Ruben TalmanRuben Talman

Hoe weet je zeker dat je klaar bent voor NIS2?

02 juli 08:00
6 min.
Op deze pagina
Op deze pagina

De NIS2-richtlijn is voor veel organisaties een flinke uitdaging. De regels zijn complex, de deadlines zijn concreet en de gevolgen van niet-naleving zijn serieus. Toch weten veel bedrijven nog niet precies waar ze staan. In dit stappenplan ontdek je hoe je systematisch controleert of je klaar bent voor NIS2, wat je al goed hebt geregeld en waar je nog actie moet ondernemen.

De Cyberbeveiligingswet, de Nederlandse vertaling van de NIS2-cybersecurityrichtlijn, treedt naar verwachting in het tweede kwartaal van 2026 in werking. Dat betekent dat de tijd om je voor te bereiden beperkt is. Doorloop de stappen hieronder om een helder beeld te krijgen van je huidige situatie.

Wat je op orde moet hebben vóór de NIS2-check

Voordat je begint met de eigenlijke NIS2-check, is het slim om een aantal basiszaken klaar te hebben liggen. Zo verloopt de beoordeling sneller en nauwkeuriger. Denk aan documentatie over je huidige IT-omgeving, een overzicht van je leveranciers en een lijst van de systemen en data die je organisatie gebruikt.

Zorg dat je de volgende informatie beschikbaar hebt:

  • Een actueel overzicht van alle systemen, netwerken en applicaties die je gebruikt
  • Een lijst van externe leveranciers en dienstverleners met toegang tot je systemen of data
  • Bestaande beveiligingsdocumentatie, zoals een informatiebeveiligingsbeleid of risicoanalyse
  • Contactgegevens van de persoon of het team dat verantwoordelijk is voor IT en beveiliging
  • Eventuele eerdere auditresultaten of incidentrapportages

Met deze informatie bij de hand kun je de volgende stappen snel en volledig doorlopen. Heb je dit nog niet op orde? Begin dan eerst met het verzamelen van deze basisinformatie. Dat is op zichzelf al een waardevolle eerste stap richting betere IT-beveiliging.

Bepaal of jouw organisatie onder NIS2 valt

Niet elke organisatie valt automatisch onder de NIS2-verplichting. De richtlijn maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten, en kijkt daarbij naar de sector waarin je actief bent en de omvang van je organisatie.

  1. Controleer of jouw sector op de NIS2-lijst staat. Kritieke sectoren zijn onder andere ICT-dienstverlening, energie, gezondheidszorg, transport, financiën en drinkwater.
  2. Kijk naar de omvang van je organisatie. Bedrijven met meer dan 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro in een aangewezen sector vallen doorgaans onder de richtlijn.
  3. Beoordeel ook je indirecte positie in de keten. Lever jij diensten aan organisaties die wél onder NIS2 vallen? Dan kunnen zij eisen stellen aan jouw beveiligingsniveau, ook als jij zelf formeel buiten de scope valt.

Na deze stap weet je of je een directe NIS2-verplichting hebt of dat je indirect te maken krijgt met de eisen via klanten of opdrachtgevers. In beide gevallen loont het om je beveiliging serieus te nemen. Ga verder met de volgende stap als je hebt vastgesteld dat jouw organisatie onder de richtlijn valt.

Toets je huidige beveiligingsmaatregelen aan NIS2-eisen

Nu je weet dat NIS2 op jou van toepassing is, breng je in kaart hoe je huidige IT-beveiliging voor MKB zich verhoudt tot de concrete eisen van de richtlijn. NIS2 schrijft voor dat organisaties passende technische en organisatorische maatregelen treffen om risico’s te beheersen.

Controleer per onderdeel of je dit al hebt ingericht:

  • Multifactorauthenticatie (MFA): Is MFA ingeschakeld voor alle medewerkers, zeker voor toegang tot gevoelige systemen?
  • Patchbeheer en updates: Worden software en systemen regelmatig en tijdig bijgewerkt? Een gestructureerd proces voor monitoring en updates is hierbij essentieel.
  • Toegangsbeleid: Hebben medewerkers alleen toegang tot de systemen en data die ze nodig hebben voor hun werk?
  • Encryptie: Worden gevoelige data versleuteld opgeslagen en verstuurd?
  • Back-ups en herstelplannen: Zijn er regelmatige back-ups en is er een gedocumenteerd herstelplan voor een incident?
  • Bewustwording en training: Zijn medewerkers getraind in het herkennen van phishing en andere dreigingen?

Noteer voor elk punt of dit al volledig is ingericht, gedeeltelijk aanwezig is of nog ontbreekt. Dit geeft je een eerste beeld van je compliance-status en vormt de basis voor de volgende stap.

Controleer je meldplicht en governancestructuur

Een onderdeel van NIS2 dat veel organisaties onderschatten, is de meldplicht en de bijbehorende governancestructuur. De richtlijn stelt niet alleen eisen aan je technische beveiliging, maar ook aan hoe je organisatie omgaat met incidenten en wie daarvoor verantwoordelijk is.

  1. Stel vast wie binnen jouw organisatie eindverantwoordelijk is voor informatiebeveiliging. NIS2 stelt dat bestuurders persoonlijk aansprakelijk kunnen worden gesteld bij niet-naleving.
  2. Controleer of je een gedocumenteerde procedure hebt voor het detecteren en intern escaleren van beveiligingsincidenten.
  3. Verifieer of je weet bij welke toezichthouder je een melding moet doen en binnen welke termijn. Onder NIS2 geldt een meldplicht van 24 uur na het ontdekken van een significant incident.
  4. Bekijk of je leverancierscontracten afspraken bevatten over beveiliging en incidentmelding. Ketenverantwoordelijkheid is een expliciet onderdeel van de NIS2-vereisten.

Na deze stap weet je of je governance en meldprocessen op orde zijn. Een veelgemaakte fout is dat organisaties wel technische maatregelen treffen, maar de organisatorische kant vergeten. Beide zijn nodig voor volledige NIS2-compliance.

Stel vast waar de resterende compliance-gaps zitten

Je hebt nu een overzicht van je beveiligingsmaatregelen en je governancestructuur. De laatste stap is het samenbrengen van alle bevindingen tot een helder beeld van de resterende compliance-gaps. Zo weet je precies wat er nog moet gebeuren om klaar te zijn voor de NIS2-richtlijn.

  1. Zet alle bevindingen uit de vorige stappen op een rij, geordend op prioriteit. Wat ontbreekt volledig? Wat is gedeeltelijk aanwezig maar nog niet voldoende?
  2. Koppel aan elk ontbrekend onderdeel een concrete actie, een verantwoordelijke persoon en een realistische deadline.
  3. Bepaal welke gaps het grootste risico vormen en pak die als eerste aan. Denk daarbij aan ontbrekende MFA, ongedocumenteerde processen of ontbrekende back-upprocedures.

Het resultaat van deze stap is een praktisch actieplan waarmee je gericht aan de slag kunt. Een handige manier om dit te structureren is via een NIS2-checklist die je stap voor stap afwerkt. Zo houd je overzicht en kun je aantonen dat je aantoonbaar bezig bent met naleving, wat steeds vaker gevraagd wordt in contracten en aanbestedingen.

Hoe IT Aanspreekpunt helpt met NIS2-compliance

NIS2 is een serieuze verplichting, maar je hoeft het niet alleen te doen. Wij helpen MKB-bedrijven in heel Nederland om hun digitale beveiliging op orde te brengen en aantoonbaar te voldoen aan de NIS2-eisen. Als Microsoft 365-beveiligingsspecialist hebben we de kennis en tools om je snel en effectief te ondersteunen.

Wat we voor je doen:

  • Een heldere NIS2-gapanalyse van je huidige situatie
  • Implementatie van MFA, toegangsbeleid en encryptie via Microsoft 365 en Microsoft Intune
  • Opzetten van patchbeheer en continue monitoring van je systemen
  • Begeleiding bij het opstellen van een incidentmeldprocedure en governancedocumentatie
  • Ondersteuning bij ISO 27001-begeleiding als je ook op dat vlak wilt groeien
  • Volledige ICT-ontzorging zodat jij je kunt focussen op je bedrijf

Wil je weten waar jouw organisatie staat en wat er nog nodig is? Neem contact met ons op voor een vrijblijvend gesprek. We denken graag met je mee.

Ruben Talman

Ik help je
graag verder

Neem contact op

Bel mij terug

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Hoe kunnen we je helpen?

Neem vrijblijvend contact met ons op en ontdek hoe wij jouw IT zorgen wegnemen.

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

0532032153Mail ons