NIS2 Artikel 21(2)(c): Wat back-up en bedrijfscontinuïteit echt vereisen

Een ransomwarebende versleutelt op vrijdagavond de productieomgeving van een klant. Maandag wil die klant twee dingen weten: wanneer zijn we terug, en kunnen we de toezichthouder bewijzen dat we alles goed hebben gedaan? Als je bedrijfscontinuïteitsplan in een SharePoint-map staat die sinds 2023 niemand meer heeft geopend, ken je het antwoord op beide vragen al.

Artikel 21(2)(c) van NIS2 is de maatregel waarvan de meeste organisaties denken dat ze die op orde hebben en die auditors het vaakst onvoldoende vinden. "Bedrijfscontinuïteit, zoals back-upbeheer en noodherstel, en crisisbeheer" klinkt als een vinkje dat je zet met een bestaand DR-draaiboek. Dat is het niet. Uitvoeringsverordening (EU) 2024/2690 van de Commissie heeft die ene subbepaling omgezet in meer dan twintig specifieke, te bewijzen eisen — en vanaf de auditcyclus van juni 2026 is die verordening de maatstaf waar auditors als eerste naar grijpen.

Dit is wat je klanten daadwerkelijk moeten kunnen aantonen, en waar de gaten meestal zitten.

De uitvoeringsverordening is de norm waaraan auditors toetsen

NIS2 zelf is bewust vaag. Het somt tien maatregelen op in artikel 21(2) en laat de details over aan de lidstaten en aan de Commissie. Voor een afgebakende groep entiteiten — DNS-aanbieders, TLD-registries, cloud- en datacenteraanbieders, managed serviceproviders en andere digitale infrastructuur — heeft de Commissie die details rechtstreeks ingevuld met CIR 2024/2690, die geldt vanaf 18 oktober 2024.

Voor alle anderen is de verordening niet juridisch bindend. Maar het is de meest concrete lezing van artikel 21 die bestaat, nationale autoriteiten stemmen hun auditchecklists erop af, en ENISA publiceerde technische implementatierichtsnoeren op dezelfde structuur. Behandel het als de feitelijke maatstaf. Als een klant voldoet aan CIR 2024/2690 op het gebied van bedrijfscontinuïteit, zal geen enkele auditor in de EU beweren dat ze tekortschoten op artikel 21(2)(c).

De verordening splitst de maatregel op in drie dingen die onafhankelijk moeten bestaan: een plan voor bedrijfscontinuïteit en noodherstel, back-upbeheer, en crisisbeheer. De meeste organisaties hebben er één van de drie en gaan ervan uit dat die de andere dekt. Dat is niet zo.

Artikel 21 — 10 NIS2 Cybersecuritymaatregelen
🛡️
Artikel 21
10 Cybersecuritymaatregelen
📊
Governance & Strategie
1Risicoanalyse & informatiebeveiligingsbeleid
6Effectiviteitsbeoordeling van beveiligingsmaatregelen
🚨
Incidenten & Continuïteit
2Incidentafhandeling & melding
3Bedrijfscontinuïteit & disaster recovery
🔗
Toeleveringsketen & Systemen
4Beveiliging van de toeleveringsketen
5Beveiliging bij de ontwikkeling van netwerk- en informatiesystemen
🔐
Technische Beheersing
8Cryptografie & versleuteling
10Multi-factor authenticatie & veilige communicatie
👥
Mensen & Middelen
7Cyberhygiëne & training
9HR-beveiliging & toegangscontrole

Een continuïteitsplan zonder bedrijfsimpactanalyse is een gok

De eerste eis is een gedocumenteerd BC- en DR-plan — maar het plan moet voortkomen uit een bedrijfsimpactanalyse (BIA), niet uit het onderbuikgevoel van het IT-team over wat belangrijk is.

In de BIA identificeer je de kritieke diensten en de systemen daarachter, en ken je aan elk een maximaal toelaatbare uitvalduur toe. Daaruit stel je een Recovery Time Objective (hoe snel je herstelt) en een Recovery Point Objective (hoeveel data je kunt missen) vast. Die twee getallen sturen elke verdere beslissing: hoe vaak je back-upt, waar je back-ups bewaart, hoe je failover ontwerpt.

Hier zit het gat dat auditors voortdurend vinden. De klant heeft RTO- en RPO-waarden opgeschreven — vier uur, vijftien minuten, wat dan ook — maar het back-upschema en het DR-ontwerp leveren die helemaal niet. Een RPO van vijftien minuten met nachtelijke back-ups is geen doel, het is fictie. De verordening verwacht dat de doelstellingen en de architectuur overeenkomen, en verwacht dat je die overeenkomst bewijst met een testresultaat, niet met een bewering.

Voor consultants is de BIA ook het werk met de meeste hefboomwerking dat je kunt verkopen. Het is framework-onafhankelijk, het voedt ISO 27001 en DORA tegelijk, en bijna geen enkele mkb-klant heeft er een fatsoenlijk uitgevoerd.

Back-ups moeten geïsoleerd, onveranderbaar en aantoonbaar herstelbaar zijn

Back-upbeheer onder CIR 2024/2690 is waar de realiteit van ransomware en compliance elkaar raken. Drie dingen zijn niet onderhandelbaar.

Back-ups moeten gescheiden zijn van productie. Een back-up op hetzelfde domein, bereikbaar met dezelfde inloggegevens, wordt mee versleuteld met al het andere. De verordening verwacht logische en idealiter fysieke scheiding.

Back-ups moeten beschermd zijn tegen wijziging — onveranderbaarheid of gelijkwaardige controles, zodat een aanvaller met adminrechten geen herstelpunten kan verwijderen of overschrijven. Dit is de grootste architectuurwijziging die de meeste klanten nog moeten doorvoeren.

En back-ups moeten getest worden door ze daadwerkelijk te herstellen. Een back-uptaak die elke nacht "geslaagd" meldt, vertelt je dat het wegschrijven werkte. Het zegt niets over de vraag of de data herstelt naar een werkend systeem binnen je RTO. Bijlage 4.3 van de verordening eist specifiek hersteltests met gedocumenteerde resultaten en corrigerende maatregelen.

De CTA schrijft zichzelf voor elke MSP: de back-uppositie van je klanten is het snelst te beoordelen onderdeel van NIS2 en het eenvoudigst aantoonbaar te verbeteren. Onze gratis NIS2 quick scan geeft je een verdedigbare uitgangsbasis voor precies dat gesprek.

Crisisbeheer is een benoemd team en een geoefende beslissingsketen, geen telefoonlijst

De derde pijler is degene die organisaties vergeten tot ze die nodig hebben. Crisisbeheer onder NIS2 betekent een gedefinieerde leiderschapsstructuur met duidelijke rollen, beslissingsbevoegdheid en communicatieprocedures die functioneren onder druk.

In de praktijk betekent dat een benoemd crisisteam, gedocumenteerde escalatiedrempels, vooraf opgestelde communicatiesjablonen (ook voor toezichthouders en klanten), en begrip van wie wat kan autoriseren wanneer systemen plat liggen en de gebruikelijke fiatteurs onbereikbaar zijn. De verordening behandelt crisiscommunicatiesjablonen als een specifiek bewijsstuk — auditors zullen erom vragen.

Dit hangt direct samen met de meldklok van NIS2. Het crisisplan is wat de juiste mensen snel genoeg bij elkaar krijgt om de deadlines van 24 uur (vroegtijdige waarschuwing) en 72 uur (melding) onder artikel 23 te halen. Een back-up die binnen vier uur herstelt, is waardeloos als niemand de eerste drie dagen besloot een incident te melden.

NIS2 Incidentmeldingstijdlijn
24h
⚡
Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
Stap 1
72h
📋
Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
Stap 2
1mo
📊
Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.
Stap 3
24h
⚡
Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
72h
📋
Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
1mo
📊
Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.

Wat "bewijs" betekent in een audit in 2026

De verschuiving die organisaties in deze auditcyclus verrast, is bewijstechnisch. Auditors nemen geen genoegen meer met het bestaan van een plan. Ze willen zien dat het is getest, dat de test problemen vond, en dat de problemen zijn opgelost.

Voor elke hersteltest verwacht de verordening een gedocumenteerde output: de datum en wie deelnam, het gebruikte scenario, gevonden problemen met ernstclassificaties, corrigerende maatregelen met benoemde eigenaren en deadlines, resultaten gemeten tegen je vastgestelde RTO en RPO, en goedkeuring door het management. Een plan zonder testverslag wordt behandeld als een plan dat niet werkt.

Bouw het bewijsspoor gaandeweg op, niet de week voor de audit. De organisaties die in juni 2026 in de problemen komen, zijn degene die documentatie als bijzaak behandelen in plaats van als bijproduct van het daadwerkelijk uitvoeren van het proces.

NIS2-sanctie-escalatie — Voorbij de boete
!
Aanleiding
Non-compliance gedetecteerd of incident treedt op
Een toezichthouder identificeert een compliance-hiaat of een organisatie voldoet niet aan de NIS2-vereisten
Toezichthouders kunnen opleggen
▼
Niet-financiële sancties
1
Nalevingsbevelen met bindende deadlines
2
Verplichte security-audits op eigen kosten
3
Publieke bekendmaking van overtredingen
4
Bindende instructies over specifieke beveiligingsmaatregelen
Escaleert naar
▼
Operationele en persoonlijke gevolgen
1
Opschorting van certificeringen of vergunningen
2
Tijdelijk verbod op bestuursfuncties voor personen
3
Publieke benoeming van verantwoordelijke natuurlijke personen
Aanleiding
Niet-financieel
Operationeel / persoonlijk

De boete-exposure maakt de zaak op zichzelf al duidelijk. Essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, en een continuïteitsfalen dat een herstelbaar incident omzet in een langdurige uitval is precies het soort nalatigheid dat toezichthouders aangeven te zullen vervolgen. Maar het sterkere argument bij klanten is operationeel, niet regelgevend: een organisatie die kan aantonen dat ze kritieke diensten binnen een gedefinieerd tijdvenster herstelt, is simpelweg een beter geleid bedrijf.

Waar je dit kwartaal met een klant begint

Voer eerst de bedrijfsimpactanalyse uit — zonder die is elke andere beslissing giswerk. Controleer daarna drie dingen op volgorde: zijn back-ups geïsoleerd en onveranderbaar, heeft er in de afgelopen twaalf maanden een echte hersteltest plaatsgevonden, en bestaat er een benoemd crisisteam met sjablonen klaar om te verzenden. Die drie controles scheiden de klanten die echt klaar zijn van degene die een document hebben.

Voor een snelle lezing van waar een organisatie staat op alle tien Artikel 21-maatregelen verandert de NIS2 quick scan een vaag "zijn we compliant?" in een concrete gatenlijst waarmee je aan de slag kunt.

Artikel 21(2)(c) beloont het saaie werk: geteste back-ups, opgeschreven beslissingen, geoefende reacties. Dat is ook het werk dat ervoor zorgt dat een ransomware-aanval op vrijdagavond een slecht weekend is in plaats van een bedrijfsbeëindigende gebeurtenis.