NIS2 Compliance
De operationele laag voor uw Microsoft 365-omgeving
NIS2 is EU-breed van kracht sinds 17 oktober 2024. In Nederland wordt de richtlijn omgezet in de Cyberbeveiligingswet, met verwachte inwerkingtreding in 2026. Vanaf dat moment moet u kunnen aantonen dat u passende technische en organisatorische maatregelen heeft genomen. Attic neemt het operationele werk uit handen en verzamelt de bewijsstukken die toezichthouders opvragen.
Wat is NIS2 en de Cyberbeveiligingswet?
De Network and Information Security Directive 2, kortweg NIS2, vervangt de oude NIS-richtlijn uit 2016. De EU heeft de scope fors uitgebreid. Waar de oude richtlijn acht sectoren raakte, dekt NIS2 er achttien. Duizenden Nederlandse organisaties vallen onder de richtlijn, van energie en transport tot afvalbeheer, digitale infrastructuur en managed service providers.
In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet. Die wet wijst de sectoren aan, bepaalt de omvangseisen, en legt vast welke toezichthouder verantwoordelijk is. De Rijksinspectie Digitale Infrastructuur (RDI) en de sectorale toezichthouders krijgen bevoegdheden om te inspecteren, sancties op te leggen en bestuurders persoonlijk aan te spreken.
Wat de wet concreet oplevert voor uw organisatie:
- Een wettelijke zorgplicht om cyberrisico's te beheersen
- Een meldplicht bij significante incidenten, gefaseerd in 24 uur, 72 uur en één maand
- Een register van aangewezen organisaties bij de toezichthouder
- Boetes tot in de miljoenen en mogelijke schorsing van bestuurders bij ernstige nalatigheid
Uitstel is geen strategie. Een organisatie die nu geen operationele security-laag heeft, kan bij een incident niet aantonen dat zij de wettelijke maatregelen heeft getroffen. Het ontbreken van logs, alerts en configuratie-evidence telt bij de toezichthouder als feit, niet als verzachtende omstandigheid.
Valt uw organisatie onder NIS2?
NIS2 onderscheidt twee categorieën. Essentiële entiteiten staan onder proactief toezicht en kennen de hoogste boetes. Belangrijke entiteiten vallen onder reactief toezicht. Het onderscheid bepaalt het toezichtregime, maar niet de onderliggende verplichtingen. Die zijn voor beide categorieën gelijk.
Uw organisatie valt onder NIS2 als u aan alle drie de voorwaarden voldoet:
- 1 U bent actief in een van de achttien aangewezen sectoren.
- 2 U heeft 50 of meer medewerkers, óf een jaaromzet van 10 miljoen euro of meer.
- 3 U levert diensten of goederen in of aan de Europese Unie.
Een selectie uit de achttien aangewezen sectoren:
Ook als u zelf niet onder NIS2 valt: uw klanten wél.
De richtlijn verplicht organisaties om risico's in hun toeleveringsketen te beheersen. MKB-leveranciers krijgen daarom contractuele security-eisen opgelegd door hun NIS2-plichtige afnemers. De facto geldt de wet daarmee voor tienduizenden Nederlandse bedrijven die formeel niet in de aanwijzing staan. Werkt u in of voor een sector hierboven, dan zult u uw cybersecurity moeten kunnen aantonen, of dat nu via de wet is of via uw grootste klant.
De tien maatregelen van Artikel 21
Artikel 21 van de NIS2-richtlijn beschrijft tien verplichte categorieën van maatregelen. De Cyberbeveiligingswet neemt deze categorieën ongewijzigd over. Elke organisatie moet deze maatregelen treffen op een manier die past bij haar risicoprofiel, en moet dat ook kunnen aantonen. Hieronder ziet u per maatregel welke Microsoft 365-tooling de technische basis levert, en welke Attic-laag het operationele werk daarop verricht.
Risicoanalyse en beleid voor informatiebeveiliging
- Microsoft 365-tooling
- Microsoft Secure Score, Defender for Cloud
- Attic operations
- FIXER meet dagelijks de afwijking van uw CIS-benchmark en rapporteert per control.
Incidentenbehandeling
- Microsoft 365-tooling
- Microsoft Sentinel, Defender XDR
- Attic operations
- MDR ontvangt de alerts, doet triage en bevestigt of escaleert binnen minuten.
Bedrijfscontinuïteit, back-ups en crisisbeheer
- Microsoft 365-tooling
- Microsoft 365 Backup, Azure Backup
- Attic operations
- Langdurige logbewaring voor forensische reconstructie, onafhankelijk van Microsoft-retentie.
Beveiliging van de toeleveringsketen
- Microsoft 365-tooling
- Compliance Manager, Entra ID
- Attic operations
- Monitoring van GDAP-relaties, OAuth-applicaties en third-party toegang.
Beveiliging bij verwerving, ontwikkeling en onderhoud
- Microsoft 365-tooling
- Defender for Cloud, Conditional Access
- Attic operations
- FIXER detecteert configuratie-drift en herstelt waar mogelijk automatisch.
Beoordeling van de effectiviteit van maatregelen
- Microsoft 365-tooling
- Compliance Manager, Secure Score
- Attic operations
- Wekelijkse rapportage van meetbare voortgang per Artikel 21-categorie.
Basis cyberhygiëne en training
- Microsoft 365-tooling
- Attack Simulator, Defender for Office 365
- Attic operations
- FREE waarschuwt gebruikers in real-time bij AiTM-phishing.
Cryptografie en encryptie
- Microsoft 365-tooling
- Microsoft Purview Information Protection
- Attic operations
- Controle dat labels, DLP en encryptie actief zijn op alle mailboxen.
Personeel, toegangscontrole en beheer van activa
- Microsoft 365-tooling
- Microsoft Entra ID, Intune
- Attic operations
- BOUNCER monitort risicovolle sessies, onmogelijke reizen en MFA-omzeiling.
Multifactorauthenticatie en beveiligde communicatie
- Microsoft 365-tooling
- Entra MFA, Microsoft Teams
- Attic operations
- Detectie van MFA-fatigue, token-theft en break-glass-misbruik.
Of u nu op Microsoft 365 Business Basic, Business Standard, Business Premium, E3 of E5 draait: uw tenant bevat al een groot deel van de technische bouwstenen voor Artikel 21. Wat ontbreekt is niet meer licentie, maar de operationele laag die deze bouwstenen inzet, bewaakt en het bewijs vastlegt. Attic sluit aan op de abonnementen die u al heeft en vult precies dat gat.
Meldplicht: 24 uur, 72 uur, één maand
NIS2 introduceert een driefasig meldregime. Bij een significant incident moet u achtereenvolgens melden binnen 24 uur, 72 uur en uiterlijk één maand. Een incident is significant wanneer het de dienstverlening ernstig verstoort, financiële schade van betekenis veroorzaakt, of impact heeft op andere organisaties of personen.
Fase 1
Binnen 24 uur
Vroegtijdige waarschuwing aan de toezichthouder met de basisfeiten. Wat is geconstateerd, wanneer begon het, is er een vermoeden van kwaadwillend handelen, en welke sectoren of landen kunnen geraakt zijn. De melding is kort. Hij moet vooral snel.
Fase 2
Binnen 72 uur
Incidentmelding met een eerste beoordeling van de ernst, de impact en de indicatoren van compromittering. Op dit punt verwacht de toezichthouder dat u een gestructureerd beeld heeft van wat er is gebeurd.
Fase 3
Binnen één maand
Eindrapport: een volledige reconstructie van oorzaak, tijdlijn, genomen maatregelen en lessen voor de toekomst. Dit rapport vormt de basis voor eventuele vervolgstappen van de toezichthouder.
De wet stelt geen eisen aan hoe u de benodigde informatie verzamelt. De wet stelt wel vast dat u er binnen 24 uur mee moet kunnen komen. Organisaties zonder continue monitoring verliezen de eerste uren na een incident aan het reconstrueren wat er überhaupt is gebeurd. Attic levert die reconstructie als bijproduct van de normale werking, omdat elke sessie, elke configuratiewijziging en elk signaal al vastligt.
Boetes en bestuurlijke aansprakelijkheid
NIS2 introduceert voor het eerst persoonlijke aansprakelijkheid voor bestuurders. Het bestuur kan cybersecurity niet langer volledig delegeren aan IT. Toezichthouders krijgen de bevoegdheid om bestuurders tijdelijk te schorsen uit hun functie bij ernstige tekortkomingen.
Essentiële entiteiten
€ 10 miljoen
of 2% van de wereldwijde jaaromzet, welk bedrag het hoogst is.
Belangrijke entiteiten
€ 7 miljoen
of 1,4% van de wereldwijde jaaromzet, welk bedrag het hoogst is.
Niet-financiële sancties
- Tijdelijke schorsing van certificering of toelating
- Openbaarmaking van de tekortkoming
- Tijdelijk verbod voor bestuurders om managementfuncties te vervullen
De boete is niet het grootste risico voor de meeste MKB-bedrijven. De reputatieschade van een openbare sanctie, en de doorwerking in klantcontracten die NIS2-compliance als voorwaarde stellen, kosten in de praktijk vaak meer.
Waar de meeste MKB-bedrijven vastlopen
Stel, een Nederlands productiebedrijf met 180 medewerkers draait op Microsoft 365 Business Premium. De directie heeft NIS2 op de agenda gezet. De IT-partner heeft MFA uitgerold, Defender aangezet en een backup-schema opgesteld. Het beleid staat in een PDF. De certificering staat in de aanbesteding. Op papier voldoet de organisatie.
Op een woensdagochtend logt een medewerker in op een phishingpagina die eruitziet als de eigen Microsoft-loginpagina. De pagina zit tussen de gebruiker en Microsoft in, onderschept de sessie-token na de MFA-prompt en geeft de aanvaller binnen twee minuten toegang tot het postvak, OneDrive en Teams. De aanvaller zet een inbox-regel op die berichten met "IBAN" of "bankgegevens" doorstuurt naar een extern adres, en wacht.
Zestien dagen later wordt een factuur van 94.000 euro betaald op de IBAN van de aanvaller. De fraude wordt ontdekt door de leverancier, niet door het bedrijf. De IT-partner krijgt een telefoontje om 15:47 op vrijdag.
Wat binnen 24 uur moet gebeuren
- Bepalen welke accounts zijn gecompromitteerd en wanneer
- Bepalen welke data is benaderd
- Bepalen of klantdata betrokken is, met doorwerking naar andere toezichthouders
- Een vroegtijdige waarschuwing indienen bij de Nederlandse toezichthouder
Wat het bedrijf werkelijk kan
De Microsoft-logs bestaan, maar worden standaard 30 dagen bewaard. Niemand heeft eerder naar een sign-in log gekeken. De inbox-regel is door de aanvaller verwijderd. Er is geen baseline om normaal gedrag tegen af te zetten. De IT-partner kan de vraag "wat is er gebeurd" pas beantwoorden nadat een externe incident-response-firma onderzoek doet, kosten tussen 15.000 en 40.000 euro, doorlooptijd een tot drie weken. De 24-uursmelding wordt niet gehaald. Niet omdat niemand wil melden, maar omdat niemand weet wat hij moet melden.
Wat Attic in dezelfde situatie had opgeleverd
Attic BOUNCER had de afwijking in de sessie-token binnen minuten gedetecteerd, als hoog-risico gemarkeerd en het Attic SOC gealarmeerd. De inbox-regel had direct een alert getriggerd, geclassificeerd als indicator van business email compromise. De sign-in data, sessiecontext en regelwijziging lagen al vast in de Attic-logstore, onafhankelijk van Microsoft-retentie. Het conceptrapport voor de toezichthouder was door het SOC opgesteld vóórdat de 24-uurstermijn verstreek.
Het verschil zit niet in de tooling. Beide organisaties draaien op dezelfde Microsoft 365-licentie. Het verschil zit in de vraag of er iemand is die de signalen opvangt op het moment dat ze binnenkomen, en er iets mee doet.
Attic als uw security operations
NIS2 vraagt om een operationele securityfunctie. Voor de meeste Nederlandse MKB-organisaties is het aannemen van een eigen team financieel en operationeel onhaalbaar. Een ervaren SOC-analist kost 90.000 tot 140.000 euro per jaar, en u heeft er minstens drie nodig voor 24/7 dekking. Attic levert die functie als dienst. Elk Attic-product dekt een deel van Artikel 21. Samen vormen ze een complete operationele laag bovenop uw bestaande Microsoft 365-omgeving.
Anti-phishing voor gebruikers
Dekt: cyberhygiëne, incident-preventie
Waarschuwt gebruikers in real-time als zij op een AiTM-phishingpagina dreigen in te loggen. De meest voorkomende instapvector van incidenten wordt geblokkeerd voordat de sessie-token in handen van een aanvaller komt.
BOUNCERSessie- en inlogmonitoring
Dekt: toegangscontrole, incident-detectie
Continu toezicht op wie inlogt, vanaf welk apparaat, vanaf welke locatie, met welk risicoprofiel. Attic detecteert onmogelijke reizen, MFA-omzeiling, token-replay en break-glass-misbruik. Alerts lopen 24/7 door naar het Attic SOC.
FIXERConfiguratie-hardening op CIS-benchmark
Dekt: risicobeheer, effectiviteitsbeoordeling, technische maatregelen
Dagelijkse meting van meer dan 100 beveiligingsinstellingen in Microsoft 365 tegen de CIS-benchmark. Afwijkingen worden gedetecteerd, geclassificeerd en waar mogelijk automatisch hersteld. Het resultaat is een wekelijks rapport dat u direct aan uw toezichthouder kunt overleggen.
MDRVolledig beheerd SOC
Dekt: incidentrespons, meldplicht, bedrijfscontinuïteit
24/7 detectie, triage en respons door het Attic-securityteam. Bij een significant incident levert Attic de reconstructie, de tijdlijn en het conceptrapport dat u nodig heeft voor de 24-uurs-, 72-uurs- en eindmelding. Logs worden langdurig bewaard, onafhankelijk van Microsoft-standaardretentie.
U kunt starten met FREE of BOUNCER en groeien richting MDR op het moment dat uw NIS2-traject of uw klantcontracten dat vragen. Er is geen implementatietraject van maanden. De meeste organisaties draaien binnen een uur.
Veelgestelde vragen over NIS2
De Europese richtlijn is sinds 17 oktober 2024 van kracht. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet, waarvan de inwerkingtreding in 2026 wordt verwacht. Totdat de wet van kracht is, bestaat er formeel nog geen handhavingsrisico vanuit de toezichthouder, maar klanten, verzekeraars en aanbestedingen vragen nu al om aantoonbare NIS2-gereedheid in contracten.
Door te documenteren dat u de tien maatregelen van Artikel 21 heeft getroffen, dat u ze continu monitort, en dat u kunt reconstrueren wat er in uw systemen is gebeurd. In de praktijk betekent dit een actueel risicoregister, een gedocumenteerd incidentproces, gehardende configuraties, logs met een lange bewaartermijn en rapportages die de afwijking van de norm kwantificeren.
De wet schrijft geen specifieke certificeringen voor. Zij vereist wel dat uw organisatie beschikt over voldoende kennis om risico’s te beoordelen, incidenten te herkennen en tijdig te reageren. Voor de meeste MKB-organisaties betekent dat in de praktijk het inschakelen van een managed security service provider, omdat het aannemen van eigen SOC-capaciteit financieel en operationeel niet haalbaar is.
Ja. De wet verbiedt uitbesteding niet. De richtlijn erkent expliciet de rol van managed security service providers. Voorwaarde is dat de eindverantwoordelijkheid bij het bestuur blijft en dat het contract met uw leverancier de meldplichten en de bewaarplicht voor logs en evidence afdekt.
NIS2 is de Europese richtlijn. De Cyberbeveiligingswet is de Nederlandse implementatie ervan. De wet wijst de sectoren aan, de toezichthouders en de procedures voor Nederland, maar verandert niets aan de onderliggende maatregelen uit Artikel 21 of aan de meldcascade uit Artikel 23.
Te late melding is een zelfstandige overtreding, los van het onderliggende incident. De toezichthouder kan hiervoor een aparte sanctie opleggen. In de praktijk is de grootste schade van een te late melding echter de reputatieschade en het verlies van vertrouwen bij klanten, verzekeraars en aanbestedingspartijen.
Nee. Microsoft 365 levert de tooling voor het grootste deel van Artikel 21, maar levert geen operationele laag. De wet verwacht niet alleen dat de functies aanwezig zijn, maar ook dat iemand de signalen bewaakt en er tijdig op reageert. Die laag moet u intern opbouwen of uitbesteden.
Een MSP die zelf onder NIS2 valt, bijvoorbeeld als leverancier van digitale infrastructuur of managed services, moet eerst zelf compliant zijn voordat hij klanten kan bedienen die onder de wet vallen. Attic werkt nauw samen met Nederlandse MSP’s en levert de operationele securitylaag die zij niet zelf kunnen opbouwen.
Specialist in geautomatiseerde security operations
Attic is opgericht door world-class cyber experts met jarenlange ervaring in offensieve en defensieve security. Ons team adviseert de overheid op strategisch niveau, waaronder de beveiliging van de NAVO-top. Diezelfde expertise zetten wij in om uw organisatie NIS2-compliant te maken, betaalbaar en geautomatiseerd.
Begin vandaag met NIS2-compliance
Wacht niet tot de Cyberbeveiligingswet in werking treedt. Start met geautomatiseerde security operations en bouw stap voor stap aan aantoonbare compliance.