[rank_math_breadcrumb]

NIS2: hoe zorg je dat je organisatie eraan voldoet? 

Hugo Gerritse

Uncategorized

Wat is de NIS2-richtlijn? 

De NIS2-richtlijn verplicht organisaties in de Europese Unie (EU) maatregelen te nemen om de beveiliging van netwerk- en informatiesystemen te waarborgen. Naleving van deze richtlijn is verplicht voor aanbieders van essentiële en belangrijkste diensten zoals in de energie- en transportsector, financiële instellingen en de gezondheidszorg. Organisaties die niet direct binnen de scope van de richtlijn vallen maar werken voor bedrijven waarvoor dit wel geldt, krijgen ook te maken met de eisen van de NIS2. 

De vijf belangrijkste eisen van de NIS2-richtlijn 

De NIS2-richtlijn vereist dat bedrijven in control zijn van cybersecurity, door voldoende maatregelen te treffen om het risico op incidenten te minimaliseren, en waar deze zich voordoen hier efficiënt op te reageren. De vijf belangrijkste eisen zijn: 

  1. De NIS2-richtlijn vereist dat organisaties een risicobeoordeling uitvoeren om potentiële beveiligingsrisico’s voor hun netwerk- en informatiesystemen te identificeren. Deze beoordeling moet kwetsbaarheden, potentiële bedreigingen en de waarschijnlijkheid en impact van elk risico identificeren. 
  1. Op basis van de risicobeoordeling moeten organisaties passende beveiligingsmaatregelen implementeren om hun netwerk en informatiesystemen te beschermen. Deze maatregelen moeten technische en organisatorische maatregelen omvatten om de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen te waarborgen. 
  1. De NIS2-richtlijn vereist dat organisaties een incidentresponsplan hebben om te reageren op cyberincidenten die van invloed kunnen zijn op hun netwerk en informatiesystemen. Dit plan moet de stappen beschrijven die de organisatie zal nemen om te reageren op een incident, inclusief communicatie met belanghebbenden en rapportage aan relevante autoriteiten. 
  1. Organisaties moeten een contactpunt aanwijzen dat verantwoordelijk is voor het onderhouden van contacten met de relevante autoriteiten en het melden van cyberincidenten. Deze persoon moet een goed begrip hebben van het netwerk en de informatiesystemen van de organisatie en in staat zijn om effectief te communiceren met belanghebbenden. 
  1. Ten slotte moeten organisaties hun beveiligingsmaatregelen regelmatig herzien en bijwerken om ervoor te zorgen dat ze effectief blijven in het licht van zich ontwikkelende bedreigingen. Dit kan inhouden dat u regelmatig risicobeoordelingen uitvoert, nieuwe beveiligingscontroles implementeert en werknemers regelmatig training geeft. 

Om te voldoen aan de NIS2-cyberbeveiligingswetgeving is dus een gestructureerde en alomvattende aanpak van risicobeheer en cyberbeveiliging vereist. Frameworks kunnen hiervoor bruikbare handvatten bieden. Hierna behandelen we de twee meest toegepaste en leggen uit hoe je ze kunt inzetten om compliance met NIS2 te borgen. 

Het NIST Cybersecurity Framework 

Het NIST Cybersecurity Framework biedt een nuttige structuur voor organisaties om te voldoen aan de NIS2-richtlijn. NIST staat voor National Institute of Standards and Technology, een Amerikaanse overheidsorganisatie die als tegenhanger van de Nederlandse NEN kan worden gezien. NIST ontwikkelt onder andere standaarden op het gebied van cybersecurity. NIST identificeert vijf kerncapabiliteiten van een effectieve cybersecurity strategie: identificeren, beschermen, detecteren, reageren, herstellen. We lichten hierna toe hoe deze stappen op de eisen van de NIS2-richtlijnen kunnen worden toegepast: 

  1. Identificeren: de eerste stap is het identificeren van de informatie, systemen en processen (je bedrijfsmiddelen) die van belang zijn voor de activiteiten van je organisatie. Dit omvat het uitvoeren van een risicoinventarisatie en -beoordeling om potentiële beveiligingsrisico’s voor deze bedrijfsmiddelen te identificeren. De risicobeoordeling moet een evaluatie van de waarschijnlijkheid en het effect van elk risico omvatten. Het NIST-kader biedt richtlijnen voor het uitvoeren van een risicobeoordeling en het identificeren van bedrijfsmiddelen. 
  1. Beschermen: de tweede stap is het implementeren van passende beveiligingsmaatregelen om je bedrijfsmiddelen te beschermen tegen de risico’s die in de eerste stap zijn geïdentificeerd. Dit omvat het implementeren van technische en organisatorische beheersmaatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen te waarborgen. Het NIST-raamwerk biedt richtlijnen voor het implementeren van deze controles, waaronder toegangscontrole, gegevensbescherming en fysieke beveiliging. 
  1. Detecteren: de derde stap is het implementeren van maatregelen om incidenten te detecteren. Dit omvat het inzetten van monitoringtools en het implementeren van processen om incidenten te identificeren en te rapporteren. Het NIST-framework biedt richtlijnen voor het detecteren van incidenten, waaronder dreigingsinformatie, netwerkmonitoring en SIEM (Security Information and Event Management). 
  1. Reageren: de vierde stap is het ontwikkelen van een incidentresponsplan dat de stappen beschrijft die je organisatie gaat nemen om te reageren op een incident. Dit plan moet procedures omvatten voor het indammen van het incident, het uitvoeren van een onderzoek en het communiceren met belanghebbenden. Het NIST-raamwerk biedt richtlijnen voor het ontwikkelen van een incidentresponsplan, inclusief de oprichting van een incidentresponsteam (CSIRT) en het maken van een incidentresponsdraaiboek. 
  1. Herstellen: de laatste stap is het ontwikkelen van een plan voor het herstellen van een incident. Dit omvat het implementeren van maatregelen om de systemen en processen van de organisatie te herstellen naar normale activiteiten. Het NIST-kader biedt richtlijnen voor het ontwikkelen van een plan voor het herstellen van een incident, inclusief het testen en uitvoeren van het plan en ervoor zorgen dat back-ups beschikbaar zijn. 

Door het NIST Cybersecurity Framework te volgen, kun je invulling geven aan de vijf belangrijkste eisen van de NIS2-richtlijn. Het raamwerk biedt een uitgebreide en gestructureerde benadering van cyber security en kan je helpen bedrijfsmiddelen te identificeren en te beschermen, incidenten te detecteren, erop te reageren en je organisatie te herstellen van verstoringen van systemen en processen. 

ISO 27001 

De ISO 27001 is een wereldwijd toegepaste standaard voor informatiebeveiliging. Deze biedt een leidraad voor het inrichten van een Information Security Management System (ISMS) en kan worden gebruikt om je organisatie te laten voldoen aan de NIS2-richtlijn. Groot voordeel van ISO 27001 is dat certificering tegen deze norm mogelijk is, waardoor aantoonbaar is richting belanghebbenden dat je in control bent van cybersecurity. Om te voldoen aan de eisen hiervan dien je de volgende stappen te nemen: 

  1. Bepaal de scope: definieer de scope van het ISMS (de onderdelen van de organisatie die door de certificering gaan worden gedekt). 
  1. Breng je bedrijfsmiddelen in kaart en classificeer ze; wat zijn de kroonjuwelen van je organisatie? Welke systemen, hardwarde, software, informatie wordt er gebruikt door je bedrijfsprocessen en wat is de waar ervan voor je organisatie? 
  1. Voer een risicobeoordeling uit om de risico’s te identificeren met betrekking tot informatiebeveiliging waarmee je organisatie te maken heeft, ontwikkel een risicobeheerplan om deze risico’s te beperken. Bepaal hiervoor eerst je risicobereidheid, zodat je kunt vaststellen welke risico’s acceptabel zijn en welke niet. 
  1. Ontwikkel het ISMS door beleid, procedures en processen te definiëren die consistent zijn met de ISO 27001. Gebruik hiervoor de richtlijnen uit de ISO 27002. Het ISMS moet alle gebieden van informatiebeveiliging bestrijken, inclusief toegangscontrole, incidentbeheer en netwerkbeveiliging. Je beleid moet afgestemd zijn op je risico’s. 
  1. Implementeer de beheersmaatregelen: implementeer de eisen die je in je beleid hebt gedefinieerd om de niet-acceptabele risico’s aan te pakken die in de risicoanalyse zijn geïdentificeerd. 
  1. Voer interne audits uit om de effectiviteit van het ISMS te beoordelen en verbeterpunten te identificeren. 
  1. Voer een managementbeoordeling uit om de effectiviteit van het ISMS te evalueren en de nodige verbeteringen aan te brengen. 
  1. Breid je je voor op de certificeringsaudit door een pre-audit uit te voeren, een soort generale repetiei die helpt om eventuele resterende tekortkomingen in het ISMS te identificeren. 
  1. Certificering verkrijgen: ten slotte zal een geaccrediteerde certificeringsinstantie een onafhankelijke certificeringsaudit uitvoeren om te controleren of het ISMS voldoet aan de vereisten van de ISO 27001 norm. Als de audit succesvol is, krijgt je organisatie die felbegeerde ISO 27001-certificering. 
  1. Onderhoud en verbeter je ISMS: het is belangrijk op te merken dat het behalen van ISO 27001-certificering slechts een startpunt is, en dat het behouden ervan een continu proces betreft. Het vereist voortdurende verbetering om de effectiviteit van het ISMS te behouden en te (blijven) voldoen aan de eisen van de norm. 

Hulp nodig? 

Aan de slag gaan met NIS2-compliance kan een ontmoedigende taak lijken. Een systematische en proactieve aanpak kan je bedrijf echter enorm helpen een sterk en effectief informatiebeveiligingsprogramma op te bouwen en te voorkomen dat je organisatie schade op loopt als gevolg van incidenten. Natuurlijk is specialistische kennis hierbij onontbeerlijk. Inseca heeft cybersecurity experts paraat die je organisatie in alle stappen kunnen adviseren en begeleiden. 

Photo of author
Over de auteur

Meer van het Inseca blog

Waarom traditionele MFA niet genoeg is tegen moderne phishing

Phishingaanvallen worden steeds geavanceerder en maken gebruik van gecompromitteerde accounts binnen je vertrouwde netwerk. Traditionele multi-factor authenticatie blijkt hier in de praktijk steeds vaker niet meer tegen opgewassen: Attacker-in-the-Middle aanvallen onderscheppen niet alleen je wachtwoord en verificatiecode, maar ook je sessietoken. Lees in deze blog waarom passkeys effectieve bescherming bieden tegen moderne phishing, hoe ze werken, en hoe je ze kunt gebruiken.

Klantcase Maandag®

Maandag® is een internationale detacheerder met vestigingen in Nederland, België, Polen, Zweden en Dubai. De beveiliging van deze gegevens is van strategisch belang voor de organisatie. Om aantoonbaar in control te zijn van informatiebeveiliging, te voldoen aan wet- en regelgeving zoals de NIS2-richtlijn en specifieke klanteisen op het gebied van informatiebeveiliging, wilde Maandag® voor hun Nederlandse activiteiten de ISO 27001-certificering behalen. Lees hier hoe Inseca Maandag® hierin heeft begeleid.

Social engineering: 10 tips om geen slachtoffer te worden 

Social engineering is een tactiek die door cybercriminelen wordt gebruikt om mensen te manipuleren gevoelige informatie te onthullen, ze toegang te geven tot (IT-)systemen, of andere acties uit te laten voeren die schadelijk zijn voor de persoon in kwestie of de organisatie waarvoor deze werkzaam is. Social engineering komt in vele vormen. Lees in deze blog hoe je voorkomt dat je er slachtoffer van wordt.

Wij helpen jouw informatie veilig te houden, voordat het nodig is.

Diensten

Mens

Techniek

Proces

Meer over Inseca

Blog

Over ons

Contact

Adres

Rietbaan 8
2908 LP
Capelle a/d IJssel

Contact

Tel. 085 250 2390

KVK 90442709
BTW NL865316788B01

Stuur een bericht

Schrijf je in voor onze nieuwsbrief

Privacy policy

Cookies

© 2026 Inseca B.V. Alle rechten voorbehouden.

© 2026 Inseca B.V.
Alle rechten voorbehouden.