Artikel

NIS2 en documentbeheer: zeven concrete eisen voor uw DMS

22 april 2026

Sinds 17 oktober 2024 is de NIS2-richtlijn van kracht in België, omgezet via de Wet van 26 april 2024. Voor CISO's, DPO's en compliance officers betekent dit een directe toets op elk systeem dat bedrijfskritieke gegevens beheert. Een documentbeheersysteem staat vaak centraal in die toets: het bevat contracten, klantgegevens, intellectueel eigendom en strategische documenten. Een beveiligingsincident via het DMS is in de praktijk een incident voor de hele organisatie.

NIS2 onderscheidt essentiële en belangrijke entiteiten, met een bredere scope dan zijn voorganger. De sancties zijn navenant: boetes tot 10 miljoen euro of 2% van de wereldwijde omzet, en bestuurders kunnen persoonlijk aansprakelijk worden gesteld. Dat maakt de technische en organisatorische inrichting van uw DMS geen IT-vraagstuk alleen.

Zeven checkpunten bepalen of uw DMS NIS2-gereed is. Ten eerste: identity en access management met MFA, SSO, rolgebaseerde toegang en het least-privilege principe. Ten tweede: encryptie, minimaal AES-256 at rest en TLS 1.3 in transit, met aantoonbare key rotation. Ten derde: auditlogging die immutabel en tamper-evident is, minimaal twee jaar bewaard en exporteerbaar naar een SIEM. Ten vierde: anomaliedetectie op afwijkend gedrag zoals massale downloads of toegang buiten kantooruren. Ten vijfde: aantoonbare backup- en disaster recovery-procedures met gedefinieerde RTO- en RPO-waarden die periodiek getest worden. Ten zesde: supply chain security, inclusief vendor assessments, een beschikbaar SBOM en een gepubliceerd vulnerability disclosure beleid. Ten zevende: geautomatiseerde retention- en deletiebeleid zonder afhankelijkheid van handmatige stappen.

Bij de evaluatie van een DMS-leverancier stelt u best een aantal gerichte vragen. Beschikt de leverancier over een ISO 27001- of SOC 2 Type II-certificering? Is er een recent, onafhankelijk penetratietestrapport beschikbaar? Bestaat er een data processing agreement conform GDPR artikel 28? Is er een escrow-regeling voorzien bij faillissement? En biedt de leverancier een on-premise optie voor organisaties waarvoor cloud geen mogelijkheid is, bijvoorbeeld bij kritieke overheidstaken?

iGuana iDM v7 is ontworpen met deze vereisten als uitgangspunt. Het platform gebruikt JWT-authenticatie met short-lived tokens en een Zero Trust architectuur. Encryptie is standaard AES-256 at rest en TLS 1.3 in transit. Elk record beschikt over een auditlog die exporteerbaar is naar externe SIEM-platformen. WORM-opslag garandeert onveranderlijke archivering. On-premise deployment is een standaardoptie, geen meerprijs. Een gedetailleerde technische beschrijving van de NIS2-aanpak in iGuana iDM v7 leest u op /insights/nis2-v7.

Eén nuance verdient extra aandacht: NIS2-compliant zijn is geen productfeature die u aanvinkt. Technische capaciteiten zijn noodzakelijk maar niet voldoende. De organisatie, de processen en de training van medewerkers moeten even goed kloppen. Een DMS dat alle technische vinkjes haalt maar in een organisatie zonder incidentprocedures draait, voldoet niet aan de geest van de wet.

Wilt u uw DMS toetsen aan uw specifieke NIS2-vereisten? Vraag een demo aan of download de referentie-whitepaper via /nl/contact.

Klaar voor digitale transformatie?

Met meer dan 30 jaar ervaring helpen wij toonaangevende organisaties in de zorg, financiele sector en overheid met hun digitale transformatie.