Beveiligingsprofessional controleert netwerkdiagram-checklist op klembord naast laptop in modern kantoor met amber verlichting.

Wat is een risicoanalyse en hoe voer je die uit voor NIS2?

/in /door

Een risicoanalyse voor NIS2 is een gestructureerde methode waarmee je de cybersecurityrisico’s van je organisatie identificeert, beoordeelt en prioriteert. Onder de NIS2-richtlijn is zo’n analyse geen vrijblijvende oefening: het is een wettelijke verplichting voor organisaties die onder de Cyberbeveiligingswet vallen. In dit artikel beantwoorden we de meest gestelde vragen over het uitvoeren van een NIS2-risicoanalyse, van de eerste stappen tot veelgemaakte fouten.

Welke risico’s moet je in kaart brengen voor NIS2?

Voor een NIS2-risicoanalyse breng je alle risico’s in kaart die de beschikbaarheid, integriteit en vertrouwelijkheid van je netwerk- en informatiesystemen kunnen bedreigen. Denk aan cyberaanvallen, menselijke fouten, technische storingen en risico’s die via leveranciers of ketenpartners binnenkomen. NIS2 kijkt nadrukkelijk verder dan alleen de eigen organisatiegrenzen.

Concreet gaat het om de volgende categorieën informatiebeveiligingsrisico’s:

  • Technische risico’s: kwetsbaarheden in software, verouderde systemen, onbeveiligde netwerken en zwakke toegangscontroles
  • Menselijke risico’s: phishing, social engineering, onbedoelde fouten van medewerkers en onvoldoende bewustzijn
  • Operationele risico’s: uitval van kritieke systemen, onvoldoende back-upbeleid en gebrekkige continuiteitsplannen
  • Ketenrisico’s: leveranciers en partners die toegang hebben tot jouw systemen of data en zelf onvoldoende beveiligd zijn
  • Fysieke risico’s: ongeautoriseerde toegang tot serverruimtes, hardwarediefstal of schade door brand of water

De NIS2-richtlijn legt bijzonder veel nadruk op ketenbeveiliging. Je bent als organisatie medeverantwoordelijk voor de digitale weerbaarheid van je toeleveranciers. Een zwakke schakel in de keten kan direct gevolgen hebben voor jouw compliance en aansprakelijkheid.

Wie is verantwoordelijk voor de NIS2-risicoanalyse binnen een organisatie?

Onder NIS2 is het bestuur eindverantwoordelijk voor de risicoanalyse en de bijbehorende maatregelen. Dit is een bewuste keuze van de wetgever: cybersecurity is geen IT-aangelegenheid meer, maar een bestuurlijke verantwoordelijkheid. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld als de organisatie aantoonbaar tekortschiet.

In de praktijk betekent dit dat de uitvoering van de risicoanalyse vaak belegd wordt bij een IT-manager, CISO of externe adviseur. Maar de goedkeuring, de prioritering van maatregelen en het beschikbaar stellen van budget liggen altijd bij de directie of het managementteam. Bestuurders moeten het gesprek over cyberrisico’s kunnen voeren op inhoudelijk niveau en aantoonbare kennis hebben van de risico’s die spelen.

Voor middelgrote organisaties zonder eigen CISO is het verstandig om de risicoanalyse samen met een gespecialiseerde ICT-partner op te stellen. Zo combineer je interne bedrijfskennis met externe cybersecurity-expertise, en zorg je dat de uitkomsten ook bestuurlijk vertaald worden naar concrete beslissingen.

Welke stappen doorloop je bij een NIS2-risicoanalyse?

Een NIS2-risicoanalyse uitvoeren verloopt via een vaste reeks stappen: je stelt de scope vast, brengt bedrijfsmiddelen in kaart, identificeert dreigingen en kwetsbaarheden, beoordeelt de risico’s op impact en kans, en bepaalt welke maatregelen je neemt. Dit proces documenteer je aantoonbaar, zodat je bij een toezichtscontrole kunt laten zien hoe je tot je conclusies bent gekomen.

Stap voor stap ziet dat er zo uit:

  1. Scope bepalen: Welke systemen, processen en diensten vallen onder de analyse? Sluit hierbij aan op de diensten die kritiek zijn voor de continuïteit van je organisatie.
  2. Inventarisatie van bedrijfsmiddelen: Breng alle hardware, software, data en netwerken in kaart. Zonder volledig beeld kun je geen volledig risicoprofiel opstellen.
  3. Dreigingen en kwetsbaarheden identificeren: Welke aanvalsvectoren zijn relevant voor jouw sector? Gebruik hiervoor dreigingsinformatie van bijvoorbeeld het NCSC of sectorspecifieke bronnen.
  4. Risicobeoordeling: Bepaal per risico de kans dat het optreedt en de impact als het daadwerkelijk gebeurt. Dit leidt tot een prioritering.
  5. Maatregelen bepalen: Kies voor elk relevant risico een passende maatregel: mitigeren, overdragen (bijvoorbeeld via verzekering), accepteren of vermijden.
  6. Documenteren en rapporteren: Leg de analyse en de genomen besluiten schriftelijk vast. Dit is de basis voor aantoonbare NIS2-compliance.

Hoe bepaal je de impact en kans van een beveiligingsrisico?

De impact en kans van een beveiligingsrisico bepaal je door elk geïdentificeerd risico te scoren op twee assen: hoe waarschijnlijk is het dat dit risico zich voordoet, en hoe ernstig zijn de gevolgen als dat gebeurt? Door beide scores te combineren, ontstaat een risicomatrix die je helpt prioriteiten te stellen.

Bij het inschatten van de kans kijk je naar factoren als:

  • Hoe aantrekkelijk is jouw organisatie als doelwit?
  • Hoe volwassen is je huidige beveiliging?
  • Hoe vaak komen vergelijkbare incidenten voor in jouw sector?

Bij het inschatten van de impact weeg je:

  • Financiële schade (directe kosten, boetes, omzetverlies)
  • Operationele schade (uitval van systemen, verstoring van processen)
  • Reputatieschade en verlies van klantvertrouwen
  • Juridische aansprakelijkheid en meldplicht bij toezichthouders

Een eenvoudige driedeling werkt goed voor de meeste organisaties: laag, gemiddeld en hoog, zowel voor kans als voor impact. Risico’s met een hoge kans én hoge impact vragen om directe actie. Risico’s met een lage kans en lage impact kun je monitoren zonder direct te investeren. Wees bij deze beoordeling zo concreet mogelijk en onderbouw je keuzes met feiten over je eigen omgeving.

Hoe vaak moet je de risicoanalyse herhalen onder NIS2?

Onder NIS2 is de risicoanalyse geen eenmalige exercitie. Je moet de analyse periodiek herhalen en ook bij significante wijzigingen in je organisatie of IT-omgeving opnieuw uitvoeren. Een jaarlijkse cyclus is voor de meeste organisaties een goed uitgangspunt, maar tussentijdse updates zijn verplicht als de situatie verandert.

Situaties die een tussentijdse herziening vereisen zijn onder meer:

  • De introductie van nieuwe systemen, applicaties of cloudoplossingen
  • Een fusie, overname of reorganisatie
  • Een beveiligingsincident of bijna-incident
  • Nieuwe dreigingsinformatie die relevant is voor jouw sector
  • Wijzigingen in wet- en regelgeving die de scope van je verplichtingen beïnvloeden

Het is verstandig om de risicoanalyse te koppelen aan een bredere planningscyclus, zoals de jaarlijkse begrotingsronde. Zo kun je de uitkomsten direct vertalen naar investeringen in cybersecurity en zorg je dat het onderwerp structureel op de bestuurlijke agenda staat.

Wat zijn veelgemaakte fouten bij een NIS2-risicoanalyse?

De meest voorkomende fouten bij een NIS2-risicoanalyse zijn: een te smalle scope, onvoldoende aandacht voor ketenrisico’s, een analyse die eenmalig wordt uitgevoerd zonder opvolging, en het ontbreken van bestuurlijke betrokkenheid. Deze fouten maken de analyse waardeloos als compliance-instrument én als praktisch beveiligingsinstrument.

Andere valkuilen die we regelmatig zien:

  • Te technisch, te weinig strategisch: De analyse wordt alleen door IT uitgevoerd, zonder dat de bedrijfscontext en bestuurlijke prioriteiten worden meegewogen.
  • Geen documentatie: Risico’s worden mondeling besproken maar niet schriftelijk vastgelegd. Zonder documentatie kun je niet aantonen dat je aan je verplichtingen voldoet.
  • Maatregelen worden niet geïmplementeerd: De analyse leidt tot een lijstje aanbevelingen dat vervolgens in een la verdwijnt. NIS2 vereist aantoonbare opvolging.
  • Ketenrisico’s worden genegeerd: Leveranciers en partners worden niet meegenomen in de analyse, terwijl juist daar veel aanvallen beginnen.
  • Geen herhaling: De analyse wordt eenmalig uitgevoerd en daarna niet meer bijgewerkt, terwijl het dreigingslandschap voortdurend verandert.

Een goede risicoanalyse is een levend document dat meegroeit met je organisatie. Behandel het als een continu proces, niet als een project met een einddatum.

Hoe Puur ICT helpt met de NIS2-risicoanalyse

Wij begrijpen dat een NIS2-risicoanalyse uitvoeren voor veel organisaties een complexe opgave is, zeker als er geen eigen CISO aanwezig is. Als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener ondersteunen we je van begin tot eind: van de eerste nulmeting tot de documentatie die je nodig hebt om aantoonbaar compliant te zijn.

Wat we concreet voor je doen:

  • Nulmeting en scopebepaling: We brengen je huidige beveiligingssituatie in kaart en bepalen welke systemen en processen onder de analyse vallen.
  • Risicoanalyse en prioritering: We identificeren relevante dreigingen en kwetsbaarheden, beoordelen de impact en kans, en helpen je een risicomatrix op te stellen die direct bruikbaar is voor bestuurlijke besluitvorming.
  • Maatregeladvies binnen Microsoft 365: We vertalen de uitkomsten naar concrete technische en organisatorische maatregelen binnen het Microsoft-ecosysteem, afgestemd op jouw situatie.
  • Documentatie en compliance-rapportage: We zorgen dat alles aantoonbaar is vastgelegd, zodat je bij een toezichtscontrole direct kunt laten zien dat je aan je verplichtingen voldoet.
  • Bestuurderstraining en cyber awareness: We verzorgen trainingen voor directie en management, zodat ook het bestuur aantoonbaar voldoet aan de opleidingsplicht onder de Cyberbeveiligingswet.

Wil je weten waar je organisatie nu staat op het gebied van NIS2-compliance? Neem contact op met Puur ICT voor een vrijblijvend gesprek. We denken graag met je mee, in begrijpelijke taal en met een aanpak die past bij jouw organisatie.

Gerelateerde artikelen

Gerelateerde artikelen

Misschien ook iets voor u
Directeur in maatpak bestudeert beveiligingscompliancedocument aan glazen vergadertafel met laptop en hangslot, modern Nederlands kantoor.Wat moet een bestuurder weten over NIS2 in 2026?
Officieel nalevingsdocument met stalen hangslot op modern bureau, laptop met beveiligd netwerkdashboard op achtergrond.Wat zijn de belangrijkste verplichtingen onder NIS2?
Zware stalen kluisdeur op een kier in een moderne serverruimte, met warm amberkleurig licht dat over betonnen vloer valt.Wat is NIS2 en voor wie geldt de richtlijn?
Rij verbonden kantoorgebouwen in staal- en grijstinten met beveiligingsslot op voordeur, symboliseert toeleveringsketenbeheer en regelgeving.Geldt NIS2 ook voor organisaties die niet direct in scope vallen?
IT-beveiligingsprofessional bekijkt crisisrespons-checklist op laptop, rood alarmlicht op gezicht, collega's op achtergrond.Hoe stel je een crisisorganisatie in voor een cyberincident?
Bestuurder in pak met houten hamer naast laptop met beveiligingsdashboard in moderne vergaderzaal.Zijn bestuurders persoonlijk aansprakelijk onder de NIS2-wetgeving?
Kantoormedewerker bij laptop met fysiek hangslot en toegangspas op toetsenbord, symboliseert digitale beveiliging op de werkvloer.Hoe zorg je dat iedereen in je organisatie bewust omgaat met digitale veiligheid?
Senior professional in pak bestudeert een organisatiediagram op bureau, met laptop met beveiligingsdashboard op achtergrond.Wie is verantwoordelijk voor NIS2-compliance binnen een organisatie?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden