Quickscan Cybersecurity
Terug naar cases & inzichten

NIS2 Checklist: stap voor stap voldoen aan de cyberbeveiligingswet

Deel deze post

Deze nis2 checklist helpt je stap-voor-stap voldoen aan de NIS2 eisen uit de aanstaande Cyberbeveiligingswet. Gebruik de bullets hieronder als startpunt om acties vast te leggen, bewijs te verzamelen en governance te borgen. Gebruik de checklist als nis2 compliance checklist voor audits, gap-analyses en managementrapportages.

NIS2 bepaling scope

Acties

  • Bepaal of je organisatie onder NIS2 valt (essentiële of belangrijke entiteit).
  • Leg scope vast: diensten, systemen, processen en locaties onder NIS2.
  • Voorzie registratie/aanmelding bij de bevoegde autoriteit.

Bewijs (bijlagen)

  • Scope-document, lijst kritieke processen/systemen, registratiedossiers.
  • Organisatieprofiel (omvang, sector, ketenpositie) en criteria onderbouwing.

Governance & bestuur

Acties

  • Wijs bestuurlijke verantwoordelijkheid toe (managementorgaan) en leg dit vast.
  • Beleg periodieke rapportage aan bestuur over risico’s, KPI’s en incidenten.
  • Voorzie bestuur van aantoonbare NIS2-kennis (training/briefings).

Bewijs (bijlagen)

  • Bestuursbesluiten, risicoanalyses, vergaderdocumentatie, managementreviews.
  • Trainingsoverzichten en aanwezigheidscertificaten voor bestuurders.

Toelichting

  • NIS2 legt expliciet verantwoordelijkheid bij het bestuur; governance moet aantoonbaar zijn.

Risicomanagement

Acties

  • Voer periodieke risicoanalyses uit (dreigingen, kwetsbaarheden, impact/waarschijnlijkheid).
  • Koppel maatregelen aan risico’s (beleid, technisch, organisatorisch).
  • Beoordeel keten- en leveranciersrisico’s expliciet.

Bewijs (bijlagen)

  • Risicomatrix, register met eigenaars, evaluatierapporten en verbeterplannen.

Toelichting

  • Risicogestuurd werken is de basis van NIS2; maatregelen volgen uit aantoonbare risico’s.

Cyberhygiëne & basismaatregelen

Acties

  • Regelmatig patch- en kwetsbaarhedenbeheer (incl. verantwoording van uitstel).
  • Standaard veilige configuraties, hardening en endpoint-beveiliging.
  • Logging en logretentie voor forensische analyse.

Bewijs (bijlagen)

  • Patchoverzichten, CVE-rapportages, config-baselines, AV/EDR-overzichten.

Toelichting

  • Basishygiëne voorkomt het merendeel van incidenten en verlaagt hersteltijd en kosten.

Authenticatie & toegangsbeheer

Acties

  • Implementeer MFA/sterke authenticatie tenminste voor beheerders en liefst voor alle online toegankelijke data / sites.
  • Pas least-privilege en periodieke hercertificatie van rechten toe.
  • Segmenteer netwerken en scheid administratieve accounts/tenants.

Bewijs (bijlagen)

  • Toegangsbeleid, rol-/rechtenmatrices, rapporten, segmentatie-schema’s.

Toelichting

  • Sterk toegangsbeheer voorkomt malafide toegang en beperkt laterale beweging en verkleint de impact van eventuele compromittering.

Encryptie & back-ups

Acties

  • Versleutel gevoelige data in rust en tijdens transport; beheer sleutels veilig.
  • Onderhoud geïsoleerde, periodiek geteste back-ups (3-2-1-regel). air-gapped backups zorgen voor grotere herstelkansen.

Bewijs (bijlagen)

  • Encryptiebeleid, sleutelbeheerprocedures, testrapporten van herstel, back-uplogs.

Leveranciers & supply chain

Acties

  • Voer security beoordelingen uit van leveranciers/dienstverleners (vooraf en periodiek).
  • Leg contractueel beveiligingseisen, audits en melding van incidenten vast.
  • Monitor naleving (rapportages, onafhankelijke attestaties/certificeringen).

Bewijs (bijlagen)

  • DPIA’s waar relevant, due-diligence dossiers, contractclausules, auditrapporten.

Toelichting

  • Ketenincidenten zijn vaak ontwrichtend; borg vastgestelde eisen bij contractering én zicht op naleving in de supply chain.

Incident response & meldplicht

Acties

  • Beschrijf en test een incident response-proces (detectie, triage, respons, herstel).
  • Borg meldplichten (termijnen, kanalen, criteria) en contactpunten.
  • Oefen scenario’s (ransomware, datalek, DDoS, leverancier-uitval).

Bewijs (bijlagen)

  • Incident Responseplan, draaiboeken, incidentrapportages etc.

Continuïteit & herstel (BC/DR)

Acties

  • Definieer RTO/RPO, noodvoorzieningen en fallback-processen voor kritieke diensten.
  • Test regelmatig op scenario’s (site-uitval, cloud-storing, OT-storing).

Bewijs (bijlagen)

  • BC/DR-plannen, testrapporten, lessons-learned, investeringsbesluiten m.b.t. redundantie.

Toelichting

  • Continuïteit is een kernuitkomst van NIS2: sneller herstel vermindert zakelijke én maatschappelijke impact.

Monitoring, audit & evaluatie

Acties

  • Implementeer monitoring/telemetrie, SIEM/SOC waar passend, en drempelwaarden.
  • Plan interne audits en managementreviews; leg verbeteracties vast en volg ze op.

Bewijs (bijlagen)

  • Logboeken, auditrapporten, KPI/KRI-dashboards, verbeterregister met status.

Toelichting

  • ‘Aantoonbaarheid’ is essentieel: zonder meetpunten en reviews is naleving moeilijk te bewijzen.

Bewustwording & training

Acties

  • Rol een doorlopend security awareness programma uit (medewerkers én bestuur).
  • Simuleer relevante dreigingen (phishing, social engineering) met feedback en herhaling.

Bewijs (bijlagen)

  • Trainingskalender, content, deelname-registraties, simulatie-resultaten en verbeteracties.

Toelichting

  • Mensen blijven cruciaal in weerbaarheid; training verlaagt kans op incidenten significant.

Technische maatregelen & netwerkbeveiliging

Acties

  • Pas netwerksegmentatie, firewalls, IDS/IPS, EDR en e-mailbeveiliging toe waar passend.
  • Beheer kwetsbaarheden (scans, prioritering, remediation) en security audits volgens beleid.

Bewijs (bijlagen)

  • Netwerkdiagrammen, changelogs, scanrapporten, auditrapporten, acceptatiecriteria.

Toelichting

  • Technische controls moeten aantoonbaar aansluiten op risico’s en bedrijfsdoelen.

Toezicht, compliance & rapportage

Acties

  • Stem processen af op nationale uitwerking (Cyberbeveiligingswet) en sectorale aanwijzingen.
  • Bereid rapportage aan toezichthouders voor (formaten, termijnen, verantwoordelijkheden).
  • Bepaal je route naar aantoonbaarheid (bijv. ISO 27001/ISAE/SOC als ondersteunend kader) en toets deze aan je nis2 compliance checklist.

Bewijs (bijlagen)

  • Compliance register, mapping NIS2→controls, rapportagesjablonen, certificaten/attestaties.

NIS2 checklist optimaliseren

Elke organisatie is anders—domein, ketenpositie, omvang, IT/OT-mix en risico-profiel verschillen. Zie de nis2 checklist optimaliseren als het verfijnen van een generiek startpunt naar een risicogestuurd, branche-specifiek en aantoonbaar programma.

Tip: Gebruik deze nis2 checklist als werkdocument in projecten (gap-analyse → roadmap → implementatie → auditbewijs). Je kunt dezelfde opzet inzetten als nis2 compliance checklist; voeg per bullet een eigenaar, deadline en status toe.

Begin vandaag voor een veilige online onderneming

Niet alleen voor compliance en regels, maar ook voor bedrijfszekerheid. Ontdek hoe we jouw bedrijf veilig en weerbaar maken tegen cyberrisico’s.

Quickscan Cybersecurity
Offerte aanvragen

Meer blogs

Alles wat je moet weten over cybersecurity in jouw bedrijf.

  • Incidentmanagement, Informatiebeveiliging

Wat is een cyberaanval? Betekenis, voorbeelden en hoe je ze voorkomt

Cyberaanvallen zijn echt zeldzame incidenten. Elke organisatie – groot of klein – kan getroffen..

Lees meer
  • NIS2

NIS2 Checklist: stap voor stap voldoen aan de cyberbeveiligingswet

Deze nis2 checklist helpt je stap-voor-stap voldoen aan de NIS2 eisen uit de aanstaande..

Lees meer
  • NIS2

NIS2 Boetes uitgelegd – Wat betekent de cyberbeveiligingswet voor jouw organisatie?

Bedrijven zijn volop geïnteresseerd in de NIS2 boetes. Met de Europese NIS2-richtlijn en de..

Lees meer