Contact

Vrijblijvend
contact opnemen?

NIS2 en het belang van personeelsveiligheid, toegangsbeheer en activa

  • 26 augustus 2025

Informatiebeveiliging draait niet alleen om technische maatregelen. De mensen binnen je organisatie, de manier waarop je toegang beheert en hoe je je IT-middelen beheert, spelen ook een cruciale rol.

De komst van de NIS2-richtlijn benadrukt én verplicht het belang van deze aspecten. Een cybercrimineel hoeft geen geavanceerde software te ontwikkelen of complexe firewalls te doorbreken; een vergeten toegangspas, onbeheerde laptop of nietsvermoedende medewerker kan al voldoende zijn om een succesvolle cyberaanval uit te voeren. 

In dit artikel bespreken we drie essentiële verdedigingslinies: personeelsveiligheid, toegangsbeheer en beheer van activa. Wil je de digitale omgeving van je organisatie beschermen? Dan moet je de juiste technische en organisatorische muren bouwen. Daarnaast moeten de “poortwachters” zijn getraind, de sleutels goed worden beheerd en er volledig zicht zijn op wat beschermd moet worden. 

1. Personeelsveiligheid: beveiliging begint bij de voordeur

De mensen in je organisatie vormen vaak de eerste verdedigingslinie. Een zorgvuldige aanpak van personeelsbeheer, voorkomt dat gevoelige informatie naar buiten lekt of in verkeerde handen valt. 

Screening & vertrouwen 

  • Voer achtergrondcontroles uit voor functies met toegang tot gevoelige informatie. Denk aan het aanvragen van een Verklaring Omtrent Gedrag (VOG), referentiechecks of zelfs creditchecks voor medewerkers in financiële functies. 

Bewustwording en training 

  • Medewerkers zijn vaak het doelwit van phishing en social engineering. Organiseer regelmatige security awareness-trainingen met korte, realistische scenario’s die aansluiten op actuele dreigingen. Denk aan deepfakes en AI-gegenereerde oplichting. 
  • Houd medewerkers op de hoogte van de laatste trends in cyberdreigingen. 

Contractuele verplichtingen 

  • Laat medewerkers vertrouwelijkheidsverklaringen ondertekenen. 
  • Leg verantwoordelijkheden vast in arbeidscontracten, inclusief richtlijnen voor veilig werken op afstand. 

Exitprocedures: deur écht dicht 

  • Trek toegangspassen en IT-rechten onmiddellijk in bij uitdiensttreding. 
  • Zorg ervoor dat bedrijfsapparatuur wordt ingeleverd en verwijder de toegang tot e-mail, cloudservices, incidentkanalen en andere systemen. 

2. Toegangsbeheer: wie mag wat – en waarom?

Een effectief toegangsbeleid voorkomt dat medewerkers toegang hebben tot systemen of gegevens die ze niet nodig hebben. Dit beperkt het risico op onbedoelde fouten en kwaadwillende acties. 

Rolgebaseerde toegang (RBAC) 

  • Ken rechten toe op basis van functie of rol. Toegang tot HR-systemen is bijvoorbeeld alleen nodig voor HR-medewerkers, en productiedata is alleen relevant voor de fabriek. 
  • Hanteer het “need-to-know”-principe: medewerkers krijgen alleen toegang tot gegevens die ze nodig hebben voor hun werk. 

Tijdelijke toegang & autorisatieprocessen 

  • Geef tijdelijke toegang voor projecten of specifieke taken, en zorg voor een automatische vervaldatums. 
  • Gebruik het vier-ogenprincipe voor goedkeuring van gevoelige toegangsaanvragen. 

Regelmatige herbeoordeling 

  • Controleer periodiek de toegangsrechten van medewerkers en pas deze aan wanneer functies of verantwoordelijkheden veranderen. 

Multifactorauthenticatie (MFA) 

  • Gebruik MFA voor alle kritieke systemen, zoals e-mail, VPN’s en applicaties. Overweeg passkeys of hardware tokens voor extra beveiliging van gevoelige omgevingen. 

3. Beheer van activa: zonder overzicht geen bescherming

Je kunt alleen beschermen wat je kent. Daarom is goed assetmanagement essentieel voor een veilige IT-omgeving. 

Inventarisatie van Activa 

  • Stel een actueel overzicht op van alle IT-assets binnen de organisatie, zoals laptops, servers, software, virtuele machines, licenties en cloudresources. 
  • Vergeet niet-digitale middelen, zoals papieren dossiers, fysieke toegangspassen en archiefkasten, in de inventaris op te nemen. 

Levenscyclusbeheer  

  • Van aanschaf tot afvoer: houd bij waar een bezitting is, wie hem gebruikt en in welke staat hij verkeert.  
  • Zorg dat oude hardware veilig wordt vernietigd of gewist.  
  • Denk ook aan ‘onzichtbare’ zaken als slimme aparaten, mobiele telefoons en testservers.  

Beveiligingsinstellingen  

  • Nieuwe laptops? Zet standaard encryptie aan, voorkom lokale adminrechten en installeer beveiligingssoftware al vooraf.  
  • Cloudaccounts? Verpicht MFA, zet auditlogs aan en zorg voor automatische waarschuwingen bij ongebruikelijke toegang.  

Een sterk front: van mens tot machine 

Je kunt de beste firewalls en encryptie inzetten, maar als een oud-medewerker nog toegang heeft tot je boekhoudsoftware, ben je alsnog kwetsbaar. Beveiliging is een keten van mensen, processen en technologie, en die keten is zo sterk als de zwakste schakel.  

Door te investeren in personeelsbewustzijn, slimme toegangscontrole en strak activabeheer, voorkom je dat kleine fouten leiden tot grote incidenten. Beveiliging is geen bijzaak, het is je fundament.  

Wil je aan de slag met het implementen van organisatorische maatregelen binnen je organisatie? Neem gerust contact met ons op. We helpen je graag om van je organisatie een digitale vesting te maken.  

 

Het laatste nieuws

Naar alle berichten

NEN 7510 Transitienulmeting: dit jaar nog starten voor een vliegende start in 2026

Start dit jaar nog met de transitie naar de NEN 7510:2024!

Lees verder

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Contact opnemen

Heb je een vraag over onze diensten?

Wij bellen je graag binnen 24 uur terug. Neem gerust en geheel vrijblijvend contact met ons op!