Veel organisaties verkeren in de veronderstelling dat zij hun toegangsbeveiliging op orde hebben zodra Multi-Factor Authenticatie (MFA) is geactiveerd. In de context van de verscherpte NIS2-wetgeving in 2026 is die aanname echter een aanzienlijk bedrijfsrisico geworden. Toezichthouders nemen geen genoegen meer met schijnveiligheid. De grens is opgeschoven: een zwakke MFA-implementatie geldt inmiddels als een direct compliance-risico dat kan leiden tot forse sancties.

Wat kwalificeert tegenwoordig als een 'zwakke' implementatie? Dit zijn de methodes die door moderne dreigingsactoren structureel en relatief eenvoudig worden omzeild:

• MFA via SMS: Deze methode is zeer kwetsbaar voor SIM-swapping en het onderscheppen van onbeveiligde berichten via het telecomnetwerk. Zodra een aanvaller het mobiele nummer overneemt of de berichten onderschept, ontvangt deze direct de inlogcodes.
  
  
• Standaard Push-notificaties: Dit leidt in de praktijk vaak tot 'MFA Fatigue' of 'Prompt Bombing'. Aanvallers overspoelen het slachtoffer, vaak buiten kantooruren, met inlogverzoeken. Het doel is dat de gebruiker uit frustratie, vermoeidheid of per ongeluk op 'Accepteren' drukt, waarna de hacker direct toegang heeft.
  
  
• Standaard 6-cijferige Authenticator Apps: Hoewel deze veiliger zijn dan SMS, zijn deze codes niet bestand tegen geavanceerde Adversary-in-the-Middle (AiTM) phishing. Hackers lokken gebruikers naar een perfect nagemaakte inlogpagina. Zodra de gebruiker de code intypt, steelt de hacker realtime deze code en de bijbehorende sessie-cookie. Hierdoor is de aanvaller alsnog binnen, ondanks het gebruik van de app.

Wat is dan wel de standaard waaraan organisaties moeten voldoen? Om daadwerkelijk NIS2-compliant én afdoende beveiligd te zijn, is een transitie naar Phishing-Resistant MFA (phishing-bestendige MFA) noodzakelijk. Deze moderne methodes koppelen het inlogproces onlosmakelijk aan de gebruiker en het legitieme platform:

• Fysieke beveiligingssleutels (zoals FIDO2 of YubiKeys): Deze hardware controleert op cryptografisch niveau of de inlogpagina legitiem is. Zelfs als een medewerker op een geavanceerde phishinglink klikt, weigert de sleutel dienst op de nagemaakte site en blijft het account veilig.
  
  
• Passkeys: Dit maakt wachtwoordloos inloggen mogelijk via de biometrische gegevens van het apparaat (zoals een vingerafdruk of gezichtsscan). De cryptografische sleutel verlaat de hardware hierbij nooit, wat het stelen ervan door externe aanvallers vrijwel onmogelijk maakt.
  
  
• Push-notificaties met 'Number Matching': Hierbij toont het inlogscherm op de computer een getal dat de gebruiker actief moet overtypen in de authenticator-app op de telefoon. Dit neutraliseert MFA Fatigue volledig, aangezien een aanvaller op afstand het vereiste getal niet kan zien en de gebruiker de inlogpoging daardoor niet blindelings kan goedkeuren.
  
  
• De tijd van 'een simpel sms'je of een druk op de knop is voldoende' is definitief voorbij. Organisaties die onder de NIS2-richtlijn vallen of simpelweg hun bedrijfscontinuïteit willen borgen, moeten hun authenticatiebeleid kritisch evalueren en waar nodig direct moderniseren.

Lees meer over de impact van NIS2 op wachtwoorden en MFA via deze link.

-/-

Zoek je ook naar die extra security expertise om je (NIS2) doelen te realiseren? Wens je voor een tijdelijke opdracht je eigen team te versterken? We helpen jou graag. KLIK HIER ... en vraag naar de beschikbare CIVIOS collega's > om je lokaal bestuur te versterken.