Blog

NIS2 Artikel 21.2 i:

Het toegangspasje: personeel, toegang en middelen zonder voortdurend argwaan te wekken.

Ik gebruik vaak een eenvoudige metafoor wanneer ik spreek over artikel 21.2 i. Denk aan een toegangspasje. Het is er niet omdat we iedereen wantrouwen. Het is er zodat de organisatie blijft functioneren, ook als iemand een fout maakt, abrupt vertrekt of een onbevoegde probeert binnen te komen.

NIS2 punt i gaat over drie samenhangende zaken: personeelsveiligheid, toegangscontrole en middelenbeheer. Het is makkelijk om dit te zien als een lange lijst van tools en procedures. Maar de kern is eenvoudiger: de juiste persoon moet de juiste toegang tot de juiste middelen hebben, en alleen zolang het nodig is.

Robert Willborg

Co-founder en Chief Security Officer bij OneMore Secure.

Wat punt i eigenlijk zegt

Artikel 21.2 somt tien gebieden op (a tot j). Punt i gaat over personeelsveiligheid, toegangscontrolebeleid en middelenbeheer. Het is belangrijk om punt i te lezen in combinatie met artikel 21.1 over proportionaliteit: maatregelen moeten passend en proportioneel zijn en de impact van incidenten beperken. De richtlijn zegt niet precies hoe een achtergrondcontrole eruit moet zien of welk systeem u moet aanschaffen. Het zegt dat u beleid en procedures moet hebben die effectief zijn en aantoonbaar (European Union, 2022).

Toepassing in Nederland: van EU-tekst naar toezicht

In Nederland wordt NIS2 geïmplementeerd via de Cybersecuritywet (2025:1506) en het Cybersecuritybesluit (2025:1507), die op 15 januari 2026 van kracht zijn gegaan. Dit maakt personeelsveiligheid en toegangsbeheer deels van de daadwerkelijke eisen voor de betrokken organisaties (Nederlandse overheid, 2025a; Nederlandse overheid, 2025b; Regering, 2026).

Personeelsveiligheid: zakelijk zonder achterdocht

Ik wil hier voorzichtig zijn. Personeelsveiligheid betekent niet dat iedereen als verdacht wordt behandeld. Het betekent dat rollen met veel vertrouwen ook zorgvuldig gecontroleerd moeten worden. Het gaat erom het risico op insiderincidenten te verkleinen, zowel opzettelijk als onopzettelijk.

Dit kan in sommige rollen achtergrondcontroles betekenen, maar die moeten wettig, proportioneel en met respect voor privacy worden uitgevoerd. Nederland heeft daarnaast andere regelgevingen die relevant kunnen zijn afhankelijk van de sector, zoals veiligheidswetgeving voor gevoelige activiteiten. NIS2 geeft geen vrijbrief om 'alles' te verzamelen. Het vereist dat u kunt aantonen dat u persoongebonden risico's volwassen beheert.

Toegangscontrole: het principe van minste privilege is geen loze kreet

Toegangscontrole betekent dat alleen bevoegden toegang krijgen tot wat ze nodig hebben. Het principe van minste privilege is eenvoudig: geef de minimale toegang die nodig is voor het werk. Maar het wordt snel een loze kreet als er geen procedures zijn voor onboarding, rolwisselingen en beëindigingen.

Hier zie ik vaak dat risico onnodig duur wordt. Mensen krijgen 'tijdelijke' rechten die permanent worden. Oude accounts blijven actief. Beheerdersrechten worden verspreid als confetti. En als er iets gebeurt, weet niemand precies wie het toegangspasje had.

Middelenbeheer: je kunt niet beschermen wat je niet ziet

Middelenbeheer klinkt bureaucratisch, maar is in essentie overzicht. Welke systemen, apparaten, software en data hebben we, waar staan ze en wat is kritisch.

Zonder inventarisatie wordt alles anders lastig: patching, logging, segmentatie, back-up en incidentrespons. Daarom hoort middelenbeheer bij de rest van artikel 21.2. Het is de kaart voordat je gaat navigeren.

De valkuil: punt i wordt een product

Het is verleidelijk om punt i te zien als een productvraag: koop een Identity and Access Management systeem en vink af. Maar NIS2 eist geen specifiek hulpmiddel. Het vereist werkbare procedures en bewijs dat die effectief zijn.

Een duur systeem zonder discipline is een dure illusie. Een eenvoudiger systeem met duidelijke procedures kan betere controle bieden. Dit is proportionaliteit in de praktijk.

Drie dingen die het toegangspasje echt maken

Ik houd het bij drie zaken die makkelijk te begrijpen zijn en vaak grote impact hebben.

· Rollen vóór rechten.

· Beëindiging is een proces.

· Inventariseren en classificeren.

Rollen vóór rechten betekent dat u definieert wat een rol nodig heeft en toegang aan de rol koppelt, niet aan de persoon. Dit vermindert uitzonderingen.

Beëindiging is een proces betekent dat u een controle heeft die daadwerkelijk wordt uitgevoerd wanneer iemand van rol verandert, vertrekt of nieuwe verantwoordelijkheden krijgt. Hier zitten vaak de grootste hiaten.

Inventariseren en classificeren betekent dat u een actuele lijst heeft van middelen en wat kritisch is. Zo kunt u bescherming prioriteren waar de impact het grootst is.

Slotopmerking

Artikel 21.2 i is niet bedoeld om organisaties koud en wantrouwend te maken. Het is bedoeld om ze robuust te maken. Als het toegangspasje werkt, hoeft u niet op geluk te vertrouwen. U kunt vertrouwen op het proces.

En als iemand vraagt of u controle heeft, is het antwoord geen beleidsstuk in een map. Het antwoord is dagelijkse praktijk: de juiste persoon, de juiste toegang, de juiste middelen, op het juiste moment.

Referenties

European Union. (2022). Richtlijn (EU) 2022/2555 (NIS2). Publicatieblad van de Europese Unie, L 333.

Regering. (2026). Nieuwe wet versterkt cybersecurity (ingangsdatum 15 januari 2026). https://www.regering.nl/

Nederlandse overheid. (2025a). Cybersecuritywet (2025:1506). Nederlandse wetgeving.

Nederlandse overheid. (2025b). Cybersecuritybesluit (2025:1507). Nederlandse wetgeving.

ENISA. (2025). Technische implementatierichtlijnen voor cybersecurityrisicobeheermaatregelen (Versie 1.0). Agentschap van de Europese Unie voor Cybersecurity.