticatie — onder meer MFA waar van toepassing.
Encryptie — versleuteling van gegevens in transit en in rust waar relevant.

Geen van deze maatregelen verplicht specifiek tot EU-hosting. Maar de combinatie van supply-chain-beveiliging en AVG/GDPR-verplichtingen drijft de praktijk in die richting.

Waar hosting- en cloudkeuzes raken aan NIS2-compliance

Het kernpunt is de verplichting tot beveiliging van de leveranciersketen. NIS2 vraagt dat organisaties de risico’s van hun leveranciers en subverwerkers beoordelen en contractueel borgen. Dat is niet nieuw in de GDPR-context, maar NIS2 voegt er een operationele laag aan toe: het gaat niet alleen over dataverwerkingsovereenkomsten, maar over het aantoonbaar beheersen van de beveiligingskwaliteit van de keten.

Een hosting provider buiten de EU valt doorgaans onder de jurisdictie van een derde land. Voor Amerikaanse providers gelden de CLOUD Act en Foreign Intelligence Surveillance Act, die de provider onder bepaalde omstandigheden verplichten tot verstrekking van gegevens aan Amerikaanse inlichtingendiensten — zonder dat de gebruiker of de Nederlandse toezichthouder daarin is betrokken.⁵ Dat is een reeel risicogebied voor de supply-chain-beoordeling die NIS2 vraagt.

EU-gebaseerde hosting lost dit probleem niet volledig op: ook Europese providers kunnen subverwerkers inschakelen buiten de EU. Wat er toe doet is of je als organisatie aantoonbaar weet:

waar je gegevens worden opgeslagen en verwerkt;
welke subverwerkers toegang hebben en onder welke juridische jurisdictie zij opereren;
welke beveiligingscertificeringen die subverwerkers houden (ISO 27001, SOC 2 Type II, of equivalent);
hoe incidenten bij de provider naar jou worden gecommuniceerd en op welke termijn.

“EU-soeverein hosten” is in de praktijk shorthand voor een configuratie waarbij al deze vragen positief beantwoord kunnen worden: data in EU-datacenter, provider onder EU-recht, subverwerkersstapel transparant en ook in EU-jurisdictie. In de Nederlandse markt zijn dat providers als Hetzner (DE), TransIP, Antagonist, OVHcloud (FR-NL), en enkele gespecialiseerde compliance-hostingpartijen.

Wat “soeverein hosten” concreet vraagt van een MKB-organisatie

Hier is waar de discussie vaak abstractiever wordt dan nodig. Wat moet een bedrijf van 80 medewerkers met een ERP-systeem en een kassa in de cloud nu eigenlijk regelen?

Stap 1 is een inventarisatie van alle systemen waar bedrijfsdata in staat: ERP, boekhouding, kassa, e-mail, CRM, besteldiensten, personeelsadministratie. Voor elk systeem: welke provider, in welk land gehost, welke subverwerkers. Dit is niet eenmalig werk — providers wijzigen hun infrastructuur en subverwerkersstapel. De meeste verwerkers vermelden dit in hun privacyverklaring of DPA-bijlage; update-notificaties komen zelden proactief.

Stap 2 is een risicobeoordeling per systeem. Niet elk systeem is even gevoelig. Een kassasysteem dat uitsluitend transacties registreert in geaggregeerde vorm heeft een ander risicoprofiel dan een CRM-systeem met klantcontactgeschiedenis, betaalgedrag en correspondentie.

Stap 3 is de contractuele borging. Elke provider waarmee je een verwerkingsrelatie hebt in de NIS2-context, moet contractueel aangesproken kunnen worden op beveiligingsmaatregelen, incidentnotificatie, en subverwerkersbeheer. NIS2 legt de verantwoordelijkheid bij de entiteit die de richtlijn van toepassing is — niet bij de leverancier. Je bent dus zelf verantwoordelijk voor het stellen en bewaken van die eisen.

Stap 4 is documentatie en periodieke review. De wet vraagt aantoonbaarheid. “We hebben het goed geregeld” is onvoldoende; er moet een gedocumenteerd beveiligingsbeleid zijn, een procedure voor incidentmelding, en een herstelplan. Voor de meeste MKB-organisaties is dat geen groot IT-project maar eerder een documentatieproject met periodieke onderhoud.

Veelgemaakte denkfouten

Denkfout 1: “Wij zijn te klein voor NIS2.” De drempel van 50 medewerkers of €10 miljoen omzet valt voor de categorie “belangrijk”. Maar als je als ICT-leverancier of managed service provider werkt voor organisaties die zelf wel onder NIS2 vallen, zul je contractueel aangesproken worden op NIS2-conforme maatregelen — ook als je zelf net onder de drempel zit. Supply chain-druk werkt omlaag.

Denkfout 2: “ISO 27001 dekt dit af.” ISO 27001 is een nuttige certificering die aantoont dat een informatiebeveiligingssysteem aanwezig en beoordeeld is. Maar NIS2 stelt ook eisen aan incidentmeldprocessen, herstelplannen, en de beoordeling van de eigen leveranciersketen die buiten de scope van een ISO-certificering kunnen liggen. Beide zijn nuttig, maar niet inwisselbaar.

Denkfout 3: “EU-hosting garandeert compliance.” Hosting bij een EU-provider is een noodzakelijke maar geen voldoende voorwaarde. Een provider zonder incidentnotificatiebeleid, zonder transparantie over subverwerkers, en zonder beveiligingscertificeringen levert geen NIS2-conforme verwerkingsomgeving op — ook als het datacenter in Amsterdam staat.

Denkfout 4: “Dit is een probleem voor later als de wet er is.” Technische maatregelen implementeren kost tijd. Leverancierscontracts herzien kost tijd. Back-upinfrastructuur op orde brengen kost tijd. Organisaties die wachten totdat de nationale wet van kracht is, starten met een significant achterstand op de implementatietermijn die toezichthouders hanteren.

Praktische eerste stappen voor MKB

Voor een MKB-bedrijf dat nu wil beginnen zijn drie stappen direct uitvoerbaar, zonder grote IT-investering:

Maak een systemenoverzicht. Lijst alle systemen op met provider, hostinglocatie, en verwerkingsovereenkomst. Controleer bij elke provider of er een actuele subverwerkers-annex beschikbaar is.
Stel een incidentprocedure op. Wie in de organisatie is verantwoordelijk voor de melding bij een incident? Wat is het interne escalatiepad? Hoe wordt communicatie naar klanten afgehandeld? Dit hoeft geen complex document te zijn; twee pagina’s met eigenaar, contactpersonen, en tijdlijn is een begin.
Plan een jaarlijkse review. Stel een herhalende agenda-afspraak in voor het doorlopen van leverancierscontracten, subverwerkers, en certificeringen. NIS2 vraagt niet perfectie op dag 1; het vraagt een aantoonbaar beheerd systeem.

NIS2-compliance is geen eenmalig IT-project. Het is een doorlopend operationeel proces. De organisaties die dat nu inrichten, zijn over twee jaar in een veel betere positie dan degenen die wachten op de definitieve nationale wet.

NIS2 en AVG: twee kaders, één datalandschap

NIS2 staat niet los van de Algemene Verordening Gegevensbescherming. Beide kaders raken aan de beveiliging van persoonsgegevens, maar vanuit een ander vertrekpunt. De AVG regelt de rechtmatigheid en doelbeperking van gegevensverwerking, inclusief de voorwaarden voor doorgifte naar derde landen. NIS2 regelt de technische en organisatorische weerbaarheid van netwerk- en informatiesystemen.

Waar ze elkaar raken: de AVG verbiedt doorgifte van persoonsgegevens naar landen buiten de EER zonder passende bescherming. Het Europees Hof van Justitie heeft in de Schrems II-uitspraak (2020) het EU-VS Privacy Shield ongeldig verklaard op grond van het feit dat Amerikaanse surveillance-wetgeving geen gelijkwaardig beschermingsniveau biedt als het EU-recht.⁶ Het EU-VS Data Privacy Framework van 2023 is een nieuwe poging om die doorgifte te legitimeren, maar Europese privacy-toezichthouders uiten nog steeds twijfels over de duurzaamheid ervan.

Voor een MKB-organisatie betekent dit: de keuze voor EU-jurisdictie is niet alleen een NIS2-overweging maar ook een AVG-overweging. Een hostingkeuze die beide kaders adresseert, is efficienters dan twee aparte compliance-trajecten. De praktische vuistregel: kies de configuratie die je aan zowel de Autoriteit Persoonsgegevens als de sectorale NIS2-toezichthouder kunt uitleggen zonder juridisch voorbehoud. Dat sluit niet-EU-jurisdictie in de meeste gevallen praktisch uit.

Bronnen

Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad, 14 december 2022. Publicatieblad EU L 333/80. Implementatietermijn: 17 oktober 2024.
NIS2-richtlijn, bijlagen I en II: lijst van essentiële en belangrijke sectoren. Drempel voor “middelgroot bedrijf”: aanbeveling 2003/361/EG.
Overweging 83 en artikel 21(2)(d) NIS2: expliciete vermelding van “beveiliging van de toeleveringsketen” als vereiste maatregel.
Artikel 23 NIS2: meldplicht significante incidenten. 24 uur voor vroegtijdige waarschuwing, 72 uur voor kennisgeving, 1 maand voor eindverslag.
CLOUD Act (Clarifying Lawful Overseas Use of Data Act, VS, 2018). Analyse door het ENISA-rapport “Data Protection Engineering” (2022) over jurisdictierisico’s bij clouddiensten.
HvJ EU, 16 juli 2020, C-311/18 (Data Protection Commissioner / Facebook Ireland en Schrems, ook wel “Schrems II”). Het Hof verklaarde het EU-VS Privacy Shield ongeldig wegens onvoldoende bescherming.