Metalen kompas naast een leeg checklist-formulier op wit bureau, zacht ochtendlicht, kantoromgeving op de achtergrond.

Waar begin je als je organisatie nog niets heeft geregeld voor NIS2?

/in /door

Als je organisatie nog niets heeft geregeld voor NIS2, begin je het best met een eerlijke nulmeting: breng in kaart of je onder de richtlijn valt, welke verplichtingen voor jou gelden en waar de grootste gaten zitten. Dat klinkt overweldigend, maar de praktijk is overzichtelijker dan veel organisaties denken. In dit artikel beantwoorden we de meest gestelde vragen over NIS2, zodat je weet waar je staat en hoe je de eerste stap zet.

Welke organisaties vallen eigenlijk onder de NIS2-richtlijn?

De NIS2-richtlijn geldt voor organisaties in sectoren die als kritiek of belangrijk worden beschouwd voor de samenleving. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. Of jouw organisatie onder de wet valt, hangt af van je sector en je omvang.

De richtlijn maakt onderscheid tussen twee categorieën:

  • Essentiële entiteiten: grote organisaties in sectoren zoals energie, transport, gezondheidszorg, drinkwater en digitale infrastructuur.
  • Belangrijke entiteiten: middelgrote organisaties in sectoren zoals ICT-dienstverlening, voedselproductie, logistiek, financiële dienstverlening en overheidsnabije instellingen.

Als vuistregel geldt: organisaties met meer dan 50 medewerkers of een jaaromzet boven de 10 miljoen euro in een aangewezen sector vallen hoogstwaarschijnlijk binnen de scope. Maar ook kleinere organisaties die onderdeel zijn van de toeleveringsketen van een NIS2-plichtige partij, kunnen te maken krijgen met contractuele eisen op het gebied van cybersecurity. Twijfel je of jouw organisatie in scope valt? Dan is dat op zichzelf al een signaal om actie te ondernemen.

Wat zijn de concrete verplichtingen die NIS2 oplegt?

NIS2 legt organisaties vier hoofdverplichtingen op: een zorgplicht voor risicobeheer, een meldplicht bij beveiligingsincidenten, een registratieplicht bij de bevoegde autoriteit, en een toezichtverplichting waarbij bestuurders persoonlijk aansprakelijk zijn voor naleving. Dit zijn geen papieren verplichtingen, maar actieve eisen die aantoonbaar moeten worden nageleefd.

Concreet betekent dit dat je als organisatie onder andere het volgende moet regelen:

  • Een actuele risicoanalyse van je digitale omgeving
  • Technische en organisatorische maatregelen zoals multifactorauthenticatie, encryptie en patchbeheer
  • Een incident response plan waarmee je snel kunt handelen bij een cyberaanval of datalek
  • Ketenbeveiliging: aantoonbaar toezicht op de cybersecurity van leveranciers en partners
  • Bewustwording en aantoonbare training van bestuurders en medewerkers
  • Tijdige melding van significante incidenten bij de bevoegde autoriteit, doorgaans binnen 24 uur voor een eerste melding

Wat NIS2 onderscheidt van eerdere wetgeving, is de nadruk op bestuurlijke verantwoordelijkheid. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld als blijkt dat zij onvoldoende toezicht hebben gehouden op de cyberweerbaarheid van hun organisatie. Dat maakt NIS2-compliance niet alleen een IT-vraagstuk, maar een strategische prioriteit.

Hoe voer je een nulmeting uit voor NIS2?

Een NIS2-nulmeting breng je in kaart door je huidige beveiligingssituatie te toetsen aan de verplichtingen uit de richtlijn. Je kijkt daarbij naar drie lagen: technische maatregelen, organisatorische processen en bestuurlijk bewustzijn. Het resultaat is een helder beeld van wat al geregeld is en waar de prioriteiten liggen.

Een praktische aanpak voor de nulmeting ziet er als volgt uit:

  1. Bepaal of je in scope bent: Controleer aan de hand van je sector en omvang of je als essentiële of belangrijke entiteit kwalificeert.
  2. Inventariseer je huidige maatregelen: Welke technische beveiligingsmaatregelen zijn al actief? Denk aan firewalls, toegangsbeheer, back-ups en monitoring.
  3. Beoordeel je processen: Zijn er gedocumenteerde procedures voor incidentrespons, patchbeheer en leveranciersbeheer?
  4. Toets bestuurlijk bewustzijn: Begrijpen bestuurders en het MT hun rol en aansprakelijkheid onder de Cyberbeveiligingswet?
  5. Stel een prioriteitenlijst op: Welke gaten zijn het meest urgent om te dichten, gezien de risico’s en de verwachte inwerkingtreding van de wet?

Een nulmeting hoeft niet perfect te zijn om waardevol te zijn. Zelfs een globale inventarisatie geeft je genoeg inzicht om gerichte keuzes te maken en een realistisch stappenplan op te stellen.

Waar begin je als de achterstand groot is?

Als je achterstand groot is, begin je met de maatregelen die het meeste risico wegnemen en tegelijkertijd de basis vormen voor verdere compliance. Dat zijn doorgaans: sterke toegangsbeveiliging, een werkend back-upsysteem en een basisproces voor incidentmelding. Daarna bouw je stap voor stap verder.

Een grote achterstand voelt ontmoedigend, maar NIS2 vraagt geen perfectie op dag één. Wat het wel vraagt, is aantoonbare voortgang en een serieuze aanpak. De volgende prioritering helpt je om gestructureerd te beginnen:

  • Stap 1 – Zet de basis op orde: Multifactorauthenticatie, sterk wachtwoordbeleid en actuele software-updates zijn laaghangend fruit met grote impact.
  • Stap 2 – Regel je back-ups en herstelplan: Zorg dat je kritieke data regelmatig wordt geback-upt en dat je weet hoe je systemen herstelt na een incident.
  • Stap 3 – Documenteer wat je doet: NIS2 vereist aantoonbaarheid. Leg maatregelen, besluiten en incidenten schriftelijk vast.
  • Stap 4 – Train je bestuur: Bestuurders moeten aantoonbaar kennis hebben van cyberrisico’s. Plan een training in voordat de wet van kracht is.
  • Stap 5 – Betrek je leveranciers: Breng in kaart welke partijen toegang hebben tot jouw systemen en stel minimale beveiligingseisen.

Kleine stappen in begrijpelijke taal zijn effectiever dan een groot project dat strandt op complexiteit. Prioriteer op risico, niet op volledigheid.

Welke rol speelt de IT-partner bij NIS2-compliance?

Een IT-partner speelt een centrale rol bij NIS2-compliance door technische maatregelen te implementeren, je beveiligingssituatie te monitoren en je te begeleiden bij het aantoonbaar voldoen aan de verplichtingen. Omdat NIS2 zowel technische als organisatorische eisen stelt, is een partner die beide domeinen begrijpt van grote waarde.

Concreet kan een IT-partner je ondersteunen bij:

  • Het uitvoeren van een nulmeting en het opstellen van een NIS2-stappenplan
  • De technische implementatie van beveiligingsmaatregelen binnen je bestaande infrastructuur
  • Het inrichten van monitoring en alerting, zodat incidenten snel worden gesignaleerd
  • Het documenteren van maatregelen en processen voor aantoonbaarheid richting toezichthouders
  • Bestuurders- en medewerkerstrainingen om bewustwording te borgen

Belangrijk aandachtspunt: je IT-partner valt zelf ook onder de NIS2-richtlijn als ICT-dienstverlener. Dat betekent dat een goede partner niet alleen jouw compliance ondersteunt, maar ook zelf aantoonbaar voldoet aan de eisen. Vraag daar actief naar. Een partner die ICT-beheer en ondersteuning biedt en zelf NIS2-compliant is, geeft je extra zekerheid over de veiligheid van je keten.

Wat gebeurt er als je niet voldoet aan NIS2?

Als je niet voldoet aan de NIS2-verplichtingen, riskeer je bestuurlijke boetes, aanwijzingen van de toezichthouder en in ernstige gevallen persoonlijke aansprakelijkheid van bestuurders. De hoogte van de boetes verschilt per categorie: voor essentiële entiteiten kan dit oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, voor belangrijke entiteiten tot 7 miljoen euro of 1,4% van de omzet.

Naast financiële sancties zijn er nog andere consequenties om rekening mee te houden:

  • Reputatieschade: Toezichthouders kunnen besluiten overtredingen openbaar te maken, wat directe gevolgen heeft voor klantvertrouwen en marktpositie.
  • Operationele maatregelen: De toezichthouder kan organisaties verplichten om specifieke maatregelen te treffen binnen een vastgestelde termijn.
  • Persoonlijke aansprakelijkheid: Bestuurders kunnen individueel aansprakelijk worden gesteld als zij aantoonbaar hebben nagelaten toezicht te houden op cybersecurity.
  • Ketenrisico: Klanten en opdrachtgevers die zelf NIS2-plichtig zijn, kunnen eisen dat jij als leverancier aantoonbaar voldoet. Doe je dat niet, dan loop je het risico contracten te verliezen.

De kern van de boodschap is: niet voldoen aan de cybersecuritywetgeving is geen administratief risico, maar een strategisch risico dat raakt aan continuïteit, reputatie en bestuurlijke controle tegelijk.

Hoe Puur ICT helpt met NIS2-compliance

Wij begrijpen dat NIS2 voor veel organisaties een complexe opgave is, zeker als je nog weinig hebt geregeld. Als Microsoft 365-specialist en ISO 9001-gecertificeerde ICT-dienstverlener helpen wij je stap voor stap naar aantoonbare naleving, in begrijpelijke taal en met een persoonlijke aanpak.

Wat wij voor je doen:

  • Nulmeting (Digicheck): We brengen je huidige beveiligingssituatie in kaart en bepalen samen waar de prioriteiten liggen.
  • Technische implementatie: We implementeren de juiste beveiligingsmaatregelen binnen het Microsoft-ecosysteem, van toegangsbeheer en monitoring tot ketenbeveiliging.
  • Bestuurderstraining: We verzorgen een interactieve training voor bestuurders en MT, zodat zij aantoonbaar voldoen aan de opleidingsplicht uit de Cyberbeveiligingswet.
  • Doorlopend beheer en rapportage: Na implementatie blijven we actief betrokken als vertrouwde partner die proactief meedenkt en je op de hoogte houdt van relevante ontwikkelingen.
  • Documentatie en aantoonbaarheid: We helpen je de juiste processen en bewijslast op te bouwen, zodat je bij een toezichtcontrole kunt aantonen wat je hebt gedaan en waarom.

Je hoeft NIS2 niet alleen op te lossen. Neem contact op met Puur ICT en ontdek hoe wij jouw organisatie op een pragmatische manier naar volledige compliance begeleiden.

Gerelateerde artikelen

Misschien ook iets voor u
Stapel compliance-documenten naast laptop met beveiligingsdashboard, calculator en euromunten op modern bureau.Wat kost NIS2-compliance gemiddeld voor een middelgrote organisatie?
Moderne laptop op een opgeruimd bureau met draadloze muis, kabels en een succulent in zacht daglicht.Hoe moderniseer je de digitale werkplek van je organisatie zonder alles overhoop te gooien?
IT-beveiligingsprofessional bekijkt crisisrespons-checklist op laptop, rood alarmlicht op gezicht, collega's op achtergrond.Hoe stel je een crisisorganisatie in voor een cyberincident?
Gehandschoende handen die een beschadigd serverrek herstellen in een modern datacenter met blauw en amber licht.Wat is een goede strategie om je organisatie snel te laten herstellen na een cyberaanval?
Kantoormedewerker bij laptop met fysiek hangslot en toegangspas op toetsenbord, symboliseert digitale beveiliging op de werkvloer.Hoe zorg je dat iedereen in je organisatie bewust omgaat met digitale veiligheid?
Onbeheerde laptop met gevoelige documenten op scherm in modern kantoor, koffiekopje op bureau, natuurlijk raamlicht.Hoe voorkom je dat medewerkers onbewust de beveiliging van je organisatie in gevaar brengen?
Hand die een gloeiende blauwe bevestigingsknop op een laptop indrukt, naast een compliance-checklist en beveiligingsbadge op een wit bureau.Hoe registreer je je organisatie voor de Cyberbeveiligingswet?
Open compliance-dossier met auditchecklist op modern bureau, laptop op achtergrond met beveiligingsdashboard, kantooromgeving met natuurlijk licht.Hoe maak je NIS2-compliance aantoonbaar richting toezichthouders?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden