Kentekenportaal
Vacatures

Toegangscontrole en NIS2

NIS2 en toegangscontrole: wat betekent het voor uw fysieke beveiliging?

De NIS2-richtlijn klinkt als een digitaal verhaal. Cybersecurity, netwerkbeveiliging, datalekrapportages — het ligt op het bordje van de IT-afdeling. Toch?

Niet helemaal. Wie de richtlijn goed leest, ziet dat fysieke toegang er expliciet onder valt. En dat raakt iedere organisatie die in de scope van NIS2 valt — en dat zijn er in Nederland aanzienlijk meer dan onder de oude NIS1-richtlijn.

In dit artikel leggen we uit wat NIS2 betekent voor uw toegangscontrolesysteem, op welke vijf gebieden u getoetst wordt, en welke stappen u nu concreet kunt zetten.

1726830359530 NIS2

Wat is NIS2 in het kort?

NIS2 (Network and Information Security Directive 2) is de opvolger van de eerste Europese cybersecurity-richtlijn uit 2016. Het doel is hetzelfde: het digitale weerstandsvermogen verhogen van organisaties die cruciaal zijn voor economie en samenleving. De scope is fors uitgebreid.

In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (Cbw). Op het moment van schrijven is die wet in een vergevorderd stadium en bereiden veel organisaties zich er actief op voor.

Drie veranderingen die ertoe doen:

  • Veel meer sectoren vallen eronder. Naast energie, transport en zorg, vallen nu ook afvalbeheer, voedingsindustrie, post en koeriersdiensten, productie van bepaalde producten, digitale dienstverleners en publieke administratie onder de richtlijn.
  • Twee categorieën, één strenge norm. Organisaties worden ingedeeld als “essentiële” of “belangrijke” entiteit. De maatregelen die ze moeten nemen zijn vergelijkbaar; alleen het toezicht verschilt.
  • Bestuurdersaansprakelijkheid. Bestuurders zijn persoonlijk aansprakelijk voor het naleven van de eisen. Dat verandert hoe serieus security op bestuursniveau wordt genomen.
NIS2 toegangscontrole kantoorentree met toegangslezer

Waarom raakt NIS2 ook uw fysieke toegangscontrole?

NIS2 vraagt om “passende technische, operationele en organisatorische maatregelen” om risico’s te beheersen. In artikel 21 worden tien gebieden expliciet genoemd. Drie daarvan raken direct aan fysieke toegang:

  • Risicoanalyse en beleid. Wie heeft toegang tot welke ruimte, en waarom?
  • Beleid voor toegangscontrole. Niet alleen logische toegang tot systemen, óók fysieke toegang tot serverruimtes, archieven en kritieke infrastructuur.
  • Fysieke beveiligingsmaatregelen. Een expliciete eis die zonder een functioneel toegangscontrolesysteem niet aantoonbaar is in te vullen.
“Wie fysiek bij een server kan, kan in vrijwel alle gevallen ook bij de data. Een goed cyberprotocol zonder bewaakte toegang tot kritieke ruimtes is een achterdeur die wagenwijd openstaat.”

Vijf gebieden waar uw toegangscontrolesysteem onder de loep komt

1. Risico-gebaseerd toegangsbeleid

Het uitgangspunt is least privilege: medewerkers krijgen toegang tot de ruimtes die ze écht nodig hebben, niet meer. Dat klinkt vanzelfsprekend, maar in de praktijk hebben veel organisaties pasgeneraties met overdreven brede rechten — de receptie komt overal, de schoonmaker mag elke ruimte in, de IT’er heeft “voor het gemak” een masterpas.

Onder NIS2 moet u dat kunnen verantwoorden. Een modern toegangscontrolesysteem werkt met rollen en zones, zodat rechten centraal worden beheerd en wijzigingen niet pas opvallen bij de jaarlijkse audit.

2. Audit trails en logging

NIS2 vereist dat u kunt aantonen wie wanneer toegang had tot welke kritische ruimte. Bij incidenten moet u binnen 24 uur een eerste melding kunnen doen, en daarna een onderbouwd rapport. Dat lukt alleen met een sluitend log.

Praktisch betekent dit: pasgebruik wordt vastgelegd, geweigerde toegangen worden gemeld en de gegevens zijn doorzoekbaar. Veel oudere systemen hebben dat wel, maar de gegevens zijn ondoorzoekbaar of worden na 30 dagen overschreven. Dat is straks niet meer voldoende.

3. Multi-factor authenticatie voor kritische zones

Voor de meest gevoelige ruimtes (serverruimte, archief, technische ruimte) is alleen een pas onvoldoende. NIS2 stuurt aan op gelaagde beveiliging: pas plus pincode, pas plus biometrie, of pas plus tweede authenticatiestap via een mobiel apparaat.

Moderne systemen — denk aan oplossingen op basis van Nedap of Synguard — ondersteunen dit standaard. De vraag is meer organisatorisch: welke zones markeren we als kritisch, en welke combinatie kiezen we?

207 5467 2 NIS2

4. Bezoekers- en derden-management

Externen — leveranciers, monteurs, consultants — vormen onder NIS2 een specifiek aandachtspunt. Wie zijn ze, wanneer zijn ze er geweest, wie was hun gastheer, welke ruimtes hebben ze betreden?

Een papieren bezoekersregister voldoet niet. Wat wel werkt: digitale bezoekersregistratie gekoppeld aan tijdelijke toegangsrechten, eventueel met QR-codes of pre-registratie zodat bezoekers efficiënt en gecontroleerd binnenkomen. Hier komt ook SOS Toegang bij in beeld voor gecontroleerde toegang voor hulpdiensten.

5. Incidentdetectie en -rapportage

NIS2 stelt strenge eisen aan het detecteren én melden van incidenten. Bij toegangscontrole gaat het om afwijkingen: meerdere mislukte pogingen op dezelfde pas, een pas die buiten kantooruren wordt gebruikt op een onverwachte locatie, een deur die te lang openstaat.

Een goed systeem signaleert dit automatisch en stuurt een melding. Niet voor elke kleine afwijking, maar wel voor de patronen die ertoe doen. Dat scheelt in de praktijk uren handmatig analyseren.

ISO4 NIS2

Wat moet u nu concreet doen?

Vier stappen om uw toegangscontrole NIS2-proof te maken:

  1. Inventariseer wie waar bij kan. Niet op basis van gevoel, maar op basis van wat het systeem zegt. Vraag een actuele rechtenrapportage op.
  2. Beoordeel de zonering van uw gebouw. Welke ruimtes zijn kritisch? Welke beveiligingslaag heeft u daar? Klopt dat met de risico’s?
  3. Toets uw audit-mogelijkheden. Hoelang bewaart uw systeem logs? Hoe makkelijk haalt u ze op? Krijgt u automatische meldingen bij afwijkingen?
  4. Ga in gesprek met uw leverancier. Vraag concreet of uw huidige systeem aan de eisen voldoet of dat een upgrade nodig is. En vraag om referenties van vergelijkbare organisaties.

Hoe CETEQ helpt

CETEQ adviseert organisaties die hun toegangscontrole tegen het licht houden. We werken met systemen die ontworpen zijn voor de eisen die NIS2 stelt — onder meer Nedap AEOS en Synguard — en combineren die waar nodig met video-, intercom- en sleutelmanagement.

Ook bouwen we mee aan de organisatorische kant: zonering, rechtenmodellen, koppeling met identity management en HR, en de inrichting van bezoekersprocessen.

Bovendien zijn we zelf ISO 9001-, ISO 14001- en ISO 27001-gecertificeerd — en daarmee is NIS2 voor ons geen abstracte materie. Als leverancier van beveiligingssystemen aan essentiële en belangrijke entiteiten vallen wij ook zelf in het vizier van de richtlijn: de eisen rondom informatiebeveiliging, risicobeheersing en auditbaarheid die NIS2 aan organisaties stelt, zijn exact de eisen waarop wij intern worden getoetst. Dat maakt een wezenlijk verschil: wij adviseren niet vanuit theorie, maar vanuit een organisatie die dezelfde compliance-vragen elke dag zelf beantwoordt.

Klaar voor NIS2?
Wilt u weten of uw huidige toegangscontrole klaar is voor NIS2? Plan een vrijblijvend gesprek met een van onze adviseurs. We brengen samen in kaart waar u staat en wat de volgende stap is.
Neem contact met ons op

Share:

Latest Posts

Ontvang het laatste nieuws

Abonneer nu op onze Nieuws- en kennismail

Ontvang onze nieuwsbrief met de laatste ontwikkelingen en aanbiedingen.