De Cyberbeveiligingswet (Cbw) is de Nederlandse vertaling van de Europese NIS2-richtlijn en stelt strengere eisen aan organisaties op het gebied van cybersecurity. Een centraal onderdeel is de zorgplicht: bedrijven moeten aantoonbaar passende technische en organisatorische maatregelen nemen om hun netwerk- en informatiesystemen te beschermen tegen cyberincidenten.
Maar wat betekent dit in de praktijk? En vooral: hoe implementeer je de 10 verplichte NIS2-maatregelen als jouw organisatie gebruikmaakt van cloudproviders zoals Microsoft Azure, Amazon Web Services (AWS) of Google Cloud Platform (GCP)?
1. Risicoanalyse en beveiliging van informatiesystemen
In de cloud betekent dit: voortdurend inzicht in welke assets je hebt, hoe ze zijn geconfigureerd en welke risico’s ze lopen.
Praktijktip: gebruik tooling voor asset discovery en risicobeoordeling.
2. Personeel, toegangsbeleid en assetbeheer
Cloudomgevingen kennen vaak honderden gebruikers en serviceaccounts. Zonder strak beleid ontstaan al snel gevaarlijke combinaties.
Praktijktip: implementeer een Zero Trust-architectuur zodat elk verzoek tot toegang continu gevalideerd wordt.
3. Bedrijfscontinuïteit (back-ups & noodplannen)
Cloudproviders bieden back-updiensten, maar de configuratie en verantwoordelijkheid liggen bij de klant.
Praktijktip: Activeer geo-redundante back-ups en test regelmatig herstelprocedures (disaster recovery tests).
4. Incidentenbehandeling
NIS2 vereist dat incidenten binnen 24 uur gemeld worden. Zonder goede detectie lukt dat niet.
Praktijktip: zet cloud logging en monitoring aan (bijv. Azure Monitor, AWS CloudTrail) en gebruik een SIEM om afwijkingen snel te signaleren.
5. Cyberhygiëne & trainingen
Medewerkers zijn vaak de zwakste schakel. Phishing en misbruik van cloudtoegang komen veel voor.
Praktijktip: geef trainingen in cloud security basics en MFA-gebruik, en combineer awareness met technische maatregelen.
6. Beveiliging bij verwerving, ontwikkeling en onderhoud
Applicaties in de cloud moeten vanaf de start veilig ontwikkeld worden.
Praktijktip: gebruik DevSecOps-principes: scan code, containers en infrastructuurcode (IaC) op kwetsbaarheden vóór release naar productie.
7. Beveiliging van de toeleveranciersketen
Cloudgebruik betekent vaak afhankelijkheid van tientallen SaaS-leveranciers.
Praktijktip: beoordeel leveranciers op hun securitycertificeringen en gebruik een vendor risk management-proces.
8. Cryptografie en encryptie
Cloudproviders bieden encryptie aan (at rest en in transit), maar deze moet wel goed ingericht worden.
Praktijktip: gebruik Customer Managed Keys (CMK) voor gevoelige data en borg sleutels in een Key Vault of KMS.
9. Multi-factor authenticatie (MFA) & veilige communicatie
Sterke toegangsbeveiliging is cruciaal. MFA geldt in de praktijk als de norm voor cloudaccounts.
Praktijktip: schakel MFA in voor alle accounts, inclusief API’s en admin-accounts. Voor noodsituaties: zorg voor een fallback-communicatiesysteem.
10. Effectiviteit van maatregelen beoordelen
NIS2 verlangt dat je kunt aantonen dat maatregelen werken.
Praktijktip: voer regelmatig cloud posture assessments uit en rapporteer de resultaten aan het bestuur.
Conclusie
De tien zorgplichtmaatregelen zijn geen afvinklijst, maar een doorlopend proces. Voor cloudgebruikers betekent dit:
- Inzicht in alle assets en risico’s.
- Aantoonbaar geregeld toegangsbeheer, encryptie en back-ups.
- Snelle detectie en rapportage van incidenten.
Door dit structureel in te richten, laten organisaties zien dat ze voldoen aan de zorgplicht uit de Cyberbeveiligingswet. Het gebruik van slimme tooling, zoals NIS2Cloud, kan dit proces ondersteunen en versnellen.