Met onze pragmatische aanpak voldoet uw organisatie aan de Cyberbeveiligingswet, zonder dat het een zwaar certificeringstraject wordt. We sluiten aan op wat u al heeft staan en bouwen alleen op waar het echt nodig is.
NIS2 in het kort
De NIS2-richtlijn, in Nederland geïmplementeerd via de Cyberbeveiligingswet, verplicht een grote groep organisaties om hun informatiebeveiliging aantoonbaar op orde te brengen. Anders dan bij een ISO-certificering gaat het bij NIS2 niet om een certificaat, maar om het structureel voldoen aan een wettelijke zorgplicht en meldplicht, onder directe verantwoordelijkheid van het bestuur.
Geldt NIS2 voor uw organisatie?
Organisaties in sectoren zoals energie, zorg, transport, digitale dienstverlening en overheid vallen vaak direct onder de wet. Als indicatie geldt: 50 of meer medewerkers, of een jaaromzet vanaf €10 miljoen. Maar ook als u niet direct onder de wet valt, kan NIS2 indirect op u afkomen via uw opdrachtgevers en ketenpartners.
Twijfelt u? Neem dan vrijblijvend contact op, dan brengen we het samen in beeld.
Onze adviseurs werken in house, waardoor er korte lijntjes
zijn en we echt aanwezig zijn in de organisatie.
Het stappenplan in het kort
Voldoen aan NIS2 hoeft niet ingewikkeld te zijn, als u het stap voor stap aanpakt. Ons stappenplan volgt een logische volgorde: van inventariseren waar u staat, via risicoanalyse en concrete maatregelen, tot een werkbaar managementsysteem dat zichzelf onderhoudt.
In het kort: we starten bij wat u al heeft staan (stap 1 en 2), zorgen dat uw organisatie en processen aansluiten (stap 3 en 4), brengen risico’s en beleid samen (stap 5), kiezen passende maatregelen (stap 6), rollen alles uit (stap 7) en borgen het geheel met een interne audit en management review (stap 8).
Doorlooptijd: ongeveer 4 tot 6 maanden, afhankelijk van de omvang en complexiteit van uw organisatie.
De 8 stappen uitgelegd
1. Inventarisatie en scopebepaling
We brengen in kaart hoe uw organisatie er nu voor staat: structuur, werkwijze, procedures en beveiligingsmaatregelen die u al hanteert. Aan de hand van interviews met sleutelpersonen en een GAP-analyse tegen de NIS2-eisen bepalen we of, en hoe, uw organisatie onder NIS2 valt (als essentiële of belangrijke entiteit) en wat er nog te doen is.
Wat u krijgt: een helder beeld van uw startpositie en een gerichte lijst met aandachtspunten.
2. Dataverwerkende systemen in kaart brengen en classificeren
We maken een overzicht van alle systemen en omgevingen waarin uw data wordt verwerkt. Denk aan e-mail, website, klant- en personeelsadministratie, financiële systemen en applicaties die essentieel zijn voor uw kernactiviteit. Per systeem stellen we vast welke informatie erin zit en classificeren we deze op beschikbaarheid, integriteit en vertrouwelijkheid.
Wat u krijgt: een actueel overzicht van uw data-omgeving als fundament voor de risicoanalyse.
3. Organisatie structureren
Op basis van interviews en een enquête brengen we uw organisatiestructuur in kaart, met als resultaat een helder organigram en bijbehorende functieprofielen. We zetten de personeelsprocedures op: in- en uitdiensttreding, competentiemanagement en het bewustzijnsprogramma rond cyberbeveiliging.
Wat u krijgt: voor iedere functie is duidelijk welke rol en verantwoordelijkheid hoort bij de beveiliging van uw organisatie.
4. Kernprocessen rond dataverwerking structureren
We stellen de primaire processen vast die raakvlakken hebben met dataverwerking en informatiebeveiliging, en beschrijven deze in conceptprocedures. Belangrijker nog: we bekijken hoe de dataverwerking effectiever, veiliger of gemakkelijker kan. Het resultaat zijn interne afspraken over hoe de proces- en datastroom eruitziet.
Wat u krijgt: medewerkers weten wat er moet gebeuren, interne overdrachten zijn duidelijk afgesproken, en dat leidt tot meer grip en minder fouten.
5. Risicoanalyse en beleid opstellen
Met de systemen en omgevingen uit stap 2 als basis voeren we een gestructureerde informatiebeveiligingsrisicoanalyse uit. Per risico bepalen we kans en impact, zodat we onderbouwd kunnen prioriteren waar maatregelen het hardst nodig zijn. Daarop volgen concrete doelstellingen, een bewustzijnsprogramma voor de verschillende doelgroepen en een beleidsverklaring die met uw medewerkers wordt besproken.
Wat u krijgt: een duidelijk beeld van de belangrijkste risico’s én een richting waarin uw organisatie zich wil ontwikkelen.
6. Beheersmaatregelen selecteren en borgen
Op basis van de risicoanalyse selecteren we de maatregelen die de geïdentificeerde risico’s tot een aanvaardbaar niveau terugbrengen. NIS2 schrijft een aantal verplichte categorieën voor, waaronder incidentbehandeling, bedrijfscontinuïteit en back-up, ketenbeveiliging, beveiliging bij aanschaf en onderhoud van systemen, basis-cyberhygiëne en training, cryptografie en encryptie, toegangsbeheer en multifactorauthenticatie. Deze maatregelen worden geborgd onder beheer van een intern aan te wijzen coördinator (security officer), die wij opleiden zodat u zelfstandig kunt blijven voldoen en verbeteren.
Wat u krijgt: een concreet pakket aan maatregelen én een interne security officer die ze kan beheren.
7. Implementeren en uitrollen
In deze fase gaat uw organisatie actief met het systeem aan de slag. Het werk wordt uitgevoerd zoals afgesproken in de processen. Tijdens deze fase merkt u dat er gefinetuned moet worden, verbeteringen worden direct doorgevoerd om het werk effectiever of gemakkelijker te maken. De interne coördinator bewaakt de naleving.
Wat u krijgt: een werkend systeem dat in de praktijk wordt gebruikt en aangepast waar nodig.
8. Intern auditen, management review en aantoonbaarheid borgen
Als het systeem enige tijd draait, plannen we een interne audit waarin we toetsen of procedures en maatregelen worden nagekomen. Aansluitend volgt een management review, waarin de directie de werking evalueert en concrete verbeterdoelen vaststelt. Omdat NIS2 toezicht achteraf kent in plaats van een certificaat, ligt de nadruk hier ook op aantoonbaarheid: kunnen we de toezichthouder laten zien dat de zorgplicht structureel wordt ingevuld en dat maatregelen actueel blijven?
Wat u krijgt: een werkende PDCA-cyclus en een organisatie die bij een eventuele controle of incident goed staat.
Wij werken o.a. met
Een stap verder: ISO 27001
Wilt u verder gaan dan de basis van NIS2? Wij begeleiden u ook bij het behalen van een ISO 27001-certificering. Dit certificeerbare managementsysteem geeft in een wat uitgebreidere vorm tevens invulling aan de eisen die NIS2 aan uw organisatie stelt. Wie de stap naar ISO 27001 zet, slaat daarmee twee vliegen in één klap: een internationaal erkend keurmerk voor informatiebeveiliging én een stevige basis om aantoonbaar aan de NIS2-zorgplicht te voldoen.
Klaar voor de eerste stap?
Wilt u weten waar uw organisatie staat? Of heeft u behoefte aan een vrijblijvend gesprek over wat NIS2 voor u betekent? Neem contact met ons op. Een van onze adviseurs neemt binnen één werkdag contact met u op.
Nog vragen? We helpen je graag verder.
Bel ons op 010 26 88 015 of stuur een e-mail naar info@devaart.nl
Veelgestelde vragen over NIS2 / Cyberbeveiligingswet
NIS2 is Europese wetgeving op het gebied van cyberbeveiliging. De richtlijn is bedoeld om de digitale weerbaarheid van belangrijke en essentiële organisaties in de EU te versterken. Daarbij gaat het niet alleen om IT-maatregelen, maar ook om governance, risicoanalyse, incidentbehandeling, bedrijfscontinuïteit, leveranciersbeheersing en toezicht vanuit het bestuur. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet.
De Cyberbeveiligingswet is de Nederlandse implementatie van de Europese NIS2-richtlijn. Deze wet verplicht organisaties die onder de reikwijdte vallen om passende beveiligingsmaatregelen te nemen, significante incidenten te melden en zich te registreren. Volgens het NCSC treedt de wet naar verwachting rond 1 juli 2026 in werking.
NIS2 is van toepassing op organisaties in aangewezen sectoren die maatschappelijk of economisch belangrijk zijn. Daaronder valt ook de sector productie, IT, verwerking en distributie van levensmiddelen. Als de organisatie daarnaast ook binnen de toepasselijke omvangscriteria valt, betekent dit in de praktijk dat zij onder de reikwijdte van NIS2 valt en passende maatregelen moet nemen op het gebied van cyberbeveiliging, governance en incidentbehandeling.
Ja, als je organisatie onder de reikwijdte van de Cyberbeveiligingswet valt, is naleving geen keuze maar een wettelijke verplichting. De wet bevat in elk geval een zorgplicht, meldplicht, registratieplicht en toezicht. Voor organisaties buiten de formele scope kan NIS2 alsnog indirect relevant zijn, bijvoorbeeld doordat klanten of ketenpartners strengere cybersecurity-eisen gaan stellen.
Voor NIS2 richt je een managementsysteem in waarmee je cyberbeveiliging op een gestructureerde manier organiseert en aantoonbaar beheerst. Dat begint met een inventarisatie van de huidige werkwijze, beleidsuitgangspunten, processen en verantwoordelijkheden. Van daaruit werk je stapsgewijs toe naar een samenhangend geheel van beleid, organisatorische inrichting, risicoanalyse, informatieclassificatie en specifieke processen op het gebied van onder meer incidentmanagement, bedrijfscontinuïteit, leveranciersbeheer en IT-beheer.
Het doel is dat cyberbeveiliging niet afhankelijk is van losse maatregelen of individuele kennis, maar duurzaam wordt geborgd in de organisatie, met heldere afspraken, eigenaarschap, periodieke beoordeling en een vaste jaarcyclus voor onderhoud en verbetering.
De zorgplicht is de kern van NIS2. Organisaties moeten zelf hun cyberrisico’s beoordelen en op basis daarvan passende maatregelen nemen om netwerk- en informatiesystemen en ook de fysieke omgeving daarvan te beschermen. Het NCSC werkt dit voor Nederland uit in tien verplichte maatregelcategorieën, waaronder risicoanalyse, incidentrespons, bedrijfscontinuïteit, ketenbeveiliging, cyberhygiëne, systeembeveiliging, toegangsbeheer, sterke authenticatie, cryptografie en het toetsen van de effectiviteit van maatregelen.
Inhoudelijk sluit NIS2 sterk aan op onderwerpen die je ook kent uit ISO 27001. Denk aan het uitvoeren van een risicoanalyse, het inrichten van incidentrespons, back-up en herstel, het beheersen van leveranciersrisico’s, patch- en kwetsbaarhedenbeheer, awareness en training, asset- en toegangsbeheer, multifactor-authenticatie of passkeys, cryptografiebeleid en het periodiek toetsen van de effectiviteit van je maatregelen. Het verschil is dat deze onderwerpen onder NIS2 niet alleen best practice zijn, maar onderdeel worden van een wettelijke zorgplicht.
Organisaties die onder de wet vallen moeten significante incidenten melden bij de toezichthouder. Er geldt een gefaseerde meldplicht: een vroegtijdige waarschuwing zo snel mogelijk, maar uiterlijk binnen 24 uur, daarna een melding binnen 72 uur en een eindrapport uiterlijk binnen één maand. Het gaat om incidenten die een ernstige operationele verstoring, financiële schade of aanzienlijke schade bij anderen kunnen veroorzaken.
NIS2 legt nadrukkelijk verantwoordelijkheid bij het bestuur. Bestuurders moeten de maatregelen goedkeuren, toezicht houden op de uitvoering en ook een opleiding volgen zodat zij deze verantwoordelijkheid inhoudelijk kunnen dragen. Daarmee wordt cyberbeveiliging nadrukkelijk een bestuurs- en governancevraagstuk, en niet alleen een operationeel IT-onderwerp.
Ja, een goed ingericht ISMS helpt sterk bij de voorbereiding op NIS2. Veel onderwerpen overlappen direct, zoals risicoanalyse, beleid, incidentmanagement, leveranciersbeheer, toegangsbeheer, cryptografie, awareness, continuïteit en het periodiek toetsen van maatregelen. Het NCSC verwijst bij meerdere zorgplichtmaatregelen ook expliciet naar het nut van een ISMS om dit procesmatig te organiseren. ISO 27001 alleen is echter niet automatisch voldoende, omdat NIS2 daarnaast ook wettelijke eisen stelt aan toepasselijkheid, registratie, externe incidentmelding, toezicht en bestuurlijke verantwoordelijkheid.
Nee, NIS2 verplicht organisaties niet om ISO 27001-gecertificeerd te zijn. De wet vraagt om passende en evenredige maatregelen en om aantoonbare beheersing van cyberrisico’s. ISO 27001 kan daarbij in de praktijk wel een zeer bruikbare structuur bieden om veel van deze eisen werkbaar in te richten.
Daarnaast lijkt in de verdere uitwerking van de wetgeving ook nadrukkelijk te worden aangesloten bij bestaande normen zoals ISO 27001 en ISO 27002 als referentiekader voor de invulling en onderbouwing van maatregelen. ISO 27001 kan dus helpen als vorm van bewijsvoering, maar is niet automatisch gelijk aan volledige NIS2-compliance.
ISO 27001 is een vrijwillige managementsysteemnorm waarmee je informatiebeveiliging gestructureerd kunt inrichten en certificeren. NIS2 is wetgeving die bepaalt welke organisaties aan bepaalde cyberbeveiligingseisen moeten voldoen. Kort gezegd: ISO 27001 is een framework om informatiebeveiliging te organiseren en aantoonbaar te maken, NIS2 is een wettelijke verplichting voor organisaties die binnen de scope vallen. ISO 27001 kan dus een goed middel zijn, maar NIS2 is het juridische doelkader.
Onderwerpen uit ISO 27001 die vrijwel direct bruikbaar zijn voor NIS2
- risicoanalyse en risicobehandeling
- incidentmanagement
- bedrijfscontinuïteit, back-up en herstel
- leveranciersbeheer en ketenbeveiliging
- beveiliging van netwerk- en informatiesystemen
- awareness en cyberhygiëne
- asset-, personeels- en toegangsbeheer
- authenticatie en veilige communicatie
- cryptografie
- monitoring en toetsing van effectiviteit
Onderwerpen die je in een NIS2-versie nadrukkelijker moet toevoegen
- onderscheid tussen essentiële en belangrijke entiteiten
- bestuurlijke goedkeuring, toezicht en trainingsplicht
wettelijke meldplicht met termijnen
