Je hebt er vast al van gehoord: NIS2. De nieuwe Europese cybersecuritywetgeving die vanaf 2025 voor een enorme groep organisaties actief wordt. Maar wat betekent dit nu écht voor jouw organisatie? En waarom wordt Identity & Access Management (IAM) ineens zo’n belangrijke compliance-factor?

Cybersecurity is niet meer vrijblijvend

Tot voor kort was cybersecurity voor veel organisaties vooral een IT-verantwoordelijkheid. Sterke wachtwoorden, firewalls en antivirus; prima als het maar werkt. Met NIS2 verandert dat fundamenteel.

NIS2 dwingt organisaties om cyberrisico’s structureel te beheersen, incidenten te melden en maatregelen aantoonbaar vast te leggen. Dit is geen advies meer, maar een Europese verplichting.

En één van de belangrijkste pijlers daarin?
Niet wat je denkt. Het gaat niet om firewalls. Het gaat om toegangsbeheer: wie heeft toegang tot wat, en kun je dat aantonen?

Identity & Access Management: geen technisch detail maar compliance-verplichting

Veel organisaties hebben een systeem zoals Microsoft Entra ID draaien voor gebruikersbeheer. Handig voor inloggen, SSO en applicatie-toegang. Maar zo’n systeem levert op zichzelf geen compliance-bewijs.

NIS2 vraagt om meer dan alleen technologie:

• Je moet kunnen aantonen wie toegang had tot systemen

• Je moet kunnen laten zien hoe en waarom rechten zijn toegekend

• Je moet incidenten kunnen reconstrueren

• Je moet toegang automatisch intrekken bij personeelsveranderingen

Dat is precies waar IAM (Identity & Access Management) om draait.

IAM zorgt ervoor dat je niet handmatig met lijsten en Excel werkt, maar dat processen en systemen op een gecontroleerde manier bepalen wie wat mag. En dat is geen nice-to-have meer: het is een verplichting.

Hoe NIS2 jouw IAM aan de kaak stelt

NIS2 is concreet op de volgende punten:

• Sterke authenticatie is verplicht
  Alleen wachtwoorden volstaan niet meer. Multi-Factor Authentication (MFA) en adaptieve toegangsregels komen hierin terug als eisen.

• Least privilege is de norm
  Medewerkers krijgen niet automatisch ‘alles wat erbij hoort’, maar alleen toegang tot wat ze écht nodig hebben om hun werk te doen.

• Automatisering van lifecycle-processen
  Toegang moet synchroon lopen met wat er in HR gebeurt: bij start, wijziging van rol én vertrek.

• Logging & monitoring moet aantoonbaar zijn
  Niet alleen technische logs, maar traceerbaar en exporteerbaar zodat auditors kunnen controleren wat er is gebeurd.

• Rapportages moeten bestaan
  NIS2 verwacht dat je kunt vertellen wat je doet — niet alleen dat je het doet.

Dat klinkt als veel en dat ís het ook. Zeker als je het nog handmatig doet.

De realiteit voor organisaties vandaag

Veel organisaties worstelen met dit soort situaties:

• Onboarding en offboarding zijn handwerk

• Rollen en rechten groeien organisch en ongestructureerd

• Administratie gebeurt in losse lijsten

• Er is geen centrale audit-trail

• Applicaties worden geforceerd gekoppeld zonder governance

Zolang alles goed gaat, lijkt dit misschien prima. Maar het wordt problematisch zodra:

• De auditor vraagt om bewijs

• Een incident onderzocht moet worden

• Je moet aantonen dat je processen werkt

Dan blijkt dat veel organisaties onvoldoende grip hebben op wat er echt gebeurt.

NIS2 en Microsoft Entra ID: wat is voldoende?

Microsoft Entra ID is een krachtig systeem, maar op zichzelf niet voldoende voor NIS2. Entra beheert identiteiten; maar zodra je bewijslast moet leveren, wil je meer:

• Gestandaardiseerde rollen in plaats van handmatige rechten

• Automatische provisioning op basis van HR-gegevens

• Audit-klare logs en rapportages

• Centrale governance boven Entra

Met alleen Entra blijft je IAM-landschap versnipperd. Dat is niet wat auditors willen zien. NIS2 vraagt geen willekeurige technologie, maar structurele controle en bewijsvoering.

NIS2 blijkt een IAM-vraagstuk, geen IT-project

Als je dit leest vanuit de gedachte “dit is een IT-klus”, dan mis je de essentie.

Compliance onder NIS2 raakt de kern van je bedrijfsvoering. Het is een organisatievraagstuk waarbij processen, mensen en systemen samenkomen:

• HR bepaalt wie werkt

• IAM bepaalt wat mensen mogen

• Security bepaalt hoe mensen inloggen

• Compliance bepaalt hoe je dat toont

IAM is de plek waar dit samenkomt.

Wat kun je nu doen?

De meeste organisaties willen compliant zijn maar vinden het:

• Onduidelijk wat precies verwacht wordt

• Onzeker hoe ze dat aantoonbaar maken

• Onzeker wat ze eerst moeten aanpakken

Een goede eerste stap is een NIS2 IAM-readiness check:

• Hoe ziet je huidige IAM-setup eruit?

• Waar zitten de grootste risico’s?

• Wat is direct op te lossen en wat vraagt planning?

Door dit inzichtelijk te maken, kun je doelgericht stappen nemen in plaats van ad hoc te reageren.

Tot slot

NIS2 is niet zomaar weer een richtlijn. Het is een nieuwe standaard voor digitale veiligheid in Europa en IAM staat daarin centraal.

Wie nu investeert in controle, automatisering en governance, voorkomt later:

• compliance-issues

• auditbevindingen

• security-incidenten

• inefficiënte beheerprocessen

IAM is geen technische detailkeuze meer, maar een strategische verplichting.

Wil je weten hoe jouw IAM-omgeving ervoor staat? Plan dan een NIS2-readiness scan en krijg concreet inzicht in wat je moet verbeteren.