NIS 2: wat is het en wat betekent het voor jouw organisatie

De kans is groot dat je de term de afgelopen jaren een aantal keer voorbij hebt zien komen: de NIS 2 (Network and Information Security directive). Deze nieuwe Europese cybersecuritywet die eigenlijk al gepland stond voor oktober 2024 wordt naar verwachting in de loop van 2026 ingevoerd.

En naarmate de invoering steeds dichterbij komt, worden de vragen ook prangender, want er zijn meerdere scenario’s mogelijk.

• Jouw organisatie valt direct onder een van de sectoren
• Je zit in de keten van een partij die aan NIS 2 moet voldoen
• Je krijgt vooral indirecte eisen opgelegd via klanten en contracten

Wat je situatie ook is, in dit artikel lees en leer je:

• Wat NIS 2 in de praktijk betekent
• Welke NIS 2 verplichtingen je raken
• Hoe je dit vertaalt naar een Microsoft 365-omgeving
• Waar de valkuilen zitten als beleid, techniek en organisatie niet op elkaar aansluiten.

Wat is NIS 2 precies?

NIS 2 is de opvolger van de oorspronkelijke NIS-richtlijn en richt zich op een hoger en consistenter niveau van digitale weerbaarheid binnen de EU. De richtlijn stelt strenge eisen rond risicobeheer, meldplichten, managementverantwoordelijkheid en beveiliging van netwerken en informatiesystemen.

NIS 2 gaat niet alleen over techniek. De richtlijn raakt ook governance, documentatie en aantoonbaarheid. Als je een controle of audit krijgt, moet je niet alleen laten zien dat je maatregelen hebt genomen, maar ook waarom die passen bij je risico’s.

Voor veel organisaties is de praktische vraag niet of security belangrijk is, maar hoe ver je moet gaan om aantoonbaar aan te sluiten op de NIS 2 richtlijn zonder dat je systeembeheer onnodig complex wordt.

Val je direct onder NIS 2 of zit je in de keten?

De eerste stap is bepalen of je organisatie direct onder NIS 2 valt. Dat hangt af van sector, omvang en type dienstverlening. Organisaties kunnen als essentieel of belangrijk worden aangemerkt, maar ook leveranciers en dienstverleners krijgen met NIS 2 te maken via contractuele eisen en ketenafhankelijkheden.

In de praktijk zie je vaak dat de directie pas wakker wordt zodra klanten vragen stellen over NIS 2 compliance. Dan gaat het ineens niet meer alleen om interne beveiliging, maar ook om bewijs richting stakeholders, inkoop en juridische afdelingen.

Als IT-manager is het zaak dat je je zaakjes goed op orde hebt, en niet gaat wachten op juridische kaders. Je moet dus al vroeg inventariseren welke systemen, processen en leveranciers risico dragen en waar je nog extra veiligheidsmaatregelen moet nemen.

Welke NIS 2 verplichtingen zijn relevant voor IT-managers

De NIS 2 verplichtingen gaan onder meer over:

• De afhandeling van incidenten
• Business continuity
• Supply chain security
• Toegangsbeheer
• Encryptie
• Kwetsbaarheden
• Beleid
• Awareness

Voor de IT-afdeling is vooral relevant dat die maatregelen aantoonbaar en herhaalbaar moeten zijn.

Wat je vaak ziet is dat NIS 2 wordt benaderd als een checklist met losse acties. Maar dat is niet hoe het in de praktijk werkt. Je hebt een samenhangende basis nodig:

• Identity first
• Device compliance
• Logging
• Herstelbaarheid
• Een proces voor uitzonderingen.

Zonder een samenhangende basis verandert elk controlerend gesprek in een handmatige uitleg.

Ook management-accountability speelt mee. Dat betekent dat directie en lijnmanagement niet achterover kunnen leunen en de verantwoordelijkheid kunnen afschuiven naar de IT-afdeling. Alle besluiten over risicoacceptatie, prioriteit en budget moeten expliciet zijn vastgelegd.

Hoe vertaal je NIS 2 naar Microsoft 365

In een Microsoft 365-omgeving ligt de basis voor goede cybersecurity bij Entra ID, Conditional Access, MFA, Intune en goede lifecycle-processen voor on- en offboarding. Daarmee dwing je af dat toegang niet alleen op gebruikersnaam en wachtwoord rust, maar op identiteit, risico en device-status.

In de meeste grotere organisaties is Microsoft 365 Business Premium de minimale basis omdat je daarmee uitstekende gereedschappen in handen krijgt voor endpointbeheer, mobile application management, Entra ID P1-functies en Defender-componenten. Dat is geen totaaloplossing, maar wel een logisch en vooral stevig fundament voor NIS 2 compliance in het mkb-plus segment.

Maar een licentie is slechts een stuk gereedschap, het gaat er om wat je ermee doet. Het staat of valt bij een goede inrichting van jouw Microsoft 365 omgeving. Je wil bijvoorbeeld Conditional Access-beleid op basis van compliant devices, MFA voor alle accounts, beperking van legacy authentication en strakke admin-separatie. Zonder die randvoorwaarden blijft de compliance vooral op papier bestaan.

Welke Microsoft 365-functies kan je meteen inzetten?

Voor NIS 2 zijn vooral functies relevant die je hard kunt afdwingen en monitoren. Denk aan Intune voor device compliance, compliance policies, app protection policies en automatisering van uitgifte via Autopilot. Daarmee maak je beheer voorspelbaar en verklein je de kans op schaduw-IT.

Entra ID ondersteunt sterke identity controls zoals MFA, Conditional Access en role-based access. In combinatie met privileged access-strategie beperk je de impact van misbruik van beheerdersaccounts. Dat is relevant, omdat veel incidenten niet beginnen met malware maar met gestolen toegang.

Microsoft Defender-onderdelen helpen vervolgens met detectie, response en kwetsbaarheden. Dit is belangrijk voor NIS 2, omdat NIS 2 niet alleen draait om preventie, maar ook om aantoonbaarheid rondom monitoring en incidentafhandeling.

Wat zijn de grootste valkuilen?

Cybersecurity is een ingewikkeld fenomeen dat bestaat uit menselijk handelen, techniek, bewustwording, continuïteit en vertrouwen. Het is niet voor niks zo lastig om grip op te krijgen. Wel zijn er een aantal valkuilen die we graag willen benoemen.

De grootste valkuil is versnippering. Veel organisaties hebben wel MFA, maar niet overal. Of wel Intune ingericht, maar niet voor iedereen. Wat je vaak ziet is dat deze uitzonderingen nooit zijn uitgefaseerd. Zo verlies je controle, ontstaan er gaten in je beveiliging en heb je geen waterdicht verhaal bij een audit.

Een tweede valkuil is dat beleid en techniek uit elkaar lopen. Het securitybeleid zegt dat alleen beheerde devices toegang krijgen, terwijl het technisch nog steeds lukt om vanaf privé apparaten of verouderde clients in te loggen. Dat soort gaten zie je pas als je identity en endpoint echt stuk voor stuk doorlicht.

Ook leveranciersbeheer wordt vaak onderschat. NIS 2 vraagt om grip op de keten. Als je derde partijen toegang geeft tot data of systemen, moet je weten welke accounts ze gebruiken, hoe die toegang wordt beperkt en hoe je dat periodiek toetst.

Wat betekent dit voor directie en finance

Voor directie en finance gaat NIS 2 niet alleen over risicovermindering, maar ook over de voorspelbaarheid van kosten. Een weinig solide basis leidt tot hogere beheerkosten, incidentkosten en ad-hoc projecten zodra een klant of auditor vragen stelt.

De kosten-batenafweging zit dus niet in de vraag of je wil voldoen aan hogere cybersecurity eisen, maar in de vraag of je structureel wilt standaardiseren. Een Microsoft 365 Business Premium licentie met Intune en Entra ID maakt beheer vaak kostenefficiënter dan een lappendeken van losse tools en uitzonderingen.

Daarnaast helpt een duidelijke inrichting om keuzes beter te onderbouwen. Je hoeft minder brandjes te blussen en kunt het budget aanwenden voor wat aantoonbaar risico verlaagt, in plaats van losse maatregelen zonder samenhang.

Praktijkvoorbeeld

Een middelgrote dienstverlener met meerdere vestigingen kreeg vanuit een grote klant vragen over NIS 2 compliance en ketenbeveiliging. Er was al MFA, maar alleen voor een deel van de gebruikers. Admin-accounts deelden nog een aantal uitzonderingen en laptops vielen buiten centraal beleid.

Socia ICT bracht de situatie terug naar de kern: identity, device compliance en admin beveiliging. In Microsoft 365 zijn Conditional Access-beleid, MFA-verplichting, Intune-compliance en Autopilot-gestuurde uitrol gecombineerd. Ook is het onboarding proces aangepast, zodat toegang sneller en consistent wordt ingetrokken.

Na die basis kon de organisatie richting de klant en het management laten zien welke NIS 2-maatregelen technisch waren afgedekt, waar nog risico’s zaten en welke vervolgstappen nodig waren. Daardoor werd het minder een losse compliance-oefening en meer een beheersbaar securitymodel.

Waar kan Socia ICT bij helpen?

Socia ICT helpt je met het vertalen van NIS 2 naar een Microsoft 365-inrichting die je in de dagelijkse praktijk eenvoudig kan beheren. Denk aan:

• Een nulmeting
• In kaart brengen van identity- en device-risico’s
• Aanscherpen van Intune en Entra ID
• Het inrichten van Conditional Access, MFA en lifecycle-processen.

Daarnaast helpt Socia ICT met het formuleren van een werkbare roadmap voor NIS 2 compliance, inclusief prioriteiten, afhankelijkheden en technische keuzes. Zo kun je richting directie en finance concreet maken wat nodig is, wat urgent is en waar je risico’s nog accepteert.
Wil jij écht klaar zijn voor NIS 2?

NIS 2 vraagt niet om meer losse tools, maar om meer samenhang tussen beleid, techniek en beheer. Als je Microsoft 365 al hebt ingericht, zit de echte winst vaak in het aanscherpen van de basis: identity, access, device control en aantoonbaarheid.

Voor een IT-manager betekent dat vooral: minder uitzonderingen, minder aannames en meer grip op wat echt telt bij cybersecurity wetgeving. Pas dan wordt NIS 2 iets dat je kunt beheren in plaats van iets dat je slapeloze nachten geeft.

Wil jij weten of jouw organisatie onder NIS 2 wetgeving valt?

Neem vandaag nog vrijblijvend contact op met een van onze cybersecurity specialisten.