Zware stalen kluisdeur op een kier met verlicht groen elektronisch toegangspaneel in moderne serverruimte gang.

Wat zijn de NIS2-eisen voor toegangsbeheer?

De NIS2-eisen voor toegangsbeheer verplichten organisaties om passende technische en organisatorische maatregelen te nemen die de toegang tot netwerken en informatiesystemen beperken tot bevoegde gebruikers. Concreet gaat het om beleid voor toegangscontrole, het gebruik van multi-factorauthenticatie en het beheer van bevoorrechte toegangsrechten. Dit artikel beantwoordt de meest gestelde vragen over NIS2-toegangsbeheer, van de specifieke eisen tot de eerste stappen richting compliance.

Welke specifieke maatregelen schrijft NIS2 voor op het gebied van toegangsbeheer?

NIS2 schrijft voor dat organisaties beveiligingsmaatregelen voor personeel en toegangsbeveiliging implementeren, inclusief het gebruik van multi-factorauthenticatie of continue authenticatie. Toegangsbeheer is daarmee een expliciet onderdeel van de zorgplicht: organisaties moeten aantoonbaar regelen wie toegang heeft tot welke systemen, onder welke voorwaarden en op basis van welk beleid.

De NIS2-richtlijn, en de Nederlandse uitwerking daarvan in de Cyberbeveiligingswet, benoemt de volgende minimummaatregelen die direct raken aan toegangsbeheer:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen: toegangsrechten moeten worden bepaald op basis van een risicoafweging
  • Beveiligingsmaatregelen voor personeel en toegangsbeveiliging: denk aan het principe van least privilege, functiescheiding en periodieke toegangsreviews
  • Multi-factorauthenticatie (MFA) of continue authenticatie: dit is een expliciete minimummaatregel onder NIS2
  • Beveiliging van netwerk- en informatiesystemen bij verwerving, ontwikkeling en onderhoud: toegangsrechten moeten ook bij systeemwijzigingen worden getoetst
  • Beleid en procedures voor cryptografie en encryptie: versleuteling beschermt gegevens ook wanneer toegangscontroles falen

De concrete invulling van deze maatregelen is gelaagd geregeld: de Cyberbeveiligingswet stelt de hoofdlijnen vast, het Cyberbeveiligingsbesluit werkt deze nader uit, en sectorspecifieke ministeriële regelingen geven verdere invulling. Voor overheidsorganisaties geldt de Baseline Informatiebeveiliging Overheid 2 (BIO2) als normenkader, dat goed aansluit op de NIS2-vereisten voor toegangscontrole.

Voor welke organisaties gelden de NIS2-eisen voor toegangsbeheer?

De NIS2-eisen voor toegangsbeheer gelden voor alle organisaties die onder de Cyberbeveiligingswet vallen: zowel essentiële als belangrijke entiteiten. In Nederland gaat het om meer dan 10.000 organisaties die direct onder NIS2 vallen, en naar schatting 50.000 bedrijven die aan deze groep leveren, krijgen eveneens met de richtlijn te maken wanneer er sprake is van risico’s in de toeleveringsketen.

De volgende overheidsorganisaties vallen automatisch onder de wet en daarmee onder de NIS2-eisen voor toegangsbeheer:

  • Ministeries, inclusief diensten en agentschappen
  • Provincies
  • Gemeenten
  • Waterschappen
  • Zelfstandige bestuursorganen (ZBO’s) die onder de Kaderwet ZBO’s vallen

Naast de publieke sector vallen ook organisaties in sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur en financiële dienstverlening onder de wet. Het onderscheid tussen essentiële en belangrijke entiteiten zit primair in de intensiteit van het toezicht, niet in de inhoud van de verplichtingen. Beide categorieën moeten NIS2 identity management en toegangscontrole aantoonbaar op orde hebben.

Organisaties zijn zelf verantwoordelijk voor het bepalen of zij onder de Cyberbeveiligingswet vallen. Hulpmiddelen hiervoor zijn de NIS2 Zelfevaluatietool van de Rijksoverheid en de Flowchart Registratieplicht van het NCSC.

Wat is het verschil tussen toegangsbeheer onder NIS2 en de AVG?

Toegangsbeheer onder NIS2 richt zich op de beschikbaarheid, integriteit en continuïteit van netwerken en informatiesystemen als geheel, terwijl de AVG toegangsbeheer primair benadert vanuit de bescherming van persoonsgegevens. NIS2 heeft een bredere scope: het gaat niet alleen om persoonsgegevens, maar om alle informatie en systemen die kritiek zijn voor de dienstverlening van een organisatie.

In de praktijk zijn er belangrijke overeenkomsten: beide kaders vereisen dat toegang tot gegevens en systemen wordt beperkt tot bevoegde personen, dat toegangsrechten worden gedocumenteerd en dat er maatregelen zijn om onbevoegde toegang te detecteren en te voorkomen. Maar er zijn ook wezenlijke verschillen:

  • Scope: de AVG beschermt persoonsgegevens; NIS2 beschermt de volledige netwerk- en informatieinfrastructuur
  • Risicobeoordeling: NIS2 vereist een brede risicoanalyse van de gehele organisatie; de AVG focust op gegevensverwerkingsrisico’s
  • MFA-verplichting: NIS2 benoemt multi-factorauthenticatie expliciet als minimummaatregel; de AVG doet dat niet
  • Toezichthouder: de AVG wordt gehandhaafd door de Autoriteit Persoonsgegevens; NIS2-toezicht ligt bij de Rijksinspectie Digitale Infrastructuur (RDI) of de Inspectie Leefomgeving en Transport (ILT)
  • Meldplicht: NIS2 verplicht melding van significante cyberincidenten binnen 24 uur; de AVG schrijft melding van datalekken voor binnen 72 uur

Voor organisaties die aan beide kaders moeten voldoen, is het verstandig toegangsbeheer integraal in te richten: maatregelen die voldoen aan de strengere NIS2-eisen voor toegangscontrole dekken doorgaans ook de AVG-vereisten op dit vlak af.

Hoe verschilt privileged access management van gewoon toegangsbeheer?

Gewoon toegangsbeheer regelt wie toegang heeft tot welke systemen en gegevens op basis van iemands rol. Privileged Access Management (PAM) gaat een stap verder: het richt zich specifiek op het beheren en bewaken van accounts met verhoogde rechten, zoals systeembeheerders, database-administrators en andere gebruikers die kritieke systemen kunnen wijzigen, uitschakelen of uitlezen.

Het onderscheid is relevant voor NIS2 compliance toegangsbeheer, omdat bevoorrechte accounts een disproportioneel hoog risico vormen. Een aanvaller die een gewoon gebruikersaccount overneemt, kan slechts beperkte schade aanrichten. Een aanvaller die een beheerdersaccount compromitteert, kan systemen platleggen, back-ups verwijderen of de volledige infrastructuur overnemen.

PAM omvat doorgaans de volgende elementen die verder gaan dan standaard NIS2 toegangscontrole:

  • Just-in-time toegang: beheerdersrechten worden alleen verleend op het moment dat ze nodig zijn en daarna automatisch ingetrokken
  • Sessieregistratie: alle handelingen van bevoorrechte gebruikers worden gelogd en kunnen worden geauditeerd
  • Wachtwoordkluis: beheerdersaccounts gebruiken unieke, roterende wachtwoorden die centraal worden beheerd
  • Goedkeuringsworkflows: toegang tot kritieke systemen vereist voorafgaande toestemming

NIS2 vereist niet expliciet een PAM-systeem bij naam, maar de zorgplicht en de eis van passende technische maatregelen maken PAM voor grotere organisaties met complexe IT-omgevingen in de praktijk een logische en noodzakelijke maatregel.

Wat zijn de gevolgen van onvoldoende toegangsbeheer onder NIS2?

Onvoldoende NIS2 toegangsbeheer kan leiden tot boetes van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en tot 7 miljoen euro of 1,4% van de jaaromzet voor belangrijke entiteiten. Bovendien kan het senior management persoonlijk aansprakelijk worden gesteld bij ernstige overtredingen, wat cybersecurity tot een directe bestuursverantwoordelijkheid maakt.

Naast de financiële gevolgen zijn er operationele en reputatierisico’s. Zwak toegangsbeheer is een van de meest voorkomende oorzaken van succesvolle cyberaanvallen: gestolen inloggegevens, te brede toegangsrechten en het ontbreken van MFA maken het aanvallers aanzienlijk gemakkelijker om systemen te compromitteren. Als zo’n incident leidt tot verstoring van de dienstverlening, geldt bovendien de meldplicht: een significante verstoring moet binnen 24 uur worden gemeld bij het NCSC.

Voor overheidsorganisaties geldt dat de Rijksinspectie Digitale Infrastructuur (RDI) toezicht houdt op naleving. Hoewel de aansprakelijkheidsbepaling voor bestuurders uitdrukkelijk niet van toepassing is op overheidsinstanties, blijft de politieke leiding verantwoordelijk voor de cyberweerbaarheid van de organisatie. Onvoldoende toegangscontrole kan daarmee ook politieke en bestuurlijke gevolgen hebben.

Hoe begin je met het verbeteren van toegangsbeheer voor NIS2-compliance?

Begin met een risicogebaseerde inventarisatie: breng in kaart welke systemen, gegevens en processen het meest kritiek zijn voor uw dienstverlening, en bepaal vervolgens wie daar nu toegang toe heeft en of dat gerechtvaardigd is. Vanuit die basis bouwt u stapsgewijs naar NIS2-compliant toegangsbeheer.

Een praktische aanpak in stappen:

  1. Voer een toegangsaudit uit: inventariseer alle accounts, rechten en rollen in uw organisatie en identificeer overbodige of te brede toegangsrechten
  2. Implementeer het least privilege-principe: gebruikers krijgen alleen de toegang die ze nodig hebben voor hun functie, niet meer
  3. Activeer multi-factorauthenticatie: MFA is een expliciete NIS2-minimummaatregel en een van de meest effectieve basismaatregelen
  4. Stel een toegangsbeleid op: documenteer wie toegang heeft tot welke systemen, hoe rechten worden verleend en ingetrokken, en hoe periodieke reviews plaatsvinden
  5. Voer regelmatige toegangsreviews in: controleer periodiek of toegangsrechten nog actueel en gerechtvaardigd zijn, zeker bij functiewijzigingen en uitdiensttreding
  6. Pak bevoorrechte accounts apart aan: implementeer extra controles voor beheerders- en serviceaccounts
  7. Train medewerkers en bestuurders: de Cyberbeveiligingswet verplicht bestuurders een training te volgen over beveiligingsrisico’s en risicobeheersmaatregelen

Voor organisaties die nog aan het begin staan, biedt de BIO2 een goed startpunt: dit normenkader sluit nauw aan op de NIS2-zorgplicht en dekt een groot deel van de vereisten voor NIS2 identity management en toegangscontrole af. Een gap-analyse helpt u snel inzicht te krijgen in waar uw organisatie nu staat en welke stappen prioriteit verdienen.

Hoe Q-Cyber helpt met NIS2 toegangsbeheer

Wij begeleiden organisaties bij het volledig NIS2-compliant inrichten van toegangsbeheer: van de eerste inventarisatie tot het schrijven van beleid en het uitvoeren van technische tests. Onze aanpak is pragmatisch, onafhankelijk en volledig afgestemd op uw specifieke risicoprofiel.

Wat wij concreet voor u doen:

  • Gap-analyse toegangsbeheer: we brengen in kaart waar uw huidige toegangscontrole tekortschiet ten opzichte van de NIS2-eisen
  • Beleidsschrijving: we stellen een toegangsbeleid op dat voldoet aan de zorgplicht van de Cyberbeveiligingswet
  • Technisch testen: via penetratietesten en vulnerability scans testen we of uw toegangsbeveiliging in de praktijk standhoudt
  • Virtuele CISO: via Continuous-Q bieden we doorlopende begeleiding door een team van specialisten, inclusief NIS2-monitoring en advies
  • Bestuurderstraining: we verzorgen trainingen die voldoen aan de trainingsplicht van de Cyberbeveiligingswet
  • Onafhankelijk advies: we zijn niet gebonden aan softwarepartijen of leveranciers, zodat ons advies altijd in uw belang is

Wacht niet tot de Cyberbeveiligingswet in werking treedt. De risico’s zijn er nu al, en wie nu begint, is straks aantoonbaar beter voorbereid. Neem contact op en ontdek hoe wij uw organisatie verder helpen.