De NIS2 Directive is geen papieren exercitie. Het is een bestuurlijke verantwoordelijkheid met operationele consequenties. Veel organisaties zijn inmiddels “bezig met NIS2”, maar de echte vraag is: ben je aantoonbaar op weg of vooral aan het praten?
In deze blog vind je een praktische quick scan waarmee je in 10 minuten kunt bepalen waar je staat.
De quick scan: vijf vragen die veel duidelijk maken
Beantwoord onderstaande vragen eerlijk met ja of nee. Het doel is niet om een perfecte score te halen, maar om inzicht te krijgen in waar de organisatie staat.
1. Is het bestuur zich bewust van de formele verantwoordelijkheid?
Een van de belangrijkste veranderingen in NIS2 is dat bestuurders expliciet verantwoordelijk worden voor cyberrisico’s. Dat betekent dat cyberveiligheid een vast onderdeel moet zijn van governance en besluitvorming.
Praktisch betekent dit dat cyberrisico’s structureel op de bestuursagenda staan, dat verantwoordelijkheden formeel zijn vastgelegd en dat er periodieke rapportages plaatsvinden over digitale risico’s en incidenten. Wanneer het bestuur niet actief betrokken is, wordt NIS2 vrijwel automatisch een papieren traject zonder echte impact.
2. Beschikt de organisatie over een actuele risicoanalyse?
De NIS2-richtlijn verplicht organisaties om maatregelen te nemen op basis van risico’s. Dat betekent dat eerst duidelijk moet zijn welke processen en systemen werkelijk kritisch zijn voor de organisatie.
In een goede risicoanalyse worden de belangrijkste bedrijfsprocessen – vaak aangeduid als de “crown jewels” – geïdentificeerd. Vervolgens worden dreigingen en kwetsbaarheden in kaart gebracht en wordt bepaald welke risico’s prioriteit hebben. Zonder deze analyse wordt het moeilijk om beveiligingsmaatregelen te onderbouwen of uit te leggen waarom bepaalde keuzes zijn gemaakt.
3. Kan een ernstig incident binnen 24 uur worden gemeld?
Een ander belangrijk onderdeel van NIS2 is de meldplicht bij ernstige cyberincidenten. Organisaties moeten binnen 24 uur een eerste waarschuwing kunnen geven aan de bevoegde autoriteit en binnen 72 uur een uitgebreidere rapportage leveren.
Dat vraagt om duidelijke detectie- en escalatieprocessen. Medewerkers moeten weten wanneer een incident meldingsplichtig is, wie verantwoordelijk is voor de melding en hoe de procedure verloopt. Organisaties die deze processen niet vooraf oefenen, ontdekken tijdens een crisis vaak dat de meldplicht moeilijk uitvoerbaar is.
4. Worden kritieke leveranciers actief gemonitord?
Digitale afhankelijkheden van leveranciers vormen een van de grootste risico’s in moderne organisaties. Softwareleveranciers, cloudproviders en IT-dienstverleners zijn vaak direct verbonden met kritieke processen.
De NIS2-richtlijn vraagt daarom expliciet aandacht voor supply chain security: de beveiliging van digitale ketens. Dat betekent dat organisaties inzicht moeten hebben in hun kritieke leveranciers, dat deze leveranciers op risico worden beoordeeld en dat beveiligingseisen contractueel zijn vastgelegd.
Veel organisaties blijken intern redelijk volwassen op het gebied van cybersecurity, maar hebben beperkt zicht op de risico’s bij leveranciers.
5. Kan de organisatie aantonen wat er gebeurt?
NIS2 vraagt niet alleen om maatregelen, maar ook om aantoonbaarheid. Toezichthouders verwachten dat organisaties kunnen laten zien welke beslissingen zijn genomen, welke risico’s zijn beoordeeld en welke maatregelen zijn geïmplementeerd.
Dat betekent dat beleid gedocumenteerd moet zijn, besluiten moeten worden vastgelegd en incidenten moeten worden geregistreerd. In juridische zin geldt vaak een simpele regel: wat niet aantoonbaar is, wordt beschouwd alsof het niet bestaat.
Score en interpretatie
De uitkomst van de quick scan geeft een indicatie van de volwassenheid van de organisatie.
- 5x ja → Je zit waarschijnlijk op koers, maar een formele gap-analyse blijft verstandig.
- 3–4x ja → Je bent gestart, maar er zitten nog duidelijke risico’s.
- 0–2x ja → NIS2 is waarschijnlijk nog onvoldoende ingebed.
Belangrijk om te benadrukken is dat NIS2 niet vraagt om perfectie. De richtlijn richt zich op aantoonbare, proportionele en structurele beheersing van cyberrisico’s.
Wat betekent dit concreet voor organisaties?
De quick scan kan een waardevol hulpmiddel zijn om intern het gesprek op gang te brengen. Door de vragen gezamenlijk te bespreken met bestuur, CISO en risicomanagement ontstaat vaak snel duidelijkheid over waar de grootste hiaten zitten.
Veel organisaties gebruiken een dergelijke scan als startpunt voor een formele NIS2-gap-analyse, een bestuursbespreking over cyberrisico’s of een evaluatie van de digitale supply chain. In andere gevallen helpt het om prioriteiten te bepalen voor verbetermaatregelen.
De grootste fout die organisaties kunnen maken is wachten tot toezicht, regelgeving of een incident hen dwingt om in actie te komen. Dan is de druk vaak groter en de speelruimte kleiner.
De rol van supply chain monitoring
Een van de lastigste onderdelen van NIS2 is het verkrijgen van inzicht in de digitale keten. Moderne organisaties werken met tientallen tot honderden externe IT-dienstverleners, softwareleveranciers en cloudplatforms. Elk van deze partijen kan een potentiële ingang vormen voor cyberrisico’s.
Daarom groeit de aandacht voor oplossingen die het risico van leveranciers continu monitoren. Platforms zoals RiskStudio richten zich specifiek op dit vraagstuk. RiskStudio is ontwikkeld om organisaties inzicht te geven in digitale afhankelijkheden en cyberrisico’s bij externe partijen.
Het platform brengt kritieke leveranciers in kaart, monitort de digitale footprint van deze partijen en signaleert vroegtijdig mogelijke kwetsbaarheden of incidenten. Dit gebeurt volgens een zogeheten outside-in benadering: een methode waarbij risico’s worden beoordeeld op basis van publiek waarneembare digitale signalen, zonder afhankelijk te zijn van vragenlijsten of medewerking van leveranciers.
Voor organisaties die onder NIS2 vallen kan dit helpen om ketenrisico’s beter zichtbaar en aantoonbaar te maken.
Conclusie
De NIS2-richtlijn maakt cybersecurity nadrukkelijk een bestuurlijk onderwerp. Het gaat niet langer alleen om technische maatregelen, maar om structureel risicomanagement binnen de hele organisatie.
Met een eenvoudige quick scan kan snel worden vastgesteld of de organisatie daadwerkelijk op weg is richting NIS2-compliance. Vaak blijkt dat de grootste stappen niet technisch zijn, maar liggen in governance, verantwoordelijkheid en inzicht in de digitale keten.
Organisaties die nu beginnen met het structureel inrichten van deze processen bouwen niet alleen aan compliance, maar vooral aan een weerbaardere digitale organisatie. Daarmee voorkomen zij dat cyberrisico’s pas zichtbaar worden wanneer het al te laat is.
Veelgestelde vragen
Valt elke organisatie onder NIS2?
Nee. De richtlijn geldt voor specifieke sectoren en omvangcriteria. Toch krijgen veel organisaties indirect te maken met NIS2 via klanten of leveranciers.
Is ISO 27001 voldoende voor NIS2?
Niet automatisch. ISO helpt, maar NIS2 stelt aanvullende eisen, vooral rond governance, incidentmelding en supply chain.
Hoe vaak moet je leveranciers monitoren?
NIS2 vereist passende en proportionele maatregelen. In de praktijk betekent dit continue of periodieke monitoring, afhankelijk van kritischheid.
Wat is de eerste stap als we nog niets hebben gedaan?
Begin met bestuurlijke bewustwording en een formele risicoanalyse. Zonder die basis blijft alles ad hoc.
