NIS2 Artikel 21 en 23: Incidentmelding en beveiliging van de toeleveringsketen vereisen meer dan een ISMS
NIS2 Artikel 21 en 23 vereisen operationele incidentmelding (24 uur en 72 uur) en risicobeheer van de toeleveringsketen. Een ISMS helpt bij governance, maar niet bij de dagelijkse uitvoering.
NIS2 Artikel 21 en 23: Incidentmelding en beveiliging van de toeleveringsketen vereisen meer dan een ISMS
De NIS2-richtlijn heeft duidelijke regels vastgesteld voor het beheer van cybersecurityrisico's, inclusief strikte incidentmeldingsdeadlines: 24 uur voor een vroegtijdige waarschuwing en 72 uur voor een formele melding. Voor veel organisaties roept dit een dringende vraag op: Is het bestaande Information Security Management System nog voldoende — of is er meer nodig?
Een ISMS en ISO 27001 structureren interne governance. Trust Centers verzorgen de operationele kant: leveranciers- en incidentbeheer zoals vereist door Artikelen 21 en 23.
Ga naar:
Waarom een ISMS niet meer voldoende is onder NIS2
Veel organisaties beschikken vandaag over een Information Security Management System (ISMS): afgestemd op ISO 27001, vaak ingebed in een GRC-tool — compleet met beleid, risicoregisters, controls en jaarlijkse audits. Een ISMS is waardevol en biedt een solide basis voor NIS2-compliance.
NIS2 introduceert echter een paradigmaverschuiving waar veel bedrijven slechts geleidelijk mee vertrouwd raken. Het verschuift de focus van "we hebben een ISMS, alles is gedocumenteerd" naar "we beoefenen aantoonbaar cybersecurity, kunnen adequaat reageren op tijdkritieke gebeurtenissen en hebben continu zicht op onze toeleveringsketen" — alles onder de expliciete verantwoordelijkheid van het bestuur.
Deze verschuiving is zichtbaar in de taal van de richtlijn: het vereist "passende en evenredige technische, operationele en organisatorische maatregelen" (Artikel 21) — maatregelen die risico's beheren en de impact van incidenten minimaliseren. Het woord "operationeel" is waar de meeste ISMS-oplossingen tekortschieten: ze faciliteren goede documentatie maar fungeren niet als een robuust operationeel systeem. Wat ontbreekt: communicatie van beveiligingsincidenten, doorlopende monitoring van leveranciersbeveiliging en bewijs van effectiviteit dat op verzoek beschikbaar is — bijvoorbeeld voor toezichthouders.
In Duitsland is NIS2 nu bindende wetgeving: de implementatiewetgeving werd gepubliceerd in het Bundesgesetzblatt en trad op 6 december 2025 in werking, zonder overgangsperiode. Dit betreft registratieverplichtingen voor ongeveer 30.000 organisaties en definieert specifieke actiegebieden voor het beheer van cybersecurityrisico's.
Waar een ISMS bijdraagt aan NIS2 — Governance (Artikel 20)
Kort samengevat: Een goed geïmplementeerd ISMS levert de governancestructuur die NIS2 vereist voor het beheer van cybersecurityrisico's.
Artikel 20(1) maakt governance expliciet een bestuursverantwoordelijkheid — het bestuur moet de maatregelen onder Artikel 21 goedkeuren, toezien op de implementatie daarvan en draagt persoonlijke aansprakelijkheid voor overtredingen.
Een ISMS ondersteunt precies dit. Het omvat doorgaans:
- Verantwoordelijkheden, rollen en escalatiepaden
- Beleid en processen voor het beoordelen van risico's en risicomaatregelen
- Risicobeheer en vermogensbeheer
- Auditchecklists en documentatie voor voorbereiding op externe audits
- Bewustwordings- en trainingsprogramma's
- Interne reviews en audits om processen te optimaliseren
Artikel 21 somt expliciet vereisten op zoals "(a) beleid inzake risicoanalyse, (c) bedrijfscontinuïteit, (f) beleid en procedures om de effectiviteit van cybersecurity-risicobeheermaatregelen te beoordelen, en (g) cybersecurity-training" — die allemaal effectief kunnen worden geadresseerd via een ISMS.
Daarnaast introduceert NIS2 vereisten met een interface-karakter — zoals beveiligingsbeoordelingen van de toeleveringsketen en incidentmelding — die een ISMS als interne oplossing simpelweg niet kan dekken.
Waar NIS2 verder gaat dan een ISMS: Leveranciers- en incidentbeheer (Artikelen 21 en 23)
Kort samengevat: NIS2 verwacht meer dan governance: operationeel beheer van toeleveringsketenrisico's, continue monitoring en gestructureerde incidentmelding.
Artikel 23: Incidentmelding is een operationeel systeem, geen PDF
NIS2 vereist expliciet maatregelen voor de afhandeling van beveiligingsincidenten onder Artikel 21(2)(b). Artikel 23 introduceert een gelaagd rapportageregime met strakke deadlines: onder punten 4(a), (b) en (c) moet een vroegtijdige waarschuwing worden afgegeven binnen 24 uur en een formele incidentmelding binnen 72 uur nadat het incident bekend is geworden. Autoriteiten kunnen ook tussentijdse statusrapporten en updates opvragen.
Dit is waar het hiaat zichtbaar wordt: tussen bedrijven die kunnen zeggen "we hebben een incidentresponsplan" en degenen die kunnen leveren "we kunnen u binnen 24 uur een feitelijk rapport verstrekken." Plotseling wordt het beantwoorden van inhoudelijke vragen urgent en kritiek:
- Wat is er gebeurd? Hoe ernstig is het incident?
- Welke impact kan het hebben, en wat zijn onze indicatoren?
- Wie beslist wat, en op basis van welk bewijs?
- Hoe coördineren Security, Legal, PR, Klantenservice en het bestuur?
- Hoe wordt communicatie gedocumenteerd en geversioned — op een traceerbare en auditeerbare manier?
Een ISMS documenteert incidenten — meestal achteraf. Maar NIS2 beoordeelt de operationele capaciteit om betrouwbaar te reageren onder druk — en dat werkt alleen met een functionerend incidentmanagementsysteem.
Artikel 21: Beveiliging van de toeleveringsketen is een must-have
NIS2 schrijft expliciet maatregelen voor om de beveiliging van de toeleveringsketen te waarborgen onder Artikel 21(1)(d). Dit omvat specifiek beveiligingsrelevante aspecten van relaties met directe leveranciers en dienstverleners.
Veel ISMS-oplossingen faciliteren point-in-time leveranciersbeoordelingen — bij onboarding of eens per jaar. Maar NIS2 bedoelt iets anders: het gaat niet om het invullen van leveranciersvragenlijsten en die archiveren.
Het gaat erom bedrijfskritieke risico's van afhankelijkheden beheersbaar te houden — vooral in een geopolitieke realiteit die voortdurend verschuift. Dit vereist onvermijdelijk een continu onderhoudbare interface met dienstverleners en leveranciers.
Echt leveranciersbeheer betekent: doorlopende monitoring met analyses, laagdrempelige herbeoordelingen wanneer zaken veranderen, geïntegreerd bewijs en snelle communicatie wanneer de situatie evolueert.
3. De inspanning voor het bewijzen van effectiviteit en auditgereedheid wordt reëel (Artikel 21)
Artikel 21 vereist expliciet intern beleid en procedures om de effectiviteit van risicomaatregelen te beoordelen. Tegelijkertijd breidt NIS2 het externe toezicht uit: autoriteiten kunnen inspecties ter plaatse, audits en scans uitvoeren — en, het belangrijkst, te allen tijde informatie opvragen.
Bewijs is niet langer "auditdecoratie" — het is continue output van doorlopend werk. Concreet vereist dit:
- Verifieerbare artefacten zoals systemen en logs — documenten of beweringen alleen volstaan niet
- Artefacten hebben metadata nodig: versiestatus, geldigheid, eigenaren, wijzigingsgeschiedenis
- Het vermogen om controls, actuele leveranciersbeoordelingen, incidentrapporten en weerbaarheid te allen tijde aan auditors te demonstreren
Dit alles heeft reële gevolgen: overtredingen van Artikelen 21 of 23 kunnen leiden tot boetes tot EUR 10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en tot EUR 7 miljoen of 1,4% voor belangrijke entiteiten.
ISMS en Trust Center: twee kanten van dezelfde medaille
NIS2-vereisten kunnen niet met één systeem worden vervuld. Governance heeft structuur nodig — een ISMS is daarvoor essentieel. Maar Artikelen 21 en 23 vereisen ook operationele capaciteiten: snelle incidentrespons, continu toezicht op de toeleveringsketen en betrouwbaar bewijs op verzoek.
Organisaties die beide werelden verbinden zijn goed gepositioneerd: een ISMS voor interne controle, een Trust Center voor externe communicatie en bewijsvoering. Dit maakt van compliance-inspanning een werkend systeem — en van documentatie daadwerkelijke weerbaarheid.
Bronnen
- Richtlijn (EU) 2022/2555 (NIS2-richtlijn) – Volledige tekst – Publicatieblad van de Europese Unie. De volledige NIS2-richtlijntekst, inclusief de Artikelen 20, 21 en 23 waarnaar in dit artikel wordt verwezen.
- ENISA – NIS2-richtlijn Overzicht – Agentschap van de Europese Unie voor cybersecurity. Achtergrondinformatie over de reikwijdte, doelstellingen en implementatierichtlijnen van de richtlijn.
- OpenKRITIS - NIS2-Umsetzungsgesetz in Deutschland – Bundesamt für Sicherheit in der Informationstechnik. Duitse implementatiewetgeving, registratievereisten en richtlijnen voor getroffen organisaties.
- ISO/IEC 27001:2022 – Information Security Management Systems – Internationale Organisatie voor Standaardisatie. De ISMS-norm waarnaar in dit artikel als governance-basis wordt verwezen.
- ENISA – Implementatierichtlijnen voor NIS2-beveiligingsmaatregelen – Technische richtlijnen voor de implementatie van de risicobeheermaatregelen die Artikel 21 vereist.
- ENISA – Best practices voor beveiliging van de toeleveringsketen – Goede praktijken voor het beoordelen en beheren van cybersecurityrisico's in de toeleveringsketen, direct relevant voor Artikel 21(2)(d).
- Best NIS2 Compliance Software – SourceForge – SourceForge-directory van NIS2-compliancetools, nuttig voor het evalueren van leveranciersopties.