De invoering van NIS2 zorgt bij veel organisaties voor onrust. Zeker bij teams die zwaar leunen op cloudproviders zoals Azure, AWS of Google Cloud rijst dezelfde vraag:
“Als alles in de cloud staat, wat betekent NIS2 dan concreet voor onze data en cloud resources?”
Het korte antwoord: veel meer dan onder de oude NIS-richtlijn.
Het langere antwoord lees je hieronder.
Van “on-prem security” naar “cloud verantwoordelijkheid”
NIS2 erkent expliciet wat al jaren realiteit is:
kritieke diensten draaien steeds vaker in de cloud, en risico’s verplaatsen zich mee.
Ook al wordt infrastructuur beheerd, jij blijft verantwoordelijk voor:
- beveiliging van data
- beschikbaarheid van diensten
- detectie en melding van incidenten
Dit sluit aan op het shared responsibility model van cloudproviders, maar NIS2 maakt het juridisch afdwingbaar.
Wat betekent NIS2 voor data in de cloud?
1. Inzicht in data is verplicht
Onder NIS2 moet je aantoonbaar weten:
- welke data je hebt
- waar deze data is opgeslagen
- hoe kritisch die data is
- wie er toegang toe heeft
Voor cloudomgevingen betekent dit:
- dataclassificatie (bijv. kritisch, gevoelig, regulier)
- inzicht in cloudregio’s (EU vs non-EU)
- controle over back-ups en replicas
“Niet weten waar je data staat” wordt onder NIS2 een risico op zich.
2. Beveiliging van clouddata moet aantoonbaar zijn
Encryptie is niet langer een “best practice”, maar een verwachting.
Organisaties moeten kunnen aantonen dat:
- data at rest en in transit is versleuteld
- toegangsrechten zijn beperkt tot wat strikt nodig is
- sleutelbeheer goed geregeld is (bijv. via Key Vault of KMS)
Ook logging rondom data-access wordt belangrijker: wie had wanneer toegang?
Wat betekent NIS2 voor cloud resources?
3. Cloud resources zijn onderdeel van de NIS2-scope
NIS2 kijkt niet alleen naar data, maar ook naar:
- virtuele machines
- containers
- netwerken
- identity platforms
- monitoring- en loggingdiensten
Met andere woorden:
je hele cloud landing zone valt binnen scope als deze bijdraagt aan kritieke of belangrijke diensten.
4. Identity & access wordt een kernpunt
De meeste cloudincidenten beginnen niet met malware, maar met:
- misbruik van accounts
- te ruime rechten
- ontbrekende MFA
NIS2 verwacht daarom sterke maatregelen rond:
- multi-factor authenticatie
- least privilege
- privileged access management
- monitoring van identiteitsmisbruik
Cloud identity platforms zoals Entra ID worden hiermee een kritieke NIS2-component.
5. Logging, monitoring en incidentmelding
Een van de grootste veranderingen onder NIS2 is de meldplicht:
- eerste melding binnen 24 uur
- vervolgmelding binnen 72 uur
Dat betekent dat je cloudomgeving:
- incidenten snel moet detecteren
- voldoende logs moet bewaren
- forensisch onderzoek moet ondersteunen
Zonder goede cloud logging en monitoring is voldoen aan NIS2 praktisch onmogelijk.
De rol van cloudproviders
6. Cloudproviders vallen zelf ook onder NIS2
Veel cloud- en managed service providers worden onder NIS2 aangemerkt als:
- essentiële of belangrijke entiteit
Maar let op:
Hun compliance maakt jouw organisatie niet automatisch compliant.
NIS2 vereist expliciet:
- inzicht in ketenrisico’s
- afspraken over incidentmelding
- controle over wie toegang heeft tot jouw cloudomgeving
Contracten en leveranciersbeheer worden daarmee een onderdeel van cloud security.
NIS2 is geen checklist, maar risicomanagement
Misschien wel het belangrijkste punt:
NIS2 draait niet om “alles perfect dichtzetten”, maar om risicogestuurde keuzes.
Voor cloud betekent dat:
- weten welke workloads kritisch zijn
- daar zwaardere maatregelen toepassen
- keuzes documenteren en kunnen uitleggen
Wie dit goed doet, hoeft niet bang te zijn voor NIS2 en wordt er operationeel vaak zelfs beter van.