Blog

NIS2 artikel 21.2 b:

Incidentbeheer dat standhoudt onder druk.

Ik heb incidentplannen gezien die zo netjes zijn dat ze een eigen plek verdienen. Het probleem is dat incidenten zich zelden iets aantrekken van planken. Ze komen wanneer iemand ziek is, wanneer de leverancier 'bezig' is, en wanneer de organisatie al moe is. Daarom is NIS2 artikel 21.2 b zo belangrijk. Het vraagt niet om perfectie, maar om een manier van incidentbeheer die in de praktijk echt werkt.

Robert Willborg

Co-founder en Chief Security Officer bij OneMore Secure.

Wat betekent incident en incidentbeheer volgens NIS2

NIS2 geeft duidelijke definities. Een incident is een gebeurtenis die de beschikbaarheid, authenticiteit, juistheid of vertrouwelijkheid van data of diensten via netwerk- en informatiesystemen aantast. Incidentbeheer omvat alle maatregelen en procedures om incidenten te voorkomen, te detecteren, analyseren, beperken, erop te reageren en ervan te herstellen (European Union, 2022).

Wat vaak misgaat: artikel 21 en artikel 23 verwarren

Hier ontstaat vaak verwarring. Artikel 21.2 b gaat over de capaciteit om incidenten te beheren. De zogenaamde meldingsdeadlines (vroege waarschuwing binnen 24 uur, melding binnen 72 uur en eindrapport binnen 30 dagen) staan in artikel 23. Dat betekent niet dat artikel 21 en 23 los van elkaar staan. Integendeel: een incidentproces dat de deadlines niet haalt, is zelden effectief. Juridisch gezien is het echter correct te zeggen dat 21.2 b over incidentbeheer gaat en 23 over rapportage (European Union, 2022).

Toepassing in Zweden: de Cybersecuritywet

In Zweden trad de Cybersecuritywet (2025:1506) op 15 januari 2026 in werking en verving de NIS1-wet (Zweedse Rijksdag, 2025). Deze wet is gebaseerd op NIS2 en vereist dat organisaties risicobeheersmaatregelen implementeren, waarbij incidentbeheer een kernonderdeel is. De Autoriteit voor Civiele Verdediging benadrukt dat de wet strengere eisen stelt aan risicoanalyses en beveiligingsmaatregelen, en dat de betrokkenheid van het management groter wordt (Autoriteit voor Civiele Verdediging, 2026).

Wat artikel 21.2 b praktisch vraagt

Ik interpreteer de eis als volgt: u moet kunnen aantonen dat u een herhaalbaar, geoefend en lerend proces voor incidenten hebt. Niet slechts een document, maar een proces. Dit proces moet de hele keten omvatten: van detectie via triage en beperking tot herstel en lessen trekken. Een eenvoudige vuistregel is: wat niet geoefend en gemeten wordt, bestaat niet.

Om helder en begrijpelijk te blijven, gebruik ik drie woorden die iedereen kent: detecteren, isoleren, herstellen. Als deze drie stappen in de praktijk werken, valt de rest meestal op zijn plek.

De koppeling van artikel 21.2 b met andere onderdelen van artikel 21

Incidentbeheer staat niet op zichzelf. Het hangt samen met andere punten in artikel 21.2. Continuïteit en crisismanagement (21.2 c) bepalen hoe snel diensten weer operationeel zijn. Beveiliging in de toeleveringsketen (21.2 d) bepaalt of u tijdig de juiste informatie krijgt. Kwetsbaarheidsbeheer en veilige ontwikkeling (21.2 e) bepalen hoe vaak incidenten voorkomen. Effectiviteitscontrole (21.2 f) laat zien of maatregelen werken. Opleiding (21.2 g) bepaalt of mensen juist handelen onder stress (European Union, 2022).

Risico van 'overimplementatie'

Ik wil iets duidelijk maken. Incidentbeheer wordt soms een discussie over tools: 'We moeten SIEM hebben', 'we moeten een groot SOC', 'we moeten X aanschaffen'. Dat kan in sommige gevallen kloppen. Maar NIS2 vereist geen specifiek hulpmiddel. Het vraagt om proportionele maatregelen die werken. Als u een incidentproces bouwt dat zo zwaar is dat het nooit wordt gebruikt, creëert u in feite een nieuwe kwetsbaarheid.

Drie praktische aanbevelingen

Ik beperk me tot drie voorstellen die in lijn zijn met artikel 21.2 b en die geïmplementeerd kunnen worden zonder een papierfabriek te creëren.

· Oefen detectie, isolatie en herstel.

· Meet tijden, niet teksten.

· Bouw leren in in de dagelijkse operatie.

Oefenen betekent kleine, realistische scenario's draaien en contactwegen, besluitvorming en technische stappen testen. Tijden meten betekent de tijd tot detectie en herstel volgen, evenals de duur van uitval van kritieke diensten. Leren in de operatie betekent dat elke incident concrete acties oplevert die daadwerkelijk worden uitgevoerd en opgevolgd. Zo gaat u van compliance naar echte capaciteit.

Slotopmerking

Artikel 21.2 b eist niet dat u nooit wordt aangevallen. Het eist dat u de realiteit aankunt. Als u kunt aantonen dat u detecteert, isoleert, herstelt en leert van wat er gebeurt, bent u op de goede weg. Als het echt misgaat, is het niet het beleid dat u redt, maar het spiergeheugen.