Schrijver: Jurriaan Vogel, IT Security Consultant
Het NCSC vertaalt de NIS2‑zorgplicht in tien praktische stappen. Deze maken ‘passende beveiliging’ concreet voor management: begin pragmatisch bij de kroonjuwelen (klantdata, financiële gegevens, kernapplicatie, persoonsgegevens), start klein, werk iteratief en leg besluiten aantoonbaar vast. Zo kan de organisatie prioriteren, verantwoordelijkheden borgen en naleving aantonen, met stap‑voor‑stap groei in weerbaarheid en compliance.
1. Maak een risicoanalyse
Art. 21 lid 3 sub a: beleid inzake risicoanalyse en beveiliging van informatiesystemen.
Het doel van de risicoanalyse is om inzicht te krijgen in de belangrijkste dreigingen en te bepalen welke maatregelen passend zijn. De organisatie start met het expliciet benoemen van de kroonjuwelen (bijvoorbeeld: klantdata, financiële gegevens, de kernapplicatie en persoonsgegevens) en gebruikt bij voorkeur een erkend framework zoals ISO27001om het proces te structureren en het uitvoeren van risico‑behandeling.
Een praktisch MKB‑voorbeeld: als ‘betaalde facturen en cashflow’ kerndoelen zijn, is uitval van de kern‑SaaS een groot risico; borg daarom contractueel beschikbaarheid, responstijden en escalatieroutes.
Wat het management beslist, betreft het formeel vaststellen van de kroonjuwelen, de risicobereidheid, de scope (wat wel/niet wordt meegenomen) en het aanwijzen van een duidelijke eigenaar voor het risicoproces.
2. Richt incidentrespons in
Art. 21 lid 3 sub b: incidentenbehandeling.
Incidentrespons is het vermogen om cyberdreigingen en ‑incidenten tijdig te detecteren, effectief te beperken en gecontroleerd te herstellen; het Incidentresponsplan (IRP) legt vast wanneer een gebeurtenis als incident telt en wie welke acties uitvoert.
Een compact IRP bevat ten minste:
Leg het mandaat formeel vast: de IR‑lead mag binnen kaders systemen isoleren, leveranciers inschakelen en externen briefen. Het management bepaalt mandaat en bemensing van het IR‑team, stelt meldplichten/PR‑lijnen vast en keurt de playbooks goed.
3. Bereid voor op uitval (continuïteit & crisis)
Art. 21 lid 3 sub c: bedrijfscontinuïteit, zoals back-upbeheer en herstelplannen, en crisisbeheer.
Voorbereiding op uitval begint met het vaststellen van RTO (hoe snel een proces of applicatie weer beschikbaar moet zijn) en RPO (hoeveel dataverlies acceptabel is) op basis van de BIV‑classificatie: hoe kritieker het proces of de informatie, hoe korter de RTO/RPO.
Oefenen is essentieel om de weerbaarheid te verhogen: een tabletop oefent procedures en besluitvorming zonder systeemimpact, een technische hersteltest voert een daadwerkelijke restore uit om te bewijzen dat de afgesproken RTO/RPO haalbaar zijn en een keten/crisisoefening betrekt leveranciers om communicatie en contractafspraken in de praktijk te toetsen.
Het resultaat is sneller en consistenter handelen bij verstoringen, met minder faalkosten. Het management besluit daarbij over de RTO/RPO‑bandbreedtes per kroonjuweel, de testfrequentie, een jaarlijkse oefenkalender en wie als crisisleider het mandaat krijgt gedurende incidenten.
4. Maak de toeleveringsketen veilig
Art. 21 lid 2 sub d: de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen de entiteit en haar rechtstreekse leveranciers of dienstverleners.
Ketenveiligheid begint met due diligence: leveranciers worden vooraf en periodiek beoordeeld met gerichte vragenlijsten en/of assessments, het opvragen van attesten (bijv. ISO 27001), een penetratietest‑rapport op verzoek en een check op financiële gezondheid. Borg afspraken contractueel en vraag bovendien transparantie over kritieke sub‑processors en beoordeel cumulatieve ketenrisico’s, omdat ‘stacking’ van kwetsbaarheden reëel is.
Het management beslist over de minimumeisen per leverancierstype en stelt drempelwaarden vast voor het opschorten van samenwerking bij non‑compliance.
5. Zorg dat cyberhygiëne op orde is
Art. 21 lid 3 sub g: basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging.
Cyberhygiëne begint bij gedrag. Eenduidige werkafspraken maken het verschil in de dagelijkse praktijk: waar wachtwoorden nog nodig zijn, gelden sterke‑wachtwoordregels; ‘shadow IT’ is niet toegestaan; en het vroegtijdig melden van verdachte gebeurtenissen wordt actief gestimuleerd binnen een blame‑free cultuur.
Het management bepaalt de minimale trainingscyclus omtrent gedrag.
6. Beveilig netwerk- en informatiesystemen
Art. 21 lid 2 sub e: beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden.
Beveilig netwerk‑ en informatiesystemen met risk‑based patchen: voer kritieke patches binnen 72 uur uit op kroonjuweelsystemen en plan overige updates naar risicoprofiel. Borg veilig inkopen en ontwikkelen met een eisenpakket (security‑by‑design), vendorbeoordeling, leg afspraken contractueel vast via SLA/DAP en, waar nodig, een verwerkersovereenkomst. Regel tot slot exit‑ en end‑of‑life‑voorwaarden vooraf voor bedrijfskritieke software om continuïteit te waarborgen.
Het management beslist over de risico’s, de minimale inkoopeisen (security‑by‑design als standaard) en de exit‑voorwaarden die in alle relevante contracten worden opgenomen.
7. Versterk personeel, toegang en assetbeheer
Art. 21 lid 3 sub i: beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van assets.
Het versterken van personeel, toegang en assetbeheer begint met heldere IAM‑principes. Automatiseer het JML‑proces zodat rechten bij indiensttreding tijdig worden toegekend, bij functiewijzigingen passend worden aangepast en bij uitdiensttreding direct worden ingetrokken. Verleen toegang volgens least privilege en taakscheiding, met extra aandacht voor financiële functies en IT‑beheerrollen. Herbeoordeel rechten periodiek en laat proceseigenaren bevestigen welke rechten nog nodig zijn. Screening van personeel sluit hierbij aan: voor risicovolle functies worden VOG en referenties gevraagd en vindt her‑screening plaats bij een relevante rolwijziging.
Het management bepaalt de controlefrequentie per risicoklasse en welke rollen aanvullende screening vereisen.
8. Gebruik passkeys voor authenticatie
Art. 21 lid 2 sub j: wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
Sterke authenticatie begint met het gefaseerd uitrollen van passkeys: start bij privileged accounts en toegang tot de kroonjuwelen om phishing‑resistente aanmelding direct op de meest risicovolle punten te borgen. Waar wachtwoorden nog in gebruik zijn, geldt MFA voor iedereen, met zwaardere eisen voor beheer‑ en financiële teams.
Voor toegang op afstand wordt een VPN ingezet waar nodig, maar bij voorkeur gekozen voor een Zero Trust‑benadering met continue beoordeling van identiteit, apparaatconditie en context.
Het management bepaalt de uitrol, het uitzonderingsbeleid en de keuze voor VPN als standaard.
9. Stel cryptografiebeleid op
Artikel 21 lid 2 sub h: beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie.
Een effectief cryptografiebeleid legt minimumstandaarden vast voor algoritmen en protocollen (bij voorkeur TLS 1.2+/1.3 en AES‑256) en borgt versleuteling zowel tijdens transport als in rust, inclusief back‑ups. Waar de organisatie dit niet zelf kan regelen, worden eisen contractueel vastgelegd bij leveranciers (eisenpakket, SLA/DAP), zodat encryptie‑ en sleutelbeheerafspraken aantoonbaar zijn.
Het management besluit over de minimumstandaarden en wijst het eigenaarschap voor sleutelbeheer toe (inclusief mandaat en rapportagelijn).
10. Beoordeel de effectiviteit van maatregelen
Art. 21 lid 2 sub f: beleid en procedures om de effectiviteit van maatregelen voor het beheersen van cyberbeveiligingsrisico’s te beoordelen.
Het beoordelen van de effectiviteit van maatregelen begint met zichtbare metingen. Organiseer de borging volgens het Three Lines of Defence‑model:
de derde lijn toetst onafhankelijk.
Sluit de lus met een formele management review waarin prestaties, afwijkingen en trends worden besproken en besluiten, prioriteiten en budget worden vastgesteld. Het management bepaalt de meetset en drempelwaarden, het auditritme (intern/extern) en welke verbeteringen prioriteit krijgen.
Conclusie
Aantoonbaar voldoen aan NIS2 vraagt om twee sporen: materiële beheersing én bewijs. ISO 27001 levert een volwassen ISMS met beleid, processen, metingen en een onafhankelijke certificering die de PDCA‑cyclus borgt. Met een ISO 27001 certificaat ontstaat zowel effectieve beveiliging als overtuigende aantoonbaarheid richting toezichthouder, klanten en partners.
Ook aan de slag met NIS2?
Wil je weten waar jouw organisatie staat, welke risico’s je loopt en welke stappen je nu al kunt zetten? Hulp nodig bij het aantoonbaar voldoen aan de NIS2-vereisten middels een ISO 27001-certificaat of NIS2 Supply Chain keurmerk? Neem gerust contact op. Samen zorgen we ervoor dat jouw organisatie klaar is voor NIS2 zonder onnodige complexiteit, maar met maximale impact.
Neem voor meer informatie contact op met Eberly Haalboom, Manager IT Security Consultants, ehaalboom@dignitas.nl, 06-52044763.
Deel dit artikel