Ruben TalmanRuben Talman

Hoe bewijs je aan een toezichthouder dat je NIS2-compliant bent?

21 juni 08:00
7 min.
Op deze pagina
Op deze pagina

Als je organisatie onder de NIS2-richtlijn valt, is het niet genoeg om beveiligingsmaatregelen te treffen. Je moet ook kunnen aantonen dat je die maatregelen hebt getroffen. Een toezichthouder die bij je aanklopt, wil bewijs zien: concrete documentatie, aantoonbare processen en een dossier dat laat zien dat jij NIS2 serieus neemt. In Nederland treedt de Cyberbeveiligingswet naar verwachting in het tweede kwartaal van 2026 in werking, dus de tijd om je voor te bereiden is nu.

In deze gids lees je stap voor stap hoe je jouw NIS2 compliance-bewijs opbouwt, zodat je bij een audit van de toezichthouder goed voorbereid bent. Van risicoanalyse tot incidentregistratie: dit is wat je op orde moet hebben.

Wat je op orde moet hebben vóór de audit

Voordat je begint met documenteren, is het belangrijk om te weten wat een toezichthouder precies verwacht onder NIS2. De richtlijn draait om drie pijlers: risicobeheer, technische beveiliging en incidentmelding. Je dossier moet op alle drie aantoonbaar zijn. Zorg dat je de volgende basisonderdelen al hebt geregeld voordat je gaat documenteren:

  • Een vastgesteld beveiligingsbeleid dat is goedgekeurd door het management
  • Duidelijkheid over welke systemen en processen binnen de scope van NIS2 vallen
  • Een verantwoordelijke persoon of team voor informatiebeveiliging
  • Toegang tot logbestanden, configuraties en eerdere incidentrapportages
  • Een overzicht van je toeleveranciers en hun beveiligingsniveau (ketenverantwoordelijkheid)

Controleer ook of je organisatie actief is in een kritieke sector, zoals ICT-dienstverlening, energie, gezondheidszorg of transport. Is dat het geval, dan val je waarschijnlijk onder de wet en gelden de verplichtingen volledig. Heb je dit overzicht helder, dan kun je verder met de volgende stappen.

Breng je risicoanalyse schriftelijk in kaart

Een risicoanalyse is de basis van je NIS2 documentatie. Zonder schriftelijk vastgelegde analyse heeft een toezichthouder geen bewijs dat je risico’s serieus hebt beoordeeld. Het gaat er niet om dat je nul risico’s hebt, maar dat je ze kent, beoordeelt en beheert.

  1. Maak een overzicht van alle systemen, applicaties en gegevens die kritiek zijn voor je bedrijfsvoering.
  2. Beschrijf per onderdeel welke dreigingen er bestaan, zoals ransomware, datalekken of uitval van systemen.
  3. Ken aan elke dreiging een risicoscore toe op basis van kans en impact.
  4. Beschrijf welke maatregelen je hebt genomen om elk risico te beheersen of te verkleinen.
  5. Leg vast wie de analyse heeft uitgevoerd, op welke datum, en wanneer de volgende evaluatie plaatsvindt.

Na deze stap heb je een gedateerd document dat aantoont dat je organisatie risico’s structureel in kaart brengt. Sla dit op in een centrale locatie die toegankelijk is voor de persoon die het dossier beheert. Voor ICT beveiliging voor MKB is dit vaak de eerste stap die ontbreekt, terwijl het de fundering is van je hele NIS2-dossier.

Leg technische beveiligingsmaatregelen vast

Technische maatregelen zijn het hart van NIS2 compliance. Je moet niet alleen maatregelen hebben getroffen, maar ook kunnen bewijzen welke maatregelen, wanneer ze zijn ingevoerd en hoe ze worden onderhouden. Denk aan zaken als multifactorauthenticatie (MFA), patchbeheer, encryptie en toegangsbeleid.

  1. Maak een overzicht van alle technische beveiligingsmaatregelen die actief zijn binnen je organisatie.
  2. Leg per maatregel vast: wat het is, waarom het is ingevoerd, wie verantwoordelijk is en hoe het wordt gecontroleerd.
  3. Voeg configuratieschermen, beleidsregels of rapportages toe als bijlage, zodat je bewijs concreet is.
  4. Documenteer je patchbeleid: hoe vaak worden updates uitgerold en wie bewaakt dit proces?
  5. Beschrijf je toegangsbeheer: wie heeft toegang tot welke systemen en hoe wordt dit gecontroleerd?

Gebruik tools zoals Microsoft 365 beveiliging of Microsoft Intune om beveiligingsinstellingen centraal te beheren en automatisch te rapporteren. Zo heb je altijd actuele documentatie beschikbaar zonder dat je alles handmatig bij hoeft te houden. Controleer na het vastleggen of elk document een datum en versienummer heeft, zodat de toezichthouder ziet dat je dit actief bijhoudt.

Documenteer incidenten en herstelprocessen

NIS2 verplicht je om significante incidenten binnen 24 uur te melden bij de bevoegde toezichthouder. Maar ook kleinere incidenten die je intern hebt afgehandeld, moeten zijn vastgelegd. Een toezichthouder wil zien dat je een werkend incidentproces hebt, niet alleen dat er nooit iets is misgegaan.

  1. Stel een incidentregister op dat je bijhoudt voor elk beveiligingsincident, hoe klein ook.
  2. Noteer per incident: datum, omschrijving, getroffen systemen, oorzaak, genomen maatregelen en herstelstap.
  3. Leg vast wie het incident heeft ontdekt, wie het heeft afgehandeld en wanneer het was opgelost.
  4. Beschrijf je meldprocedure: wie beslist of een incident meldingsplichtig is en hoe de melding verloopt?
  5. Voeg eventuele communicatie met de toezichthouder of betrokken partijen toe als bijlage.

Als je nog nooit een incident hebt gehad, documenteer dan toch je procedure. Een toezichthouder wil weten dat je klaar bent om te reageren, niet alleen dat je geluk hebt gehad. Met monitoring en updates kun je incidenten vroegtijdig signaleren en je responstijd verkorten. Controleer of je procedure aansluit op de wettelijke meldtermijn van 24 uur voor ernstige incidenten.

Stel een compliancedossier samen voor de toezichthouder

Met je risicoanalyse, technische documentatie en incidentregistratie heb je de bouwstenen voor je NIS2 bewijs. Nu is het tijd om alles samen te brengen in één gestructureerd compliancedossier. Dit dossier is wat je bij een audit aan de toezichthouder overhandigt.

  1. Maak een inhoudsopgave met alle documenten die in het dossier zitten, inclusief versienummer en datum.
  2. Voeg een managementverklaring toe waarin het bestuur bevestigt dat het beveiligingsbeleid is goedgekeurd en actief wordt nageleefd.
  3. Bundel de risicoanalyse, het beveiligingsbeleid, de technische maatregelenlijst en het incidentregister.
  4. Voeg bewijs toe van trainingen of bewustwordingsactiviteiten voor medewerkers.
  5. Sluit af met een overzicht van geplande verbeteringen en de datum van de volgende interne beoordeling.

Sla het dossier op in een beveiligde, centraal toegankelijke omgeving, bijvoorbeeld via SharePoint Online. Zo is het altijd beschikbaar en kun je snel schakelen als een toezichthouder om informatie vraagt. Controleer of het dossier volledig is door de checklist van de toezichthouder of de Cyberbeveiligingswet als leidraad te gebruiken.

Houd je NIS2-bewijs actueel na de eerste audit

NIS2 compliance is geen eenmalige klus. Een toezichthouder verwacht dat je beveiliging en documentatie continu worden bijgehouden. Na de eerste audit begint het eigenlijke werk: zorgen dat je dossier actueel blijft en aansluit op veranderende risico’s en technologie.

  1. Plan minimaal één keer per jaar een interne beoordeling van je risicoanalyse en beveiligingsmaatregelen.
  2. Stel een kalender in voor het updaten van je documentatie na elke wijziging in systemen, processen of personeel.
  3. Zorg dat nieuwe medewerkers worden ingelicht over het beveiligingsbeleid en dat dit wordt geregistreerd.
  4. Volg updates van de toezichthouder en pas je dossier aan als de wetgeving of richtlijnen veranderen.
  5. Voer periodieke tests uit, zoals phishingsimulaties of hersteltests na back-ups, en documenteer de resultaten.

Bedrijven die NIS2 MKB-proof willen blijven, hebben baat bij een vaste structuur voor dit onderhoud. Overweeg om dit proces te borgen via een raamwerk zoals ISO 27001, dat goed aansluit op de NIS2-vereisten en je documentatie verder versterkt. Controleer na elke jaarlijkse review of het dossier nog steeds volledig en actueel is voor een eventuele vervolgaudit.

Hoe IT Aanspreekpunt helpt met NIS2 compliance

NIS2 compliant worden en dat ook kunnen bewijzen aan een toezichthouder vraagt tijd, kennis en de juiste tools. Wij helpen MKB-bedrijven om dit traject gestructureerd en zonder gedoe te doorlopen. Als Microsoft 365-specialist en SharePoint Online-expert beschikken wij over de kennis om jouw digitale beveiliging op orde te brengen en te documenteren.

Wat wij voor je doen:

  • Uitvoeren en vastleggen van een volledige risicoanalyse
  • Implementeren van technische beveiligingsmaatregelen zoals MFA, encryptie en patchbeheer
  • Opzetten van een incidentregistratieproces en meldprocedure
  • Samenstellen van een gestructureerd NIS2-compliancedossier
  • Periodiek bijhouden en actualiseren van je documentatie
  • Volledig totale ICT-ontzorging zodat jij je kunt focussen op je kernactiviteiten

Wil je weten hoe jouw organisatie er nu voor staat en wat er nog nodig is om NIS2-compliant te zijn? Neem contact met ons op voor een vrijblijvend gesprek. We denken graag met je mee.

Ruben Talman

Ik help je
graag verder

Neem contact op

Bel mij terug

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Hoe kunnen we je helpen?

Neem vrijblijvend contact met ons op en ontdek hoe wij jouw IT zorgen wegnemen.

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

0532032153Mail ons