Blog

NIS2 artikel 21.2 c:

Continuïteit is de noodgenerator die u moet testen.

Ik heb een bijzondere band met noodgeneratoren. Niet omdat ze charmant zijn, maar omdat ze betrouwbaar zijn. Ze maken zich niet druk in het dagelijks leven. Ze staan daar, stil. Maar als de stroom uitvalt, wilt u niet ontdekken dat ze alleen op de inkooporder stonden. U wilt zeker weten dat ze starten. Dat er genoeg brandstof is. Dat iemand ze kan bedienen.

Voor mij is artikel 21.2 c van NIS2 precies dat: een noodgenerator voor de bedrijfsvoering. Het gaat over continuïteit, back-ups, rampenherstel en crisismanagement. Kortom: dat belangrijke diensten kunnen doorgaan of snel terugkomen als het misgaat.

Robert Willborg

Medoprichter en Chief Security Officer bij OneMore Secure.

Wat zegt NIS2 precies?

Artikel 21.1 stelt het kader vast. De maatregelen moeten passend en proportioneel zijn. Ze moeten risico's in netwerken en informatiesystemen aanpakken en de impact van incidenten beperken. Binnen dat kader noemt artikel 21.2 tien gebieden. Punt c betreft bedrijfscontinuïteit, expliciet inclusief back-ups, rampenbeheer en crisismanagement (Europese Unie, 2022).

Toepassing in Zweden: de cybersecuritywet

In Zweden trad de Cybersecuritywet (2025:1506) en de Cybersecurityverordening (2025:1507) in werking op 15 januari 2026. Dit betekent dat NIS2 geen toekomstmuziek meer is, maar een feitelijke eis bij toezicht en naleving (Zweedse Riksdag, 2025a; Zwedse Riksdag, 2025b; Regering, 2026).

Een belangrijke nuance: NIS2 is cybergericht, maar continuïteit is breed

Ik wil hier helder zijn. NIS2 is een cybersecurityrichtlijn. Het is geen 'all hazards'-regelgeving zoals CER. Maar cyberincidenten leiden vaak tot uitval die aanvoelt als elke andere crisis. Daarom is continuïteit in de praktijk breed toepasbaar. Als een kritieke dienst uitvalt, maakt het minder uit of dat komt door een kwetsbaarheid, een foute update of een leverancier die uit beeld verdwijnt. De dienst moet terugkomen.

Wat artikel 21.2 c praktisch betekent

Ik zie 21.2 c als een verwachting van aantoonbaar herstel. Niet perfectie, maar een duidelijke, uitvoerbare en geteste aanpak. Het gaat om vier samenhangende onderdelen, zonder dat het een papieren exercitie wordt.

Ten eerste bedrijfscontinuïteit. Dat is hoe u bepaalt welke diensten door moeten draaien, hoe lang u zonder kunt en welke handmatige werkwijzen gelden in die periode. Dit onderdeel onthult vaak of het management de organisatie echt kent.

Ten tweede back-ups. Een back-up is niet zomaar een bestand op een schijf. Het is een belofte tot herstel. Die belofte moet regelmatig getest worden. En u moet weten wat er bij hoort: kritieke data, systemen en afhankelijkheden.

Het derde onderdeel is rampenherstel. Dat is hoe u diensten weer opstart na een grote gebeurtenis. Van een ransomware-aanval tot een grote storing. Dit vereist duidelijke prioriteiten, toegangen en een plan dat werkt, ook onder druk.

Het vierde onderdeel is crisismanagement. Dit wordt vaak verkeerd begrepen. Crisismanagement is geen persbericht. Het zijn besluitlijnen, contactpunten en geoefende communicatie. Hier komt NIS2 echt tot leven: mensen moeten weten wie wat zegt, aan wie en wanneer.

De meest voorkomende valkuil: een te ingewikkeld plan

Ik zie vaak continuïteitsplannen die te complex zijn. Ze zien er op papier indrukwekkend uit, maar falen in de praktijk. Een vuistregel: als het plan vereist dat drie mensen tegelijk op dezelfde plek zijn met perfect geheugen, is het een droomscenario. In een incident zijn mensen moe, is iemand afwezig en reageert de leverancier pas 'na de lunch'. Daarom moet het plan simpel zijn. Het moet een slechte dag doorstaan.

Hoe 21.2 c samenhangt met de rest van artikel 21

Continuïteit raakt alles. Risicoanalyse en beleid (21.2 a) bepalen wat prioriteit heeft. Incidentbeheer (21.2 b) bepaalt hoe snel u op het juiste spoor komt. De keten van leveranciers (21.2 d) bepaalt of u tijdig inzicht en ondersteuning krijgt. Kwetsbaarheidsbeheer en veilige ontwikkeling (21.2 e) bepalen hoe vaak u in herstelmodus raakt. En effectiviteitscontroles (21.2 f) bepalen of u kunt aantonen dat alles werkt (Europese Unie, 2022; ENISA, 2025).

Drie eenvoudige maar krachtige adviezen

Ik beperk me tot drie punten. Ze zijn makkelijk gezegd, maar vragen discipline. En ze sluiten volledig aan bij artikel 21.2 c.

· Test herstel op tijd.

· Prioriteer diensten, niet systemen.

· Oefen crisis als dagelijkse routine.

Test herstel op tijd betekent dat u meet hoe lang het echt duurt om het belangrijkste weer operationeel te krijgen, niet wat u hoopt. Prioriteer diensten, niet systemen betekent dat u stuurt op wat de organisatie levert. Dat is waar de impact zit. Oefen crisis als dagelijkse routine betekent dat u vaak kleine oefeningen doet. Dat bouwt spierherinnering op. En spierherinnering is wat een organisatie redt als alles snel moet gaan.

Slotwoord

Artikel 21.2 c vereist niet dat u nooit problemen hebt, maar dat u kunt herstellen. Continuïteit is de noodgenerator. Die brengt geen glamour, maar werking. En in een digitale wereld staat werking vaak gelijk aan vertrouwen.