De meeste discussies over de NIS2-richtlijn van de EU gaan over incidentmeldingstermijnen en netwerkbeveiliging. Logisch -- dat zijn de kopstukken van de regelgeving, met de meest ingrijpende consequenties als het misgaat. Maar er zit een stillere bepaling in de richtlijn die verrassend veel organisaties overvalt: de eis voor gestructureerd, gedocumenteerd asset management met helder eigenaarschap.
NIS2 wordt in 2026 gehandhaafd in de EU-lidstaten. Voor bedrijven in de betrokken sectoren is de compliance-klok geen theorie meer. En terwijl veel organisaties hebben geinvesteerd in firewalls, endpoint detection en incident response playbooks, hebben veel minder er aandacht aan besteed aan de fundamentele vraag die NIS2 stelt: wie is verantwoordelijk voor elk kritiek asset in je organisatie, en kun je dat bewijzen?
Voor groeiende bedrijven met 50 tot 500 medewerkers is dit het punt waarop compliance verandert van een abstract beleidsexercitie naar een operationele uitdaging. Je kunt asset-eigenaarschap niet faken met een beleidsdocument. Je hebt de registraties, of je hebt ze niet.
Wat NIS2 concreet eist voor asset management
Artikel 21 van de NIS2-richtlijn beschrijft de cybersecuritymaatregelen die essentiele en belangrijke entiteiten moeten treffen. Lid 2, punt (i) noemt expliciet "personeelsbeveiliging, toegangscontrolebeleid en asset management" als verplicht aandachtsgebied. Dit is geen aanbeveling. Het is een wettelijke verplichting voor organisaties die binnen de scope vallen.
Maar wat betekent "asset management" in de context van NIS2? De richtlijn is bewust resultaatgericht. Er wordt geen specifieke tool, format of leverancier voorgeschreven. In plaats daarvan moet je tijdens een audit of na een incident kunnen aantonen dat je effectieve maatregelen hebt getroffen. In de praktijk komt dit neer op vier concrete eisen:
- Een complete inventaris van kritieke assets. Dit omvat hardware (laptops, servers, netwerkapparatuur), software (SaaS-abonnementen, on-premise applicaties, ontwikkeltools), dataopslagplaatsen en diensten van derden. Als het je bedrijfsvoering ondersteunt of gevoelige data verwerkt, hoort het in de inventaris.
- Een duidelijke eigenaar per asset. Niet een team, niet een afdeling, niet "IT." Een aanspreekbaar individu per asset. NIS2 legt de nadruk op verantwoordelijkheid -- gedeeld of onduidelijk eigenaarschap is een compliance-gat.
- Gedocumenteerde toegangscontroles gekoppeld aan assets. Wie heeft toegang tot elk asset, onder welke voorwaarden, en hoe worden die rechten beheerd? Dit sluit direct aan op het toegangscontrolebeleid dat Artikel 21 naast asset management noemt.
- Wijzigingslogboeken en overdrachtsregistraties. Wanneer eigenaarschap wijzigt, wanneer toegang wordt verleend of ingetrokken, wanneer een asset buiten gebruik wordt gesteld -- er moet een registratie zijn. Auditors moeten de tijdlijn kunnen reconstrueren.
Het proportionaliteitsbeginsel in NIS2 betekent dat een SaaS-bedrijf met 60 medewerkers niet dezelfde controles hoeft als een beheerder van kritieke infrastructuur. Maar proportioneel betekent niet optioneel. Je moet kunnen aantonen dat je maatregelen passen bij je risicoprofiel en dat ze ook daadwerkelijk functioneren -- niet alleen op papier staan.
Wie moet voldoen
NIS2 breidt de scope van EU-cybersecurityregelgeving aanzienlijk uit ten opzichte van de voorganger. Twee categorieen organisaties vallen eronder:
Essentiele entiteiten omvatten sectoren als energie, transport, bankwezen, financiele marktinfrastructuur, gezondheidszorg, drinkwater, digitale infrastructuur en overheidsdiensten. Zij krijgen het strengste toezicht, inclusief proactieve supervisie door autoriteiten.
Belangrijke entiteiten beslaan een bredere set sectoren: postdiensten, afvalbeheer, productie van kritieke producten, voedselproductie, chemie, digitale dienstverleners (waaronder cloudcomputing, online marktplaatsen en zoekmachines) en onderzoeksorganisaties.
De omvangscriteria zijn helder: organisaties met 50 of meer medewerkers of een jaaromzet van meer dan 10 miljoen euro vallen in principe binnen de scope. Sommige entiteiten vallen er ongeacht omvang onder, met name aanbieders van kritieke infrastructuurdiensten zoals DNS, topleveldomeinregisters of vertrouwensdienstverleners.
De eigenaarschapskloof: waar de meeste organisaties falen
De ongemakkelijke waarheid is dat de meeste middelgrote bedrijven al een vorm van asset-inventaris hebben. Er zijn spreadsheets die laptops bijhouden. Er is een ITAM-tool die softwarelicenties registreert. Misschien is er zelfs een CMDB. Op het eerste gezicht lijkt het vakje "asset management" afgevinkt.
Maar NIS2 vraagt niet alleen of je een lijst hebt. Het vraagt of je op elk moment een specifieke vraag kunt beantwoorden: "Wie is op dit moment verantwoordelijk voor dit asset?" En niet informeel beantwoorden, maar met een auditeerbare registratie die de volledige eigenaarschapsketen laat zien.
Hier verschijnen de gaten. Vier faalpatronen komen keer op keer terug:
- Gedeeld eigenaarschap. Een asset is toegewezen aan een team of afdeling in plaats van een individu. Als er iets misgaat, is er geen eenduidige verantwoordelijke. De auditor ziet een gat.
- Informele overdrachten. Een medewerker wisselt van rol en een collega neemt de tools over die diegene beheerde. Er wordt geen registratie aangemaakt. Geen formele overdracht. De eigenaarschapshistorie van het asset heeft een gat.
- Verweesd assets na offboarding. Een medewerker vertrekt, de hardware wordt opgehaald, maar SaaS-accounts, gedeelde credentials en beheerde abonnementen worden niet systematisch overgedragen. Assets eindigen zonder eigenaar, soms maandenlang.
- Geen wijzigingshistorie. Zelfs als eigenaarschap technisch is vastgelegd, is er geen logboek van wanneer het is toegewezen, wanneer het is gewijzigd of wie de overdracht heeft goedgekeurd. De huidige stand is misschien correct, maar er is geen manier om te bewijzen dat het proces is gevolgd.
Dit zijn geen uitzonderingen. Het is de norm bij groeiende bedrijven waar het tempo van aannames, teamwisselingen en tool-adoptie sneller gaat dan de administratieve processen die het moeten bijhouden. En het zijn precies de gaten die NIS2-auditors zijn getraind om te identificeren.
Hoe "audit-ready" asset-eigenaarschap eruitziet
Als een auditor morgen je organisatie binnenloopt en vraagt om je asset-eigenaarschapsregistraties, wat moeten ze vinden? Op basis van NIS2 Artikel 21 en gevestigde kaders zoals ISO 27001 (waarnaar NIS2 expliciet verwijst als benchmark), omvat audit-ready asset-eigenaarschap:
- Elk asset heeft precies een gedocumenteerde eigenaar. Geen uitzonderingen, geen gedeelde toewijzingen, geen "nader te bepalen"-placeholders. Elk item in de inventaris heeft een aangewezen individu dat verantwoordelijk is.
- Eigenaarschapsoverdrachten worden gelogd met tijdstempels en acceptatieregistraties. Wanneer een asset van eigenaar wisselt, is er een registratie van wanneer het is gebeurd, wie het heeft overgedragen en bevestiging dat de nieuwe eigenaar de verantwoordelijkheid heeft geaccepteerd.
- Offboarding omvat geverifieerde hertoewjizing van alle assets. Geen medewerkervertrek wordt als voltooid beschouwd totdat elk asset dat ze beheerden formeel is overgedragen of buiten gebruik is gesteld.
- Een complete historie van wie wat beheerde en wanneer. Niet alleen de huidige stand, maar de volledige tijdlijn. Als er zes maanden geleden een incident was, moet je kunnen vaststellen wie op dat moment verantwoordelijk was voor het getroffen asset.
- Regelmatige reviews om gaten te signaleren. Kwartaalreviews van het assetregister om items zonder eigenaar, betwist eigenaarschap of assets die sinds toewijzing niet zijn beoordeeld te identificeren.
Hoe je je voorbereidt: een praktische checklist
Als je organisatie binnen de NIS2-scope valt en je de asset-eigenaarschapseisen nog niet hebt opgepakt, is hier een concreet startpunt. De stappen zijn geordend op prioriteit en bouwen op elkaar voort.
1. Inventariseer je kritieke assets. Begin met de categorieen die het meeste risico dragen: SaaS-abonnementen met toegang tot bedrijfs- of klantdata, hardware die aan medewerkers is toegewezen, contracten met externe dienstverleners en elk systeem dat essentiele bedrijfsfuncties ondersteunt. Je hoeft niet elk potlood te inventariseren. Focus op wat ertoe doet.
2. Wijs een eigenaar toe aan elk asset. Doorloop de inventaris en wijs een enkel, benoemd individu aan als eigenaar van elk item. Niet een team, niet een mailinglijst. Een persoon. Waar eigenaarschap oprecht onduidelijk is, is dat op zichzelf een bevinding die moet worden opgelost.
3. Documenteer je overdrachtsproces. Definieer hoe eigenaarschap wordt overgedragen. Wat gebeurt er als iemand van team wisselt? Als een tool wordt geconsolideerd? Als een leverancierscontract wordt heronderhandeld? Het proces hoeft niet complex te zijn, maar het moet bestaan en consequent worden gevolgd.
4. Bouw offboarding-gates in. Neem hertoewjizing van assets op als verplichte stap in je offboarding-workflow. Geen offboarding mag als afgerond worden gemarkeerd totdat alle assets van de vertrekkende medewerker formeel zijn overgedragen of buiten gebruik gesteld. Dit is een van de maatregelen met de meeste impact die je kunt implementeren.
5. Richt een audit trail in. Elke toewijzing, overdracht en wijziging moet automatisch worden gelogd met tijdstempels en de identiteiten van beide partijen. Handmatige logboeken in spreadsheets zijn fragiel en vatbaar voor gaten. Geautomatiseerde logging neemt de afhankelijkheid van menselijke discipline weg.
6. Review elk kwartaal. Stel een terugkerende reviewcyclus in om te scannen op assets zonder eigenaar, verouderde toewijzingen en items die sinds de laatste wijziging niet zijn beoordeeld. Behandel dit als hygienewerk, niet als eenmalig project.
Compliance is verantwoording, niet alleen technologie
NIS2-compliance gaat niet alleen over het juiste firewall of een incident response plan in de la. In de kern eist de richtlijn dat organisaties weten wie waarvoor verantwoordelijk is, te allen tijde, en dat ze het kunnen aantonen met bewijs. Asset-eigenaarschap is het fundament waarop al het andere rust. Je kunt niet beveiligen wat je niet weet te hebben, en je kunt niemand verantwoordelijk houden voor een asset zonder gedocumenteerde eigenaar.
Tools zoals OwndUp zijn specifiek gebouwd voor precies deze uitdaging: een centraal eigenaarschapsregister, acceptatiegebaseerde overdrachten die automatisch audit trails aanmaken, offboarding-gates die verweesd assets voorkomen, en een complete historie van elke eigenaarschapswijziging. Als je huidige aanpak leunt op spreadsheets of informele processen, is het gat tussen waar je staat en waar NIS2 je verwacht groter dan je denkt.
De consequenties zijn reeel. Non-compliance met NIS2 kan resulteren in bestuurlijke boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is, voor essentiele entiteiten. Belangrijke entiteiten riskeren boetes tot 7 miljoen euro of 1,4% van de omzet. Naast de boetes kunnen bestuurders persoonlijk aansprakelijk worden gesteld voor het niet treffen van adequate cybersecuritymaatregelen.
Organisaties die asset-eigenaarschap behandelen als een fundamentele discipline in plaats van een bijzaak zullen niet alleen compliant zijn. Ze zullen weerbaarder zijn, efficienter opereren en beter voorbereid zijn op wat er ook komt.