Als de Eerste Kamer doorpakt, en dat lijkt het geval, geldt de wet vanaf 1 juli dit jaar. En die deadline gaat deze keer niet meer schuiven.
De Cyberbeveiligingswet, kort
NIS2 geldt voor de sectoren die je al zag aankomen: energie, zorg, transport, financiële dienstverlening, digitale infrastructuur, overheid, chemie, afval, levensmiddelen. De Nederlandse wet heet Cyberbeveiligingswet (Cbw). Parallel loopt de Wet weerbaarheid kritieke entiteiten (Wwke), maar die laat ik in dit stuk even liggen.
De kern: risicobeheersing, incidentmelding binnen 24 uur aan het CSIRT, verantwoordelijkheid voor je hele leveranciersketen, en een flinke lijst aan technische en organisatorische maatregelen. Die laatste lijst is waar ik deze post eigenlijk over wil hebben.
Waarom IAM het hele verhaal draagt
Lees de zorgplicht van NIS2 en je komt bij vrijwel elk artikel uit op dezelfde vraag: wie heeft toegang tot wat, en kun je dat bewijzen? Dat is gewoon identity management. Punt.
Zonder deugdelijk IAM kun je geen risicoanalyse doen, want je weet niet eens wie ergens bij mag. Je kunt geen incident binnen 24 uur duiden, want logs zonder personen zijn alleen maar geluid. En je kunt niks belastbaars zeggen over je keten, want service accounts, machines en externe leveranciers zitten vaak buiten je IAM scope. Terwijl NIS2 ze juist erin trekt.
“NIS2 compliance zonder volwassen IAM is een audit rapport dat wacht op een incident.”
Wat moet er dan op orde zijn?
De wet schrijft geen checklist voor (bewust, want wat passend is verschilt per organisatie). Maar de NCSC richtsnoeren en het Cyberbeveiligingsbesluit zijn duidelijk genoeg. Wat ik bij klanten meestal als eerste op tafel leg:
MFA als default. Ja, ook voor de gewone gebruiker die bij een kritiek systeem mag, niet alleen voor admins en externe toegang. Least privilege op rolbasis, met recertificering die echt plaatsvindt en niet alleen in de lijst staat. PAM voor je beheeraccounts: gescheiden, gekluisd, gelogd. Gedeelde admin wachtwoorden zijn echt geen discussie meer. Joiner mover leaver automatiseren, want handmatige offboarding in Excel is een bevinding in wording. En logging die koppelbaar is aan natuurlijke personen, niet aan anonieme accounts.
Het NCSC zegt het netjes: je hoeft geen framework uit je hoofd op te dreunen. Maar je moet wel kunnen aantonen dat je het geregeld hebt. En dat aantonen, dáár zakken de meeste organisaties doorheen.
Waarom nu en niet over een half jaar
“De deadline schoof al een keer op, we hebben dus tijd.” Dat argument hoor ik vaker dan me lief is. Drie redenen waarom het gevaarlijk onzin is.
Bestuurdersaansprakelijkheid. De Cbw legt verantwoordelijkheid persoonlijk bij directies en rvc’s. Boetes voor essentiële entiteiten lopen op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Dat is niet “de organisatie betaalt”, dat kan jij zijn.
Doorlooptijd. Een IAM programma dat NIS2 niveau haalt is geen kwartaalprojectje. Reken op 12 tot 24 maanden, afhankelijk van waar je vandaan komt. Rollen bouwen, applicaties ontsluiten, MFA uitrollen, PAM inregelen, lifecycle automatiseren, en het geheel auditproof documenteren. Wie nu begint is eind 2027 ergens in de buurt. Wie wacht tot de eerste toezichtbrief zit straks klem tussen toezichthouder, verzekeraar én klanten.
En die klanten. Als je levert aan een kritieke entiteit krijg je de NIS2 vragen nu al in je vendor assessments. IAM volwassenheid wordt gewoon onderdeel van de contracten.
Meer over de deadline zelf in mijn eerdere bericht.
Wat betekent dit voor IAM programmamanagers?
Dit is waar mijn werk zit. Als programmamanager beweeg je tussen bestuurskamer, security en operations. NIS2 forceert die drie werelden om bij elkaar te komen en jij bent degene die ervoor zorgt dat dat ook echt gebeurt.
Drie dingen die je nu al ziet misgaan.
Eén, IAM wordt gekoppeld aan de eigen roadmap in plaats van aan het NIS2 risicoregister. Gevolg: je stuurgroep kan niet uitleggen welk risico elke uitrol precies afdekt. Maak die mapping expliciet. Welke capability dekt welk artikel? Dat is de taal waarin de toezichthouder gaat praten.
Twee, de keten blijft buiten scope. Service accounts, machines, OT, SaaS, MSPs. Vanaf sprint één meenemen. Niet “in fase twee”.
Drie, iedereen plant naar go-live en niemand naar audit. Die twee zijn niet hetzelfde. Evidence, rapportages, KPI’s: bouw het vanaf dag één in.
Afsluiten
Dat is het eigenlijk. De wet is er, IAM is de spil, en de doorlooptijd ligt in maanden tot jaren, niet weken. Vragen of wil je sparren over een concrete aanpak voor jouw organisatie? Stuur even een bericht.
