Blog

NIS2 artikel 21.2 g:

Basis cyberhygiëne: keukenhygiëne die gasten vertrouwen geeft om te eten.

Ik heb altijd geloofd in een eenvoudige waarheid uit de restaurantwereld. Je kunt het meest creatieve menu van de stad hebben, maar als de hygiëne in de keuken tekortschiet, maakt het niet uit. Gasten komen niet terug. Uiteindelijk gaat het niet om de smaak, maar om vertrouwen.

Artikel 21.2 g in NIS2 gaat precies over dat. Basis cyberhygiëne en training. Niet als een leuk extraatje, maar als basisvereiste. Zonder basis wordt elke nieuwe poging alleen maar een extra rommel om op te ruimen.
Robert Willborg

Co-founder en Chief Security Officer bij OneMore Secure.

Wat punt g eigenlijk zegt

NIS2 artikel 21.2 somt tien gebieden op (a tot j) die moeten worden gedekt door risicobeheersmaatregelen. Punt g gaat over basis cyberhygiënepraktijken en cybersecuritytraining. Het is belangrijk om dit te lezen in het licht van artikel 21.1: de maatregelen moeten proportioneel zijn en de impact van incidenten verminderen. Met andere woorden, punt g vereist dat het dagelijkse menselijke gedrag onderdeel wordt van risicoreductie, en niet een zwakke schakel waarop wordt gewezen als er iets misgaat (Europese Unie, 2022).

Eén ding is duidelijk: NIS2 zegt niet precies welke hygiënepraktijken verplicht zijn

Hier kun je makkelijk verdwalen. De richtlijn geeft niet in detail aan welke hygiëneroutines je moet hebben. Dat is bewust zo. NIS2 is gebaseerd op proportionaliteit en risico. Maar het EU Cybersecurity Agentschap ENISA heeft technische richtlijnen opgesteld die verduidelijken wat risicobeheersmaatregelen vaak inhouden, waaronder training, toegangscontrole, patching, logging en herstel als basis (ENISA, 2025).

Toepassing in Nederland: waarom dit nu op het managementbord ligt

In Nederland wordt NIS2 geïmplementeerd via de Cybersecuritywet (2025:1506), die op 15 januari 2026 in werking trad (Nederlands Parlement, 2025a). De Autoriteit voor Civiele Bescherming beschrijft dat de wet strengere eisen stelt en dat meer organisaties eronder vallen, met onder meer duidelijkere eisen voor risicoanalyses en veiligheidsmaatregelen (Autoriteit voor Civiele Bescherming, 2026). Dit maakt cyberhygiëne meer dan een campagne. Het wordt onderdeel van hoe organisaties compliance en veerkracht aantonen.

Wat cyberhygiëne betekent in het dagelijks leven

Ik hou van praktische cyberhygiëne. Het is niet 'alles wat we zouden moeten doen'. Het zijn de paar gedragingen en routines die, als ze goed worden gevolgd, veelvoorkomende en dure fouten voorkomen.

In de keuken draait hygiëne om het elke dag juist doen: schone handen, juiste temperatuur, schone oppervlakken. In de digitale praktijk komt dat vaak neer op: sterke inlogprocedures, up-to-date systemen, en een gewoonte om afwijkingen vroeg te signaleren. Het is geen glamour, het is operatie en vertrouwen.

De ongemakkelijke waarheid: cyberhygiëne is collectief, geen hobby

Ik wil hier duidelijk zijn. Cyberhygiëne wordt door individuen uitgevoerd, maar is geen individueel project. Het is een organisatorische vaardigheid. Als je van mensen verwacht dat ze perfect zijn in een systeem dat stressvol, onduidelijk en vol uitzonderingen is, bouw je fouten in. NIS2 verschuift daarom de focus van 'de mens als zwakke schakel' naar de organisatie als verantwoordelijke omgeving. Punt g is op zijn eigen rustige manier een eis dat de organisatie het makkelijk maakt om het juiste te doen.

Drie zaken die meestal de echte basis vormen

Ik beperk het tot drie dingen, om hygiëne niet te veranderen in een lijst waar niemand zin in heeft. Dit zijn niet 'alle eisen in NIS2'. Het is een manier om punt g levendig en meetbaar te maken.

· Maak veilige keuzes het makkelijkst.

· Meet naleving tijdens de operatie.

· Train kort en regelmatig.

Veilige keuzes het makkelijkst maken betekent dat je de wrijving rond het juiste gedrag vermindert. Als multi-factor authenticatie te lastig is voor de drukste mensen, wordt het omzeild. Naleving meten tijdens de operatie betekent dat je de dekking en afwijkingen volgt, niet alleen herinneringen verstuurt. Kort en regelmatig trainen betekent dat training een routine wordt, geen jaarlijkse lezing die niemand onthoudt als het er echt toe doet.

Slotopmerking

Artikel 21.2 g is niet het meest spectaculaire punt in NIS2. Het is erger: het is alledaags. En juist daarom werkt het.

Veiligheid die standhoudt, bouw je niet alleen met architectuur en contracten. Je bouwt het met gewoontes. Zoals keukenhygiëne: niemand applaudisseert als het goed gaat, maar iedereen merkt het als het misgaat.

Referenties

ENISA. (2025). Technische implementatierichtlijnen voor risicobeheermaatregelen in cybersecurity (Versie 1.0). Europees Agentschap voor Cybersecurity.

Europese Unie. (2022). Richtlijn (EU) 2022/2555 (NIS2). Officieel Publicatieblad van de Europese Unie, L 333.

Autoriteit voor Civiele Bescherming. (2026). Dit is de Cybersecuritywet (NIS2). https://www.mcf.se/

Nederlands Parlement. (2025a). Cybersecuritywet (2025:1506). Nederlandse wetgeving.

NIS2 artikel 21.2 a:

Wanneer risicoanalyse brandveiligheid wordt, niet alleen papierwerk.

Ga naar het artikel

NIS2 artikel 21.2 c:

Continuïteit is de noodgenerator die je moet testen.

Ga naar het artikel

NIS2 artikel 21.2 d:

De leveranciersketen is een koelketen, geen boodschappenlijst.

Ga naar het artikel

NIS2 artikel 21.2 e:

Veiligheid bij inkoop en ontwikkeling: bouw het slot voordat je intrekt.

Ga naar het artikel

NIS2 artikel 21.2 f:

De testknop van de rookmelder: wanneer veiligheid bewezen moet worden, niet aangenomen.

Ga naar het artikel

NIS2 artikel 21.2 g:

Basis cyberhygiëne: keukenhygiëne zodat gasten durven te eten

Ga naar het artikel

NIS2 artikel 21.2 h:

De sleutelkluis: wanneer cryptografie routine is, geen magie

Ga naar het artikel

NIS2 artikel 21.2 j:

De voordeur: sterke authenticatie zonder wachtwoordstress

Ga naar het artikel
Terug naar de blogpagina