AI Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Compliance-platform Samenwerken LinkedIn NL·EN·DE
Uitleg

Cyberbeveiliging in zeehavens: NIS2 en de Cyber Resilience Act

Vastgesteld 2026-06-16 · ≈ 2 min lezen · Dirk Baaijen

Zeehavens vallen onder NIS2 (Richtlijn (EU) 2022/2555): risicobeheersmaatregelen, bestuurlijke verantwoordelijkheid en meldplicht. De Cyber Resilience Act (Verordening (EU) 2024/2847) stelt beveiligingseisen aan digitale producten in havenketens.

Kort antwoord: Zeehavens en havenexploitanten vallen onder NIS2 (Richtlijn (EU) 2022/2555), die de vervoerssector aanmerkt en risicobeheersmaatregelen, bestuurlijke verantwoordelijkheid en een meldplicht voor incidenten oplegt. De Cyber Resilience Act (Verordening (EU) 2024/2847) richt zich op de producten: hij stelt cyberbeveiligingseisen aan hardware en software met digitale elementen, waaronder veel systemen die in havenketens worden gebruikt.

NIS2: de haven als entiteit

NIS2 (Richtlijn (EU) 2022/2555) verving de oude NIS-richtlijn en verbreedde de reikwijdte tot een groot aantal sectoren, waaronder vervoer. Daaronder valt het vervoer over water en de bijbehorende infrastructuur, zoals zeehavens en havenfaciliteiten. Entiteiten worden ingedeeld als essentieel of belangrijk, met verschillende toezicht- en handhavingsregimes.

Voor een haven die onder NIS2 valt, gelden onder meer risicobeheersmaatregelen (art. 21) — denk aan risicoanalyse, incidentafhandeling, beveiliging van de toeleveringsketen en continuïteitsbeheer — en een uitdrukkelijke bestuurlijke verantwoordelijkheid (art. 20): het management moet de maatregelen goedkeuren en houdt toezicht op de uitvoering. Daarnaast geldt een gefaseerde meldplicht voor significante incidenten. De lidstaten moesten NIS2 uiterlijk 17 oktober 2024 in nationaal recht omzetten; de precieze invulling en de aanwijzing van de bevoegde toezichthouder verschillen per lidstaat.

De Cyber Resilience Act: de producten in de keten

Waar NIS2 zich op organisaties richt, richt de Cyber Resilience Act (Verordening (EU) 2024/2847) zich op producten met digitale elementen — hardware en software die met een netwerk of ander apparaat kunnen worden verbonden. De verordening legt fabrikanten, importeurs en distributeurs beveiligingseisen op gedurende de levenscyclus, inclusief het beheer van kwetsbaarheden.

In een havenomgeving zijn dat bijvoorbeeld sensoren, kademeet- en sluissystemen, terminal-operating software en industriële besturingssystemen die in operationele technologie worden ingezet. De CRA wordt gefaseerd van toepassing; de volledige toepassing is voorzien op 11 december 2027, met eerdere data voor bepaalde verplichtingen. Voor havens betekent dit dat de keuze en het inkoopproces van digitale apparatuur op termijn mede worden bepaald door de CRA-conformiteit van leveranciers.

Hoe NIS2 en de CRA samenkomen

NIS2 en de CRA vullen elkaar aan: NIS2 verplicht de haven als organisatie tot beveiliging — inclusief toeleveringsketenbeveiliging — terwijl de CRA de beveiliging van de ingekochte producten aan de bronkant regelt. Een haven die onder NIS2 valt, kan de CRA-conformiteit van leveranciers gebruiken als bouwsteen voor de eigen risicobeheersmaatregelen. Beide kaders zijn nu vastgesteld; de exacte verplichtingen hangen af van de classificatie van de entiteit, de nationale omzetting van NIS2 en het gefaseerde tijdpad van de CRA.

Lees ook: Transport & Logistiek. Doe de scan.

Bronnen

  1. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlijn (EU) 2022/2555 (NIS2): cyberbeveiligingsplichten voor essentiële en belangrijke entiteiten; omzetting uiterlijk 17 oktober 2024.
  2. https://eur-lex.europa.eu/eli/reg/2024/2847/oj
    Verordening (EU) 2024/2847 (Cyber Resilience Act): beveiligingseisen voor producten met digitale elementen; volledige toepassing 11 december 2027.

Deel op LinkedIn

Lees ook

A

AI beveiligen in kritieke infrastructuur: waar AI Act, Cyber Resilience Act en NIS2 samenkomen

Eén AI-systeem in een haven valt vaak onder drie kaders tegelijk: de AI Act (art. 15) beveiligt het AI-systeem zelf, de Cyber Resilience Act het product, en NIS2 verplicht de exploitant als essentiële entiteit. Dit stuk legt uit hoe ze samenkomen en wie waarvoor verantwoordelijk is.

U

AI in telecom: netwerkbeheer, fraudedetectie en NIS2

Telecombedrijven zetten AI in voor netwerkoptimalisatie en fraudedetectie. De AI Act raakt vooral fraudedetectie die klanten beoordeelt, terwijl NIS2 strenge eisen stelt aan de cyberbeveiliging en incidentmelding van deze essentiële infrastructuur.

U

AI in de energiesector: kritieke infrastructuur en NIS2

AI die het beheer of de werking van energievoorziening aanstuurt, kan onder de AI Act hoogrisico zijn (bijlage III, kritieke infrastructuur). Tegelijk valt de energiesector onder NIS2 voor cyberbeveiliging. Twee regimes met deels overlappende eisen aan robuustheid en toezicht.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

Maandelijkse Transport & Logistiek-signalering

Eén keer per maand: de EU-ontwikkelingen die transport en logistiek raken, kort geduid — met bron. Geen spam, uitschrijven kan altijd.

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.