Ruben TalmanRuben Talman

Wat zijn de NIS2-eisen voor multi-factor authenticatie?

27 juni 08:00
6 min.
Op deze pagina
Op deze pagina

Onder NIS2 is multi-factor authenticatie (MFA) verplicht voor organisaties die onder de richtlijn vallen. Concreet betekent dit dat toegang tot netwerken, systemen en gevoelige data altijd beveiligd moet worden met minimaal twee onafhankelijke verificatiemethoden. De verplichting geldt voor zowel medewerkers als beheerders, en raakt direct aan hoe je dagelijkse werkprocessen zijn ingericht. In dit artikel beantwoorden we de meest gestelde vragen over de NIS2-eisen voor MFA.

Welke organisaties vallen onder de NIS2-eisen voor MFA?

De NIS2-eisen voor multi-factor authenticatie gelden voor organisaties die actief zijn in sectoren die de richtlijn aanmerkt als kritiek of belangrijk. Denk aan ICT-dienstverleners, energiebedrijven, zorginstellingen, transportbedrijven en financiële instellingen. Voor het MKB is relevant dat ook middelgrote bedrijven in deze sectoren onder de wet kunnen vallen, afhankelijk van hun omvang en rol in de keten.

De Nederlandse vertaling van NIS2 is de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. De wet maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten hebben meer dan 250 medewerkers of een omzet boven de 50 miljoen euro. Belangrijke entiteiten zijn kleiner, maar actief in aangewezen sectoren.

Een belangrijk aandachtspunt voor het MKB is de ketenverantwoordelijkheid. Zelfs als jouw bedrijf zelf niet direct onder NIS2 valt, kunnen klanten die dat wel doen eisen stellen aan jouw beveiligingsniveau. MFA is dan niet langer optioneel, maar een contractuele vereiste. Meer weten over ICT-beveiliging voor het MKB helpt je te begrijpen waar jouw organisatie staat.

Wat telt als multi-factor authenticatie volgens NIS2?

Volgens NIS2 is multi-factor authenticatie een verificatiemethode waarbij een gebruiker zich identificeert met minimaal twee onafhankelijke factoren uit verschillende categorieën. Die categorieën zijn: iets wat je weet (een wachtwoord of pincode), iets wat je hebt (een telefoon of hardware-token), en iets wat je bent (biometrische gegevens zoals een vingerafdruk).

Een combinatie van twee factoren uit dezelfde categorie telt niet als MFA. Twee wachtwoorden achter elkaar, bijvoorbeeld, voldoen niet. Wel geldig zijn combinaties zoals:

  • Een wachtwoord gecombineerd met een verificatiecode via een authenticator-app
  • Een wachtwoord gecombineerd met een sms-code (hoewel dit minder veilig wordt geacht)
  • Een smartcard of hardware-token in combinatie met een pincode
  • Biometrische verificatie gecombineerd met een wachtwoord

De richtlijn schrijft geen specifieke technologie voor, maar verwacht wel dat de gekozen methode proportioneel is aan het risico. Voor beheerdersaccounts met toegang tot kritieke systemen wordt een sterkere vorm van MFA verwacht dan voor een standaard medewerkersinlog.

Voor welke systemen en toegangspunten is MFA verplicht?

NIS2 verplicht MFA voor alle toegangspunten tot netwerken, systemen en applicaties die gevoelige of kritieke informatie bevatten. In de praktijk betekent dit dat MFA minimaal vereist is bij inloggen op bedrijfsnetwerken op afstand, toegang tot cloudomgevingen, beheerdersaccounts en systemen die persoonsgegevens of bedrijfskritische data verwerken.

Concreet gaat het om:

  • Remote access via VPN of remote desktop
  • Clouddiensten zoals Microsoft 365, SharePoint en Teams
  • Beheerdersportalen en IT-beheersystemen
  • E-mailplatformen met toegang tot gevoelige communicatie
  • Financiële systemen en ERP-omgevingen
  • Systemen met persoonsgegevens die ook onder de AVG vallen

Het principe is: hoe groter het risico bij ongeautoriseerde toegang, hoe sterker de authenticatie moet zijn. Microsoft 365-beveiliging is voor veel organisaties een logisch startpunt, omdat een groot deel van de dagelijkse werkprocessen daar plaatsvindt.

Wat zijn de gevolgen van niet voldoen aan de NIS2-authenticatie-eisen?

Organisaties die niet voldoen aan de NIS2-eisen voor authenticatie riskeren aanzienlijke boetes en persoonlijke aansprakelijkheid van bestuurders. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten gelden maxima van 7 miljoen euro of 1,4% van de jaaromzet.

Naast financiële sancties zijn er nog andere gevolgen om rekening mee te houden:

  • Persoonlijke aansprakelijkheid: Bestuurders kunnen individueel aansprakelijk worden gesteld als aantoonbaar nalatig is gehandeld.
  • Reputatieschade: Toezichthouders kunnen besluiten overtredingen openbaar te maken.
  • Contractverlies: Klanten in gereguleerde sectoren kunnen eisen dat leveranciers aantoonbaar compliant zijn.
  • Verhoogd cyberrisico: Zonder MFA vergroot je de kans op een succesvolle aanval, met alle operationele en financiële schade van dien.

De toezichthouder heeft ook de bevoegdheid om tijdelijke beperkingen op te leggen aan de bedrijfsvoering zolang de situatie niet is hersteld.

Hoe verschilt NIS2 MFA van de AVG-beveiligingseisen?

NIS2 en de AVG overlappen op het gebied van beveiliging, maar verschillen in scope en focus. De AVG richt zich specifiek op de bescherming van persoonsgegevens en vereist passende technische maatregelen, waaronder sterke authenticatie. NIS2 gaat verder en verplicht MFA voor een bredere set systemen, ook waar geen persoonsgegevens in het spel zijn.

De belangrijkste verschillen op een rij:

  • Scope: De AVG geldt voor elke organisatie die persoonsgegevens verwerkt. NIS2 geldt voor organisaties in aangewezen sectoren, ongeacht of ze persoonsgegevens verwerken.
  • Specificiteit: De AVG spreekt over “passende maatregelen” zonder MFA expliciet te noemen. NIS2 maakt MFA expliciet onderdeel van de beveiligingsverplichting.
  • Toezicht: De AVG wordt gehandhaafd door de Autoriteit Persoonsgegevens. NIS2 wordt gehandhaafd door sectorspecifieke toezichthouders.
  • Incidentmelding: NIS2 stelt strengere eisen aan de meldtermijn: significante incidenten moeten binnen 24 uur worden gemeld.

In de praktijk versterken beide verplichtingen elkaar. Een goede MFA-implementatie helpt je tegelijkertijd aan beide wetgevingen te voldoen.

Hoe implementeer je MFA in Microsoft 365 om aan NIS2 te voldoen?

MFA implementeren in Microsoft 365 voor NIS2-compliance doe je via de beveiligingsinstellingen in de Microsoft 365-beheerconsole, gecombineerd met Conditional Access-beleid in Microsoft Entra ID (voorheen Azure AD). Dit stelt je in staat om MFA te verplichten voor alle gebruikers, of juist specifiek voor risicovolle inlogscenario’s zoals toegang van buiten het kantoornetwerk.

Een praktische aanpak in stappen:

  1. Schakel MFA in voor alle gebruikers via de beveiligingsstandaarden in Microsoft Entra ID. Dit is de snelste basisstap.
  2. Gebruik de Microsoft Authenticator-app als verificatiemethode. Dit is veiliger dan sms-codes en voldoet beter aan de NIS2-verwachtingen.
  3. Stel Conditional Access-beleid in om MFA te verplichten in specifieke situaties, zoals inloggen van buiten het bedrijfsnetwerk of toegang tot gevoelige applicaties.
  4. Bescherm beheerdersaccounts extra met Privileged Identity Management en verplichte MFA bij elke sessie.
  5. Documenteer je beleid zodat je bij een audit kunt aantonen dat MFA structureel is ingericht.

Voor organisaties die ook apparaatbeheer willen koppelen aan hun MFA-beleid, biedt Microsoft Intune aanvullende mogelijkheden om te controleren of inlogpogingen afkomstig zijn van vertrouwde, beheerde apparaten.

Hoe IT Aanspreekpunt helpt met NIS2 en MFA

Wij begrijpen dat NIS2-compliance voor veel MKB-bedrijven complex en tijdrovend aanvoelt. Zeker als je je wilt focussen op je kernactiviteiten in plaats van op wetgeving. Daarom ontzorgen wij je van A tot Z in het NIS2-traject, met een concrete aanpak die aansluit bij jouw organisatie.

Wat we voor je doen:

  • Inrichten en beheren van MFA via Microsoft 365 en Entra ID
  • Opstellen van Conditional Access-beleid dat past bij jouw werkprocessen
  • Beveiligen van beheerdersaccounts en gevoelige systemen
  • Documenteren van beveiligingsmaatregelen voor aantoonbare compliance
  • Begeleiden bij de bredere NIS2-verplichtingen zoals risicoanalyse en incidentmelding
  • Monitoring en updates zodat je beveiliging actueel blijft

Als Microsoft 365-specialist en cybersecurity-partner voor het MKB beschikken wij over de kennis en tools om jouw digitale beveiliging snel op orde te brengen. Zo werk je niet alleen aan wettelijke naleving, maar versterk je tegelijkertijd je concurrentiepositie. Wil je weten waar jouw organisatie staat? Neem vrijblijvend contact met ons op en we kijken samen wat er nodig is.

Ruben Talman

Ik help je
graag verder

Neem contact op

Bel mij terug

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Hoe kunnen we je helpen?

Neem vrijblijvend contact met ons op en ontdek hoe wij jouw IT zorgen wegnemen.

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

0532032153Mail ons