NIS2 technische maatregelen: wat moet je regelen?
NIS2 art. 21 verplicht passende technische en organisatorische beveiligingsmaatregelen. Maar wat is "passend"? Dit artikel vertaalt de wettekst naar concrete maatregelen met prioritering en kosteninschatting.
NIS2 art. 21 geeft een lijst van minimummaatregelen die essentiële en belangrijke entiteiten moeten treffen. De richtlijn noemt 10 categorieën. Dit artikel werkt die categorieën uit naar concrete implementatiestappen voor MKB-bedrijven.
De 10 maatregelcategorieën van NIS2 art. 21
| Categorie | NIS2 art. 21 lid | Kern |
|---|---|---|
| Risicobeheer en beleid | 2a | Beleid voor informatiebeveiliging en risicoanalyse |
| Incidentafhandeling | 2b | Procedures voor detectie, rapportage en herstel |
| Bedrijfscontinuïteit | 2c | Back-up, disaster recovery, crisismanagement |
| Leveranciersketen | 2d | Beveiliging in relatie tot leveranciers en dienstverleners |
| Beveiliging bij aankoop | 2e | Veiligheid in ontwikkeling en onderhoud van systemen |
| Effectiviteitsbeoordelingen | 2f | Audits, tests, monitoring van beveiligingsmaatregelen |
| Cyberhygiëne en training | 2g | Basisbeveiliging en bewustzijn bij medewerkers |
| Cryptografie | 2h | Encryptie van data in transit en at rest |
| Toegangsbeheer en HR-beveiliging | 2i | Identiteitsbeheer, toegangscontrole, screenen medewerkers |
| Authenticatie | 2j | Multifactorauthenticatie, veilige communicatie |
Prioritering: begin hier
Niet alle maatregelen zijn even urgent. Op basis van risico-impact en implementeerbaarheid is dit de aanbevolen volgorde voor het MKB:
| Prioriteit | Maatregel | Tijdsinvestering | Kosten |
|---|---|---|---|
| 1 | Multifactorauthenticatie op alle accounts | 8-16 uur | €0-€5/gebruiker/maand |
| 2 | Back-up testen en verifiëren | 4-8 uur | €0 als al aanwezig |
| 3 | Patchbeheer structureren | 8-16 uur | €0-€2.000/jaar |
| 4 | Informatiebeveiligingsbeleid opstellen | 8-24 uur | €0-€3.000 extern |
| 5 | Incidentresponsplan maken | 4-8 uur | €0-€2.000 extern |
| 6 | Leveranciersbeoordeling uitvoeren | 8-16 uur | €0 |
| 7 | Medewerkerstraining cybersecurity | 2 uur/medewerker | €30-€100/persoon |
| 8 | Netwerksegmentatie beoordelen | 16-40 uur | €0-€5.000 |
Maatregel 1: multifactorauthenticatie (art. 21 lid 2j)
MFA vereist dat gebruikers naast een wachtwoord een tweede verificatiefactor gebruiken. Dit blokkeert 99,9% van de accountovernames via gestolen wachtwoorden (bron: Microsoft Security Intelligence Report 2024).
Implementatie voor Microsoft 365:
- Ga naar Microsoft Entra ID (Azure Active Directory)
- Activeer Conditional Access of Security Defaults
- Verplicht MFA voor alle gebruikers, minimaal voor admin-accounts
- Kosten: inbegrepen bij Microsoft 365 Business Basic (€6/gebruiker/maand) en hoger
Implementatie voor overige systemen:
Controleer per applicatie of MFA beschikbaar is (VPN, boekhouding, CRM, e-mail). Gebruik een authenticator-app (Microsoft Authenticator, Google Authenticator) in plaats van sms-codes. Sms is minder veilig omdat simswapping mogelijk is.
Maatregel 2: back-up en bedrijfscontinuïteit (art. 21 lid 2c)
Een back-up is pas waardevol als je hem hebt hersteld. Veel bedrijven hebben back-ups die in een crisissituatie niet werken.
Back-up vereisten onder NIS2:
- 3-2-1 back-upregel: 3 kopieën, op 2 verschillende media, waarvan 1 off-site
- Offline of immutable back-up (niet toegankelijk via het netwerk tijdens een ransomware-aanval)
- Gedocumenteerde herstelprocedure met RTO (Recovery Time Objective) en RPO (Recovery Point Objective)
- Testresultaat van herstel: minimaal 1 keer per kwartaal getest
Praktijkscenario: een logistiek bedrijf met 45 medewerkers ontdekte bij een ransomware-aanval dat hun cloudback-up gesynchroniseerd was met de versleutelde bestanden. De back-up bevatte versleutelde data, geen bruikbare kopie. Schade: 3 weken stilstand plus €78.000 aan herstelkosten. Een immutable back-up had dit voorkomen voor €180 per maand extra kosten.
Maatregel 3: patchbeheer (art. 21 lid 2e)
Niet-gepatchte systemen zijn de meest voorkomende oorzaak van succesvolle cyberaanvallen. Het NCSC rapporteerde in 2024 dat 70% van alle succesvolle aanvallen misbruikmaakten van kwetsbaarheden waarvoor al 30 dagen of langer een patch beschikbaar was.
Minimale patchprocedure:
- Windows-updates: automatisch, wekelijks controleren of ze zijn geïnstalleerd
- Servers: maandelijks patchvenster, kritieke patches binnen 72 uur
- Applicaties (browsers, Office, ERP, CRM): maandelijks bijwerken
- Firmware (routers, switches, firewalls): kwartaals checken
- EOL-systemen (End of Life software): documenteer ze en plan vervanging
Maatregel 4: cryptografie (art. 21 lid 2h)
Encryptie beschermt data als iemand er ongeautoriseerde toegang toe krijgt.
| Toepassing | Standaard | Status checken |
|---|---|---|
| E-mail (transport) | TLS 1.2 of hoger | Via mxtoolbox.com/supertool |
| Websites | HTTPS met TLS 1.3 | Via ssllabs.com |
| Laptops | BitLocker (Windows) / FileVault (Mac) | Systeeminstellingen |
| Cloudopslag | Versleuteld by default bij Microsoft 365, Google | Controleer verwerkersovereenkomst |
| Wachtwoorden (opslag) | bcrypt of Argon2 | Vraag leverancier van je systemen |
| Back-ups | AES-256 | Check back-upsoftware-instellingen |
Maatregel 5: leveranciersketen (art. 21 lid 2d)
NIS2 verplicht je risico's in de leveranciersketen te beheren. Dat betekent in de praktijk:
Stap 1: inventariseer kritieke leveranciers
Welke leveranciers hebben toegang tot je systemen of data? Denk aan: IT-beheerder, clouddiensten, boekhoudsoftware, CRM, hosting.
Stap 2: beoordeel hun beveiligingsniveau
Vraag per kritieke leverancier:
- Hebben ze een ISO 27001-certificering?
- Is er een verwerkersovereenkomst (verplicht onder AVG art. 28)?
- Wat is hun incidentmeldprocedure?
- Hebben ze zelf NIS2-verplichtingen?
Stap 3: leg eisen vast in contracten
Voeg minimumvereisten toe aan leverancierscontracten: meldplicht bij incidenten (binnen 24 uur), recht op audit, beveiligingsnormen.
Stappenplan: NIS2-technische compliance in 6 maanden
Maand 1-2: MFA, back-up verificatie, patchbeheer
Maand 2-3: Informatiebeveiligingsbeleid, incidentresponsplan
Maand 3-4: Leveranciersbeoordeling, contractupdates
Maand 4-5: Medewerkerstraining, cryptografie-audit
Maand 5-6: Netwerksegmentatie beoordeling, documentatie afronden
Doorlopend: Maandelijkse monitoring, kwartaals test
NIS2-compliance meten: het NIST Cybersecurity Framework
Het NIST Cybersecurity Framework (CSF 2.0) is een internationaal erkend raamwerk dat organisaties helpt hun cybersecurityvolwassenheid te meten. Het sluit nauw aan op de NIS2-maatregelen van art. 21.
Het NIST CSF 2.0 beschrijft 6 functies:
| NIST-functie | NIS2-relatie | Maatregelen |
|---|---|---|
| Govern | Art. 20, 21 | Beleid, risicomanagement, governance |
| Identify | Art. 21 (2a) | Asset management, risicobeoordeling |
| Protect | Art. 21 (2g,2h,2i,2j) | Toegangscontrole, training, encryptie |
| Detect | Art. 21 (2f) | Monitoring, anomaliedetectie |
| Respond | Art. 21 (2b) | Incidentrespons, communicatie |
| Recover | Art. 21 (2c) | Back-up, herstelplan, bedrijfscontinuïteit |
Voor MKB-bedrijven die NIS2-compliance willen aantonen, biedt een NIST CSF-zelfbeoordeling een bruikbare structuur. Het NCSC Nederland heeft een Nederlandse vertaling en sectorgidsen beschikbaar op ncsc.nl.
Wat een NIS2-audit beoordeelt
Als je door een toezichthouder of klant wordt gevraagd een NIS2-audit te ondergaan, wordt per art. 21-categorie beoordeeld of:
- Er beleid bestaat (gedocumenteerd)
- Het beleid wordt uitgevoerd (aantoonbaar)
- Effectiviteit wordt getoetst (meting of test)
Typische auditvragen per maatregel:
| Maatregel | Typische auditvraag | Bewijs |
|---|---|---|
| MFA (art. 21 2j) | Is MFA actief voor alle gebruikers? | Screenshot Entra ID-rapport |
| Back-up (art. 21 2c) | Wanneer is de back-up voor het laatst getest? | Testprotocol met datum en resultaat |
| Incident response (art. 21 2b) | Is er een IRP? Is het geoefend? | IRP-document + oefenverslag |
| Leveranciers (art. 21 2d) | Zijn kritieke leveranciers beoordeeld? | Leveranciersbeoordeling in spreadsheet |
| Training (art. 21 2g) | Wanneer is er getraind? Wie heeft deelgenomen? | Deelnemerslijst, bewijs training |
Documenteer proactief. Maak een NIS2-compliance-map met per art. 21-categorie een document of screenshot als bewijs. Dat bespaart enorm veel tijd bij een audit of incident.
Veelgestelde vragen
Geldt art. 21 ook voor kleine leveranciers van NIS2-bedrijven?
NIS2 verplicht essentiële en belangrijke entiteiten om beveiligingseisen te stellen aan hun leveranciers (lid 2d). Als je levert aan een NIS2-organisatie, kunnen contractuele verplichtingen op je van toepassing zijn. Zie ook NIS2 en de leveranciersketen.
Is ISO 27001 voldoende voor NIS2-compliance?
ISO 27001 overlapt sterk met NIS2 art. 21 en geeft een goede basis. Maar NIS2 heeft aanvullende specifieke verplichtingen die ISO 27001 niet automatisch dekt, zoals de 24/72-uurs meldtermijnen en bestuurlijke verplichtingen (art. 20).
Hoe documenteer ik dat ik de maatregelen heb getroffen?
Leg per maatregel vast: wat is de maatregel, wanneer geïmplementeerd, wie verantwoordelijk, hoe wordt het gecontroleerd. Een eenvoudig spreadsheet met dit overzicht is voldoende als startpunt.
*Zie ook: NIS2 uitleg | NIS2 boetes | NIS2 stappenplan | NIS2 leveranciersketen | Tweefactorauthenticatie | Back-upstrategie | Incident response plan*