NIS2 (Network and Information Security Directive 2) is in NL geimplementeerd via de Cyberbeveiligingswet en in BE via de NIS2-wet. Voor essentiële en belangrijke entiteiten geldt een meldplicht binnen 24 uur en een set technische maatregelen waar de SQL-database direct onder valt.
Reikwijdte: essentiële of belangrijke entiteit
Energieleveranciers, drinkwaterbedrijven, ziekenhuizen, banken, transport, digitale infrastructuur en publiek bestuur vallen in de categorie "essentiële entiteit". Voedselproducenten, post, chemie en online platforms onder "belangrijke entiteit". Toeleveranciers van die organisaties krijgen contractueel dezelfde eisen door.
Database-encryptie en access management
NIS2-bijlage vraagt expliciet om encryptie op rest en in transit. TDE plus TLS 1.2 minimum is de baseline. Toegangsbeheer met logging, MFA op admin-accounts, just-in-time-toegang voor DBA's. Wij richten dat in via Azure AD-integratie of Active Directory groepen.
Incident detection en log retention
SQL Server Audit naar SIEM, retentie minimaal twaalf maanden voor security events. Detectie van anomalies (massa-export, sysadmin-acties buiten werkuren) via SIEM-rules. Bij een incident moet u binnen 24 uur kunnen aantonen wat er is gebeurd.
Leveranciersmanagement (artikel 21)
Een outsourced SQL Server-omgeving valt onder uw NIS2-verantwoordelijkheid. De cloud-provider, de DBA-as-a-service-leverancier, de software-leverancier: contractuele securityclausules zijn verplicht. Wij leveren een DBA-as-a-service-overeenkomst die NIS2-compliant is.
Periodieke meting en rapportage
De toezichthouder kan documentatie opvragen. Een halfjaarlijkse meting tegen NIS2-bijlage met bewijsmateriaal (configuratie-snapshots, audit-logs, training-records) is de werkelijke compliance-praktijk. Wij leveren die meting als losse opdracht of als doorlopende DBA-service.
Verwant: Interim SQL DBA, SQL Server security audit.