De 10 NIS2-zorgplichtmaatregelen uitgelegd: een praktische gids bij Artikel 21

Artikel 21 is het hart van de NIS2-richtlijn. Het definieert de tien cybersecurity-risicobeheermaatregelen die elke essentiële en belangrijke entiteit moet implementeren. Niet als suggesties — als wettelijke verplichtingen.

Maar de richtlijntekst is complex en juridisch. Deze gids vertaalt elke maatregel naar praktische taal: wat het betekent, waarom het ertoe doet, en wat je concreet moet doen.

Overzicht: de 10 maatregelen in één oogopslag

Artikel 21 — 10 NIS2 Cybersecuritymaatregelen
🛡️
Artikel 21
10 Cybersecuritymaatregelen
📊Governance & Strategie
1Risicoanalyse & informatiebeveiligingsbeleid
6Effectiviteitsbeoordeling van beveiligingsmaatregelen
🚨Incidenten & Continuïteit
2Incidentafhandeling & melding
3Bedrijfscontinuïteit & disaster recovery
🔗Toeleveringsketen & Systemen
4Beveiliging van de toeleveringsketen
5Beveiliging bij de ontwikkeling van netwerk- en informatiesystemen
🔐Technische Beheersing
8Cryptografie & versleuteling
10Multi-factor authenticatie & veilige communicatie
👥Mensen & Middelen
7Cyberhygiëne & training
9HR-beveiliging & toegangscontrole

Risicoanalyse (maatregel 1) is het fundament — het informeert de meeste andere maatregelen. Effectiviteitsbeoordeling (maatregel 6) sluit de cirkel door te verifiëren dat alles werkt. Training (maatregel 7) stelt mensen in staat alle andere maatregelen goed uit te voeren.

De 10 maatregelen uitgelegd

Maatregel 1: Risicoanalyse en informatiebeveiligingsbeleid

Wat het inhoudt: Organisaties moeten een systematische methodologie opzetten voor het identificeren en beoordelen van cyberbeveiligingsrisico's. Dit omvat het documenteren van bedrijfsmiddelen, dreigingen en kwetsbaarheden, gevolgd door het bepalen van de kans op en de impact van incidenten. De uitkomst vormt de basis voor een formeel informatiebeveiligingsbeleid dat de verplichtingen van het management en de beschermingsprincipes vastlegt.

In de praktijk: Begin met het in kaart brengen van uw kritieke bedrijfsmiddelen: systemen, gegevens en processen. Voer minimaal jaarlijks een gestructureerde risicoanalyse uit, en ook bij ingrijpende wijzigingen. Documenteer uw risicobeslissingen (aanvaarden, mitigeren, overdragen, vermijden). Stel een informatiebeveiligingsbeleid op dat door het hogere management is ondertekend en beoordeel dit regelmatig. Wijs duidelijke eigenaren aan voor elk risico, zodat mitigatieacties daadwerkelijk worden opgevolgd.

Maatregel 2: Incidentafhandeling

Wat het inhoudt: Organisaties moeten gedocumenteerde procedures hebben voor het detecteren, classificeren, reageren op en melden van cyberbeveiligingsincidenten. NIS2 introduceert strikte meldingstermijnen: een vroege waarschuwing aan het nationale CSIRT of de bevoegde autoriteit binnen 24 uur na bekendwording van een significant incident, een uitgebreidere melding binnen 72 uur en een eindrapport binnen één maand.

In de praktijk: Stel een incidentresponsplan op dat definieert wat een significant incident is, wie verantwoordelijk is voor elke stap en hoe bewijs wordt bewaard. Zorg voor een 24/7 escalatiepad zodat de dienstdoende functionaris altijd de beslissingsbevoegde kan bereiken. Integreer meldingen vanuit SIEM, EDR en andere monitoringtools. Voer minimaal één keer per jaar een tafeloefening uit om uw plan te testen. Houd een logboek bij van alle incidenten, inclusief bijna-gevallen, om lessen te verwerken in uw risicoprocessen.

Diagram laden...

Maatregel 3: Bedrijfscontinuïteit en crisismanagement

Wat het inhoudt: Organisaties moeten ervoor zorgen dat zij essentiële diensten kunnen blijven verlenen, ook tijdens en na een ernstig cyberincident. Dit omvat back-upstrategieën, disaster recovery (DR)-plannen en bredere crisismanagementafspraken waarbij het hogere management en, waar relevant, externe stakeholders betrokken zijn.

In de praktijk: Definieer Recovery Time Objectives (RTO) en Recovery Point Objectives (RPO) voor alle kritieke systemen. Implementeer geautomatiseerde, versleutelde back-ups op een geografisch gescheiden locatie en test restores regelmatig. Ontwikkel een DR-draaiboek met stapsgewijze procedures voor de meest waarschijnlijke uitvalscenario's. Houd crisismanagementoefeningen waarbij ook de directie betrokken is, zodat het management zijn rol kent voordat een noodsituatie zich voordoet.

Maatregel 4: Beveiliging van de toeleveringsketen

Wat het inhoudt: De beveiligingspositie van uw leveranciers en dienstverleners heeft directe invloed op uw eigen risicoprofiel. NIS2 vereist dat organisaties de cyberbeveiligingspraktijken van directe leveranciers beoordelen, contractuele beveiligingsverplichtingen vastleggen en de risico's van derde partijen gedurende de hele relatie beheren.

In de praktijk: Houd een register bij van alle derde partijen met toegang tot uw systemen of gegevens. Voer risicogebaseerde due diligence uit vóór het inwerken van nieuwe leveranciers — gebruik vragenlijsten, certificeringen (bijv. ISO 27001) of auditrechten. Neem minimale beveiligingseisen op in contracten: meldingsplichten bij incidenten, auditclausules en gegevensverwerkingnormen. Beoordeel kritieke leveranciers jaarlijks en beëindig relaties die onaanvaardbare risico's vormen.

Maatregel 5: Beveiliging van netwerk- en informatiesystemen

Wat het inhoudt: Technische beveiligingsmaatregelen moeten worden toegepast over de volledige levenscyclus van netwerk- en informatiesystemen: van ontwerp en ontwikkeling tot exploitatie en ontmanteling. Dit omvat veilige standaardconfiguraties, kwetsbaarheidsbeheer en tijdig patchen.

In de praktijk: Pas een hardeningsbaseline toe op alle servers, endpoints en netwerkapparaten. Houd een actuele inventaris bij van alle bedrijfsmiddelen zodat niets over het hoofd wordt gezien. Abonneer u op kwetsbaarhedensfeeds en stel SLA's voor patching vast: kritieke kwetsbaarheden binnen 72 uur, hoge risico's binnen 30 dagen. Gebruik netwerksegmentatie om laterale verspreiding te beperken. Pas veilige ontwikkelpraktijken toe voor software die uw organisatie bouwt of aanpast.

Maatregel 6: Effectiviteitsbeoordeling van cyberbeveiligingsmaatregelen

Wat het inhoudt: Organisaties moeten kunnen aantonen dat hun beveiligingsmaatregelen daadwerkelijk werken. Dit vereist regelmatige tests, onafhankelijke audits en het gebruik van meetgegevens om de beveiligingsprestaties te onderbouwen en te verbeteren.

In de praktijk: Stel een set Key Performance Indicators (KPI's) en Key Risk Indicators (KRI's) op voor uw beveiligingsprogramma. Laat minimaal jaarlijks — en na ingrijpende wijzigingen — penetratietests uitvoeren om technische maatregelen te valideren. Voer interne audits uit aan de hand van uw beveiligingsbeleid en NIS2-eisen. Presenteer bevindingen aan het management met duidelijke hersteldeadlines. Gebruik de resultaten om uw risicoanalyse te actualiseren en investeringen te prioriteren.

Maatregel 7: Basiscyberhygiëne en cyberbeveiligingstraining

Wat het inhoudt: Menselijk gedrag blijft een van de grootste aanvalsvectoren. NIS2 vereist dat organisaties basiscyberhygiëne implementeren in de gehele organisatie en rolgerichte cyberbeveiligingstrainingen aanbieden. Hygiëne omvat basisbeginselen zoals wachtwoordbeheer, software-updates en bewustzijn over phishing.

In de praktijk: Verplicht bewustwordingstraining voor alle medewerkers bij indiensttreding en minimaal jaarlijks daarna. Bied geavanceerde modules aan voor IT-beheerders, ontwikkelaars en leidinggevenden. Voer gesimuleerde phishingcampagnes uit om de waakzaamheid van medewerkers te meten en te verbeteren. Publiceer duidelijke richtlijnen over acceptabel gebruik, clean-deskbeleid en thuiswerkbeveiliging. Houd voltooiingspercentages bij en verwerk resultaten in uw risicoanalyse.

Maatregel 8: Cryptografie en versleutelingsbeleid

Wat het inhoudt: Organisaties moeten beleid definiëren en handhaven voor het gebruik van cryptografische maatregelen ter bescherming van de vertrouwelijkheid, integriteit en authenticiteit van informatie. Dit omvat het vaststellen van goedgekeurde algoritmen, sleutellengtes en procedures voor sleutelbeheer.

In de praktijk: Stel een cryptografiebeleid op dat actuele, breed geaccepteerde algoritmen verplicht stelt (bijv. AES-256 voor data at rest, TLS 1.2/1.3 voor data in transit). Leg een sleutelbeheerproces vast dat generatie, opslag, rotatie en vernietiging van cryptografische sleutels regelt. Zorg ervoor dat gevoelige gegevens end-to-end zijn versleuteld, inclusief back-ups en verwijderbare media. Beoordeel uw cryptografische standaarden minimaal elke twee jaar.

Maatregel 9: Personeelsbeveiliging, toegangsbeheer en activabeheer

Wat het inhoudt: Beveiligingsrisico's doen zich voor gedurende de gehele levenscyclus van een medewerker: van werving tot vertrek. NIS2 vereist passende personeelsbeveiligingsmaatregelen (inclusief antecedentenonderzoek waar wettelijk toegestaan), een robuust toegangsbeheerkader op basis van het least-privilege-principe en een uitgebreide activainventaris.

In de praktijk: Definieer screeningvereisten voor functies met verhoogde toegang tot gevoelige systemen of gegevens. Implementeer een formeel instroom-doorstroom-uitstroom (IDU)-proces: toegang verlenen op de eerste werkdag, aanpassen bij functiewijzigingen en onmiddellijk intrekken bij vertrek. Pas Role-Based Access Control (RBAC) toe en beoordeel toegangsrechten elk kwartaal. Houd een actuele inventaris bij van alle hardware- en software-assets, voorzien van eigenaar en classificatieniveau.

Maatregel 10: Multi-factorauthenticatie en beveiligde communicatie

Wat het inhoudt: Wachtwoorden alleen zijn onvoldoende om toegang tot gevoelige systemen te beschermen. NIS2 vereist het gebruik van multi-factorauthenticatie (MFA) en versleutelde communicatiekanalen, met name voor beheerderstoegang, externe verbindingen en communicatie met kritieke informatie.

In de praktijk: Verplicht MFA voor alle extern toegankelijke systemen — VPN, webmail, cloudportalen en remote desktop. Breid MFA uit naar alle bevoorrechte accounts en gevoelige interne systemen. Gebruik phishing-resistente MFA-methoden (bijv. FIDO2/hardwaretokens) voor de meest kritieke toegang. Zorg ervoor dat alle beheercommunicatie verloopt via versleutelde kanalen. Stel noodtoegangsprocedures op die zowel veilig als betrouwbaar beschikbaar zijn wanneer primaire authenticatiepaden falen.

Prioritering: waar begin je?

Fase	Maatregelen	Waarom eerst
Fase 1	1 (Risicoanalyse), 9 (Toegangscontrole), 10 (MFA)	Fundament + snelle winst
Fase 2	2 (Incidentafhandeling), 3 (Bedrijfscontinuïteit)	Weerbaarheid
Fase 3	7 (Training), 8 (Cryptografie)	Mensen + databescherming
Fase 4	4 (Keten), 5 (Veilige ontwikkeling), 6 (Effectiviteit)	Volwassenheid + verificatie

Dit is een praktische suggestie, geen wettelijke hiërarchie. Alle 10 maatregelen zijn gelijkwaardig verplicht.

Ontdek waar je staat

Onze gratis NIS2-quickscan beoordeelt je organisatie op alle 10 Artikel 21-maatregelcategorieën in enkele minuten. Per maatregel zie je of je op koers ligt of waar de hiaten zitten.