Blog

NIS2 Artikel 21.2 j:

Deur naar binnen: sterke authenticatie zonder wachtwoordpaniek.

Ik vergelijk authenticatie vaak met de voordeur van een organisatie. Het maakt niet uit hoe geavanceerd uw alarmsysteem binnen is als de voordeur op een kier staat. In een digitale wereld is die voordeur vaak een account.

NIS2 artikel 21.2 j gaat over het moeilijker maken van de toegang: multifactor-authenticatie of continue authenticatie. Het is geen oproep tot wachtwoordpaniek, maar een eis voor redelijke sterkte waar de gevolgen groot zijn.

Robert Willborg

Mede-oprichter en Chief Security Officer bij OneMore Secure.

Wat punt j eigenlijk zegt

Artikel 21.2 benoemt tien gebieden (a tot j). Punt j gaat over het gebruik van multifactor-authenticatie of continue authenticatie, het beveiligen van spraak-, video- en tekstcommunicatie en, waar passend, beveiligde noodverbindingen binnen de organisatie. Dit betekent niet dat NIS2 een specifiek product, een bepaalde biometrische methode of een minimale wachtwoordlengte voorschrijft. Het betekent dat u sterke authenticatie moet toepassen op een proportionele manier die het risico op ongeautoriseerde toegang vermindert (Europese Unie, 2022).

Zweedse toepassing: van EU-tekst naar daadwerkelijke eisen

In Zweden wordt NIS2 geïmplementeerd via de Cybersecuritywet (2025:1506) en de Cybersecurityverordening (2025:1507), die op 15 januari 2026 in werking zijn getreden. Dit maakt sterke authenticatie onderdeel van de feitelijke eisen, niet slechts een aanbeveling (Zweeds parlement, 2025a; Zweeds parlement, 2025b; Regering, 2026).

Een realistische kijk: MFA is geen wondermiddel

Multifactor-authenticatie (MFA) betekent dat je minimaal twee verschillende factoren gebruikt om in te loggen. Dit kan iets zijn dat je weet, iets dat je hebt of iets dat je bent. MFA verkleint de kans aanzienlijk dat een gestolen wachtwoord voldoende is. Maar MFA is geen magie. Als iemand een sessie kapen, social engineering toepassen of toegang krijgen tot herstelprocessen, kan er toch schade ontstaan. Daarom moet MFA gezien worden als onderdeel van het geheel in artikel 21, niet als een op zichzelf staande oplossing.

Continue authenticatie: wat het is, zonder jargon

Continue authenticatie betekent dat niet alleen bij het inloggen wordt gecontroleerd wie je bent, maar ook tijdens het gebruik. Dit kan betekenen dat het systeem reageert op afwijkingen, zoals nieuwe locaties, ongewoon gedrag of risicovolle activiteiten. In gewone taal: de deur sluit zich als iemand zich plotseling als een ander gedraagt.

Dit kan relevant zijn in omgevingen met hoog risico, maar moet ook proportioneel zijn. Te veel weerstand zorgt voor omzeiling, en dan creëren we een nieuwe kwetsbaarheid.

Veilige communicatie en noodverbindingen: het vergeten onderdeel

Punt j noemt ook veilige spraak-, video- en tekstcommunicatie en waar passend beveiligde noodverbindingen. Dit wordt vaak vergeten omdat iedereen zich op MFA richt. Maar bij een incident is communicatie een levenslijn. Als uw kanalen afgeluisterd, gekaapt of uitgeschakeld kunnen worden, wordt herstel en crisisbeheer moeilijker.

Dit betekent niet dat iedereen speciale systemen nodig heeft. Het betekent dat u moet hebben nagedacht over welke kanalen worden gebruikt in kritieke situaties en hoe deze beveiligd worden.

De meest voorkomende valkuil: MFA voor gebruikers, maar niet voor beheerders

Dit is een klassieker. MFA wordt ingevoerd voor gewone gebruikers, maar administratieve accounts krijgen een minder sterke bescherming omdat het 'lastig' is. Dat is alsof je een veilige voordeur hebt maar de kelderdeur open laat staan.

Als u goed wilt beginnen, start dan vaak met wat de grootste risicoreductie oplevert: externe toegang en beheerdersrechten.

Drie voorstellen die effect hebben zonder wachtwoordtheater

Ik beperk het tot drie punten. Ze zijn eenvoudig te begrijpen en leveren meestal duidelijk resultaat zonder eisen te verzinnen die niet in de richtlijn staan.

· MFA waar de gevolgen groot zijn.

· Bescherm herstel en ondersteuning.

· Oefen snel 'stop en blokkeer'.

MFA waar de gevolgen groot zijn betekent dat u prioriteit geeft aan externe toegang, beheerders en kritieke systemen. Bescherm herstel en ondersteuning betekent dat u wachtwoordherstel, helpdeskprocessen en identiteitsprocedures beveiligt, want daar nemen aanvallers vaak de kortste weg. Oefen snel 'stop en blokkeer' betekent dat u weet hoe u accounts en sessies kunt blokkeren bij verdachte activiteit, zonder chaos te veroorzaken.

Slotwoord

Artikel 21.2 j is de voordeur. Het gaat niet om het leven moeilijk maken voor mensen, maar om het indringen voor aanvallers te bemoeilijken.

Als sterke authenticatie en veilige communicatie routine worden, wordt beveiliging minder dramatisch. Dan voorkomt u zowel paniek als theater. U krijgt een deur die daadwerkelijk op slot kan.