Wat punt h eigenlijk zegt

Artikel 21.2 noemt tien gebieden (a tot j) die moeten worden gedekt door risicobeheersmaatregelen. Punt h betreft beleid en procedures voor het gebruik van cryptografie en, waar passend, encryptie. Dit betekent dat NIS2 geen specifieke algoritme of product voorschrijft. Het vereist dat u kunt aantonen dat u cryptografie gebruikt op een manier die proportioneel is ten opzichte van risico en impact.

Nederlandse toepassing: van EU-tekst naar toezicht

In Nederland wordt NIS2 geïmplementeerd via de Cybersecuritywet (2025:1506) en de Cybersecurityverordening (2025:1507), die op 15 januari 2026 in werking zijn getreden. Dit maakt cryptografie tot een praktisch onderdeel van de eisen voor de organisaties die onder deze wetgeving vallen. Het is geen toekomstig "we zouden moeten", maar iets dat moet worden aangetoond in praktijk en bewijs.

Eén duidelijkheid: cryptografie, encryptie en ondertekening zijn niet hetzelfde

Ik zie vaak dat deze termen door elkaar worden gebruikt, dus laat ik het eenvoudig maken.

Cryptografie is de overkoepelende term: methoden om informatie wiskundig te beschermen.
Encryptie is een onderdeel van cryptografie: het maakt de inhoud onleesbaar zonder de juiste sleutel.
Digitale ondertekening is een ander onderdeel: het helpt ons te weten wie iets heeft gemaakt en of het onderweg is gewijzigd.

In de praktijk hangen ze vaak samen, maar het zijn verschillende gereedschappen in het sleutelkastje.

Waarom punt h zakelijk relevant wordt

Cryptografie wordt snel een vertrouwenskwestie. Wanneer data tussen partijen wordt uitgewisseld, leveranciers worden ingeschakeld en externe toegang wordt gebruikt, is de vraag niet of iemand data "wil" stelen. De vraag is of u het moeilijk genoeg heeft gemaakt en of u dat kunt aantonen.

Dit sluit direct aan bij meerdere andere punten in artikel 21.2: toegangscontrole en toegangsbeheer (i), sterke authenticatie (j), toeleveringsketen (d) en continuïteit (c). Cryptografie is zelden een geïsoleerde technische kwestie. Het is onderdeel van hoe u vertrouwen opbouwt in de hele keten.

Gegevensbescherming en AVG: wat waar is en wat vaak wordt overdreven

Hier wil ik duidelijk en feitelijk zijn. De Algemene Verordening Gegevensbescherming (AVG) schrijft niet voor dat alle persoonsgegevens altijd versleuteld moeten zijn, zowel in rust als tijdens overdracht. Wel geeft de AVG aan dat passende technische en organisatorische maatregelen moeten worden genomen, waarbij encryptie als voorbeeld wordt genoemd waar relevant. Met andere woorden: encryptie is vaak verstandig, soms noodzakelijk, maar het blijft risico en context die de leidraad zijn.

Dit sluit goed aan bij de NIS2-benadering: proportionaliteit en effectiviteit, geen reflexen.

De meest voorkomende fout: sleutelbeheer

Ik heb organisaties gezien die "alles goed" op papier doen, maar toch falen op het gebied van sleutels. Sleutelbeheer is de saaie realiteit achter alle cryptografie: wie maakt sleutels, waar worden ze opgeslagen, wie heeft toegang, hoe roteren we ze, wat gebeurt er als iemand vertrekt, en hoe ontdekken we fouten.

Als sleutels ongedisciplineerd worden beheerd, is cryptografie vooral een gevoel van veiligheid. Het sleutelkastje staat open.

Drie zaken die punt h concreet maken

Ik houd het bij drie dingen die eenvoudig te begrijpen zijn, moeilijk te manipuleren en in lijn met punt h.

· Gegevens en datastromen classificeren.

· Sleutels beheren als toegang.

· Sleutels opvolgen en roteren.

Gegevens en datastromen classificeren betekent dat u weet wat gevoelig is en waar het beweegt. Zo kunt u het juiste beschermingsniveau kiezen.

Sleutels beheren als toegang betekent dat u cryptografiesleutels behandelt als de meest bevoorrechte rechten die u hebt. Zo min mogelijk toegang, duidelijke eigenaren en traceerbaarheid.

Sleutels opvolgen en roteren betekent dat u een routine heeft voor rotatie, intrekking en controle, en dat u test of het werkt. Net zoals u test of het sleutelkastje echt op slot kan.

Slotopmerking

Artikel 21.2 h is geen eis voor cryptografische perfectie. Het is een eis voor orde in het sleutelkastje. Wanneer cryptografie routine wordt, geen magie, gebeurt er iets belangrijks: vertrouwen wordt makkelijker te creëren en moeilijker te verliezen. En in een digitale wereld is vertrouwen vaak gelijk aan zakelijk vermogen.

Referenties

Europese Unie. (2022). Richtlijn (EU) 2022/2555 (NIS2). Publicatieblad van de Europese Unie, L 333.

Europese Unie. (2016). Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming, AVG), Artikel 32. Publicatieblad van de Europese Unie.

Nederlandse overheid. (2025a). Cybersecuritywet (2025:1506). Nederlandse wetgeving.

Nederlandse overheid. (2025b). Cybersecurityverordening (2025:1507). Nederlandse wetgeving.

Regering. (2026). Nieuwe wet versterkt cybersecurity (in werking getreden 15 januari 2026).

ENISA. (2025). Technische implementatierichtlijnen voor cybersecurity risicobeheersmaatregelen (Versie 1.0). Europees Agentschap voor Cybersecurity.