Winkelwagen

/ Domeinnaam

/ Meest gekozen

/ .nl-domeinnaam

Jouw .nl voor slechts € 0,49.

Domeinnaam checken
E-mail

/ Webhosting

/ Security & Compliance

/ Hostingpakket keuzehulp

Weet je niet zeker welk hostingpakket de beste
keus is voor jouw website? Met onze keuzehulp
kom je er wel uit.

Direct naar de keuzehulp

/ VPS

/ Orchestration

/ Software

/ Networking

/ Storage

/ Overig

/ OpenStack

/ Network

/ Volumes

/ Other

/ Probeer Public Cloud uit

Gratis 1 maand aan de slag met Public Cloud?

Vraag proefperiode aan

/ Back-up & opslag

/ Security

/ Security

/ TransIP

/ Overig

/ TransIP Blog

CSM25: API security in een SaaS-wereld

Lees de blogpost
Hulp nodig?
Winkelwagen Controlepaneel

    Sorry, we konden geen resultaten vinden voor jouw zoekopdracht.

    Home Overige vragen Legal & Security NIS2: impact op je TransIP-diensten

    NIS2: impact op je TransIP-diensten

    De Europese NIS2-richtlijn stelt strengere eisen aan de digitale weerbaarheid van organisaties die belangrijk zijn voor de economie en maatschappij. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet (Cbw).

    Gebruik je diensten zoals Webhosting, een domeinnaam, STACK, een VPS, OpenStack, Acronis of Kubernetes? Dan betekent dit niet automatisch dat je organisatie onder NIS2 valt. Wel kunnen deze diensten onderdeel zijn van je netwerk- en informatiesystemen. Als jouw organisatie onder NIS2 valt, moet je ze daarom meenemen in je risicoanalyse, beveiligingsmaatregelen, incidentproces en leveranciersbeheer.

    • Deze handleiding geeft algemene informatie over NIS2 en TransIP-diensten. Aan dit artikel kunnen geen juridische rechten worden ontleend.
       
    • Valt je organisatie straks onder de Cyberbeveiligingswet, dan krijg je te maken met een zorgplicht, meldplicht en registratieplicht.
     

     

    Geldt NIS2 voor jouw organisatie?

     

    Of jouw organisatie onder NIS2 en de Cyberbeveiligingswet valt, hangt vooral af van de sector waarin je actief bent, de grootte van je organisatie en soms het type dienst dat je levert.

    Gebruik voor de formele beoordeling de NIS2 Zelfevaluatie van de RDI en de informatie van het NCSC over de Cyberbeveiligingswet.

     

    Controleer dit altijd voor je hele organisatie, niet alleen voor een losse website, server of applicatie. NIS2 kijkt namelijk naar de entiteit en de diensten die deze entiteit levert.

    In hoofdlijnen zijn dit de belangrijkste stappen:

    • Controleer je sector: NIS2 geldt onder andere voor sectoren zoals energie, transport, bankwezen, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheid, ruimtevaart, post- en koeriersdiensten, bepaalde productiebedrijven, digitale aanbieders en onderzoek.
       
    • Controleer je omvang: voor veel sectoren geldt NIS2 vooral voor middelgrote en grote organisaties. De omvang wordt onder andere bepaald door het aantal medewerkers, de jaaromzet en het balanstotaal.
       
    • Controleer uitzonderingen: sommige organisaties vallen onder de Cyberbeveiligingswet ongeacht hun omvang. Dat geldt onder andere voor DNS-dienstverleners, verleners van domeinnaamregistratiediensten, aanbieders van openbare elektronische communicatienetwerken en communicatiediensten, aanbieders van registers voor topleveldomeinnamen, verleners van vertrouwensdiensten en overheidsorganisaties.
       
    • Controleer je rol in de keten: lever je ICT-diensten aan een organisatie die onder NIS2 valt, dan val je zelf niet automatisch onder NIS2. Je klant kan wel beveiligingseisen aan jou stellen, bijvoorbeeld via contracten, een SLA of een leveranciersbeoordeling.

     

    Wat betekent NIS2 voor je TransIP-diensten?

     

    NIS2 maakt een organisatie zelf verantwoordelijk voor passende en evenredige beveiligingsmaatregelen. Een product of leverancier maakt je organisatie dus niet automatisch compliant. De diensten die je gebruikt, zijn wel relevant voor je maatregelen.

    Zie TransIP-diensten daarom als onderdelen van je technische omgeving. Breng per dienst in kaart welke gegevens, systemen en processen ervan afhankelijk zijn, wie toegang heeft en wat er gebeurt als de dienst tijdelijk niet beschikbaar is.

     

    Webhosting

    Gebruik je webhosting voor een website, webshop of klantportaal, neem dan ten minste de volgende onderwerpen mee:

    • Houd CMS-systemen (bijv. WordPress), plugins, thema's en eigen code up-to-date.
    • Gebruik veilige wachtwoorden en beperk toegang tot beheerdersaccounts.
    • Gebruik een SSL-certificaat voor websites waarop bezoekers gegevens invoeren. Lees voor meer achtergrond onze handleiding 'Het belang van een SSL-certificaat'.
    • Maak afspraken over wie wijzigingen aan de website mag uitvoeren en hoe je die wijzigingen controleert.
    • Leg vast welke persoonsgegevens of bedrijfsgevoelige gegevens via de website worden verwerkt.

     

    Domeinen en DNS

    Domeinen en DNS zijn belangrijk voor de bereikbaarheid van je website, e-mail en applicaties. NIS2 noemt DNS-dienstverlening en domeinnaamregistratiediensten expliciet in de digitale infrastructuur.

    • Beperk toegang tot domein- en DNS-beheer (je TransIP-account en API-toegang) tot de personen die deze toegang nodig hebben.
    • Controleer periodiek of DNS-records nog kloppen en verwijder records die je niet meer gebruikt.
    • Gebruik waar passend beveiligingsmaatregelen zoals DNSSEC, SPF, DKIM en DMARC voor je domeinen.
    • Zorg voor correcte contactgegevens en administratieve WHOIS-gegevens bij je domeinen, zodat je meldingen over misbruik of incidenten ontvangt.
    • Neem scenario's zoals DNS-wijzigingen door een onbevoegde, domeinkaping of verlopen domeinen op in je risicoanalyse.

     

    STACK

    Gebruik je STACK voor online opslag of het delen van bestanden, bepaal dan welke informatie daarin staat en wie toegang heeft.

    • Deel bestanden alleen met personen die toegang nodig hebben.
    • Controleer gedeelde links periodiek en verwijder links die niet meer nodig zijn.
    • Gebruik STACK niet als enige locatie voor gegevens die je niet kunt missen. Maak voor kritieke gegevens ook een eigen back-up of gebruik een passende back-upoplossing zoals Acronis.
    • Leg vast welke soorten gegevens je in STACK opslaat, bijvoorbeeld openbare documenten, interne documenten of vertrouwelijke gegevens.

     

    VPS

    Bij een VPS beheer je zelf het besturingssysteem, de software en de applicaties. Dat geeft veel vrijheid, maar ook meer verantwoordelijkheid.

    In dit overzicht vind je documentatie die dieper ingaat op de onderstaande punten.

     
    • Installeer beveiligingsupdates voor het besturingssysteem en je applicaties.
    • Beperk toegang via SSH, gebruik sterke authenticatie en geef gebruikers alleen rechten die ze nodig hebben.
    • Gebruik firewalls, bijvoorbeeld de firewall op je VPS en de VPS-firewall in het TransIP-controlepaneel.
    • Maak back-ups en test regelmatig of je een back-up succesvol terugzet.
    • Gebruik monitoring en logging om afwijkingen sneller te ontdekken.
    • Leg vast wie verantwoordelijk is voor beheer, patching, incidentafhandeling en herstel.

     

    OpenStack

    Met OpenStack bouw je zelf cloudomgevingen. Voor NIS2 is vooral belangrijk dat je grip houdt op projecten, instances, netwerken, object storage en toegangssleutels.

    • Gebruik aparte OpenStack-projecten of tenants voor omgevingen die je gescheiden wilt beheren.
    • Beperk toegang tot API-keys, SSH-keys en service accounts.
    • Gebruik security groups en netwerksegmentatie om toegang tot instances te beperken.
    • Leg vast welke images, volumes, snapshots en object storage buckets onderdeel zijn van kritieke diensten.
    • Automatiseer configuratie waar mogelijk, zodat je wijzigingen kunt herhalen en controleren.

     

    Acronis

    Acronis helpt bij het maken van back-ups, herstel en bescherming van systemen (via EDR). Voor NIS2 is vooral belangrijk dat back-ups betrouwbaar, beschermd en getest zijn.

    • Maak protection plans voor systemen die belangrijk zijn voor je dienstverlening.
    • Gebruik bewaartermijnen voor back-ups die passen bij je continuiteitsdoelstellingen.
    • Test periodiek of je een systeem, bestand of applicatie daadwerkelijk kunt herstellen.
    • Beperk toegang tot Acronis-beheeraccounts en controleer wie back-ups mag verwijderen of aanpassen.
    • Documenteer welke systemen door Acronis worden beschermd en welke systemen buiten scope vallen.

     

    Kubernetes

    Kubernetes wordt vaak gebruikt voor applicaties die uit meerdere containers bestaan. NIS2 raakt hier vooral aan configuratiebeheer, toegangsbeheer, secrets (wachtwoorden e.d.), images en monitoring.

    • Beperk toegang met RBAC en geef gebruikers, service accounts en workloads alleen de rechten die ze nodig hebben.
    • Bewaar secrets niet in applicatiecode of container images.
    • Gebruik NetworkPolicies of vergelijkbare maatregelen om verkeer tussen workloads te beperken.
    • Update container images regelmatig en scan images op bekende kwetsbaarheden.
    • Maak back-ups van configuratie, persistent volumes en gegevens die nodig zijn om je applicatie te herstellen.
    • Gebruik logging en monitoring voor clusters, nodes, workloads en ingress-verkeer.

     

    Wat moet je doen om aan NIS2 te voldoen?

     

    NIS2-compliance is geen losse instelling in een product. Het is een organisatiebreed proces waarin bestuur, techniek, processen en leveranciersbeheer samenkomen.

    Gebruik de onderstaande punten als startpunt voor je eigen voorbereiding.

    1. Maak een risicoanalyse

      Breng in kaart welke diensten essentieel zijn voor je organisatie, welke systemen daarvoor nodig zijn, welke risico's daarbij horen en welke maatregelen de meeste impact hebben. Neem hierbij ook rechtstreekse leveranciers en dienstverleners mee.
       
    2. Maak een asset- en dienstenoverzicht

      Leg vast welke domeinen, DNS-zones, websites, servers, cloudprojecten, clusters, back-ups en opslaglocaties je gebruikt. Noteer per onderdeel wie eigenaar is, wie beheerder is, welke gegevens worden verwerkt en hoe je herstelt bij een incident.
       
    3. Richt toegangsbeheer goed in

      Gebruik unieke accounts, sterke wachtwoorden, MFA waar beschikbaar en het principe van least privilege. Verwijder accounts die niet meer nodig zijn en controleer periodiek wie toegang heeft tot je TransIP-controlepaneel, servers, cloudomgevingen en back-upomgevingen.
       
    4. Houd systemen actueel via updates

      Maak patchmanagement concreet. Bepaal wie updates uitvoert, binnen welke termijn kritieke kwetsbaarheden worden opgelost en hoe je controleert of updates zijn doorgevoerd.
       
    5. Bescherm gegevens met encryptie

      Gebruik versleutelde verbindingen, zoals HTTPS en SSH. Versleutel gevoelige gegevens waar dit passend is, bijvoorbeeld in applicaties, databases, object storage of back-ups.
       
    6. Maak en test back-ups

      Een back-up is pas bruikbaar als je weet dat herstel werkt. Test daarom periodiek of je bestanden, databases, servers of applicaties kunt terugzetten. Documenteer de test en verbeter het proces als herstel te lang duurt of niet volledig is. Tip: met Acronis kun je back-ups maken van bestanden, schijven en mappen op je laptop, computer, servers, en in veel gevallen ook van je website.
       
    7. Bereid incidentafhandeling voor

      Maak een incidentplan waarin staat wie beslist, wie technisch onderzoek doet, wie communiceert met klanten of leveranciers en wanneer je meldt bij het CSIRT of de toezichthouder. Leg ook vast hoe je bewijsmateriaal veiligstelt, zoals logs en tijdlijnen.
       
    8. Leg leveranciersafspraken vast

      Valt je organisatie onder NIS2, dan moet je ook risico's in je keten beheersen. Leg daarom vast welke diensten je bij leveranciers afneemt, welke beveiligingsafspraken gelden, hoe incidenten worden gemeld en wie waarvoor verantwoordelijk is.
       
    9. Registreer je organisatie wanneer dit verplicht is

      Organisaties die onder de Cyberbeveiligingswet vallen, moeten zich registreren in het entiteitenregister. Volgens het NCSC is vrijwillige registratie al mogelijk via Mijn.NCSC.nl. De verplichting ontstaat pas wanneer de Cyberbeveiligingswet in werking treedt.

     

    Incidenten en meldplicht

     

    Valt jouw organisatie onder de Cyberbeveiligingswet, dan moet je significante incidenten zo snel mogelijk melden. Volgens het NCSC moet een significant incident in ieder geval binnen 24 uur worden gemeld bij de toezichthouder en het betreffende sectorale CSIRT.

    Een incident is niet automatisch significant omdat er een server of website uitvalt. De vraag is vooral of het incident de dienstverlening van jouw organisatie aanzienlijk verstoort of kan verstoren. De exacte drempelwaarden worden verder uitgewerkt in ministeriele regelingen.

    Neem daarom in je incidentproces op:

    • wie beoordeelt of een incident significant is;
    • welke systemen of diensten geraakt zijn;
    • welke logs, meldingen en tijdstippen worden vastgelegd;
    • wie contact opneemt met leveranciers, klanten, CSIRT of toezichthouder;
    • hoe je herstelt en hoe je na afloop verbetermaatregelen vastlegt.

    Gaat het om een incident in een TransIP-dienst, neem dan contact op met onze supportafdeling via het TransIP-controlepaneel. Vermeld daarbij zo concreet mogelijk welke dienst, welk tijdstip, welke foutmelding en welke impact je ziet.

     

    Leverancier of dienstverlener voor een NIS2-organisatie

     

    Ook als je zelf niet onder NIS2 valt, kun je ermee te maken krijgen. Lever je bijvoorbeeld webdevelopment, hostingbeheer, applicatiebeheer, managed services of andere ICT-diensten aan een organisatie die wel onder NIS2 valt, dan kan die klant eisen stellen aan jouw beveiliging.

    Bereid je hierop voor door alvast inzichtelijk te maken:

    • welke technische en organisatorische beveiligingsmaatregelen je hebt genomen;
    • hoe je toegang tot klantomgevingen beheert;
    • hoe je kwetsbaarheden en updates opvolgt;
    • hoe je incidenten detecteert, meldt en afhandelt;
    • welke back-up- en herstelafspraken gelden;
    • welke onderaannemers of hostingproviders je gebruikt.

    Een certificaat of normenkader kan helpen in gesprekken met klanten, maar is geen automatische garantie dat je aan alle gevraagde maatregelen voldoet. De passende maatregelen hangen af van de risico's in de specifieke keten.

     

    In deze handleiding heb je gelezen wat NIS2 en de Cyberbeveiligingswet betekenen voor organisaties die TransIP-diensten gebruiken. Controleer eerst of jouw organisatie onder de Cyberbeveiligingswet valt en neem je hosting, domeinen, servers, cloudomgevingen, opslag en back-ups daarna mee in je risicoanalyse en beveiligingsmaatregelen.

    Ben je op zoek naar meer informatie over NIS2? Raadpleeg dan de volgende bronnen:

    Inhoudsopgave

    Kom je er niet uit?

    Ontvang persoonlijke hulp van onze supporters

    Neem contact op