Ga naar de hoofdinhoud
Support Neem contact op

NIS2 compliance: van quickscan tot bewijslast

NIS2 raakt steeds meer organisaties. Direct als 'essentiële' of 'belangrijke' entiteit, of indirect via de leveranciersketen. De richtlijn vraagt om governance, risicobeheer, incidentrapportage en aantoonbare maatregelen. BLOKES IT brengt in kaart waar je staat, helpt de gaten te dichten en zorgt voor de bewijslast die je toezichthouder vraagt. Of je nu 30 of 300 gebruikers hebt.

  • Quickscan, implementatie én bewijslast vanuit één partner
  • Concrete maatregelen op de tien zorgplichten van de Cyberbeveiligingswet
  • ISO 27001-gecertificeerd, eigen Private Cage in een Tier 3-datacenter in Nederland

NIS2 wordt vaak vereenvoudigd tot een afvinklijst: MFA aan, back-up draait, incidentprocedure in een Word-document. In de praktijk vraagt de richtlijn iets anders. Toezichthouders kijken naar samenhang. Zijn risico's structureel in kaart gebracht? Worden maatregelen onderhouden? Kun je laten zien dat het werkt?

Een organisatie die NIS2 als project oppakt, staat na een jaar weer op achterstand. Wie NIS2 verankert in het dagelijks beheer (inrichting, monitoring, rapportage en training), blijft compliant zonder ieder jaar opnieuw te beginnen. Dat is hoe BLOKES IT het aanvliegt.

BLOKES IT team – ervaren IT-professionals in Zwijndrecht

Geldt NIS2 ook voor jouw organisatie?

NIS2 is de opvolger van de eerste Europese cybersecurity-richtlijn en in Nederland uitgewerkt in de Cyberbeveiligingswet. De reikwijdte is fors uitgebreid: meer sectoren, meer organisaties en strengere eisen aan governance, risicobeheer, ketenveiligheid en incidentmelding.

In de praktijk raakt dat ook organisaties die zichzelf niet als 'kritiek' beschouwen. Direct, omdat de richtlijn vanaf 50 medewerkers of 10 miljoen euro omzet in achttien sectoren geldt. Of indirect, via klanten of leveranciers die NIS2-eisen doorvertalen in hun contracten. Bestuurders zijn persoonlijk aansprakelijk voor het cybersecuritybeleid en niet voldoen kan leiden tot boetes en reputatieschade.

De eerste vraag is daarom niet welke maatregelen je moet nemen, maar of je überhaupt onder de richtlijn valt en in welke categorie.

Van losse security maatregelen naar aantoonbare samenhang – BLOKES IT aanpak

Een NIS2-quickscan om te zien waar je staat

Sommige organisaties zijn al verder dan ze denken, andere juist minder ver. De NIS2-quickscan van BLOKES IT brengt in korte tijd in kaart hoe jouw organisatie ervoor staat ten opzichte van de richtlijn.

Wat de quickscan oplevert:

  • Bepaling of je onder NIS2 valt en in welke categorie (essentieel of belangrijk)
  • Gap-analyse op de tien zorgplichten uit de Cyberbeveiligingswet: risicoanalyse, incidentrespons, bedrijfscontinuïteit, toeleveringsketen, cyberhygiëne, beveiliging van systemen, personeel en toegang, multifactor-authenticatie, cryptografiebeleid en effectiviteitstoetsing
  • Prioritering: wat is urgent, wat kan op termijn, wat zit al goed
  • Uiteindelijk een helder rapport dat je intern kunt delen met bestuur en stakeholders

De quickscan is geen verkoopinstrument. Het is een werkdocument dat je ook kunt gebruiken als je intern verder gaat of een andere partij wilt inschakelen.

BLOKES IT servicedesk medewerker – professioneel ICT-beheer en support

Van richtlijn naar werkende praktijk

Na de quickscan weet je waar je staat. De volgende stap is de gaten dichten, zonder dat dit een nieuw IT-project wordt dat naast de organisatie loopt. BLOKES IT begeleidt de volledige NIS2-implementatie en sluit die aan op het bestaande beheer:

  • Governance en beleid: rollen, verantwoordelijkheden en bestuursrapportage
  • Risicobeheer: inventarisatie, risicoanalyse en mitigerende maatregelen
  • Technische maatregelen: toegangsbeheer, MFA, encryptie, segmentatie en back-up
  • Monitoring en incidentbeheer: detectie, response en meldproces
  • Ketenveiligheid: afspraken met leveranciers en cloud-providers
  • Training en bewustwording per rol binnen de organisatie

De implementatie loopt in fasen, met heldere mijlpalen. Voor een organisatie met 30 werkplekken ziet dat er anders uit dan voor een organisatie met meerdere locaties en 300 gebruikers, maar de aanpak schaalt mee.

Microsoft Teams en SharePoint documentbeheer – BLOKES IT inrichting en beheer

Bewijslast die toezichthouders verwachten

NIS2 is niet 'klaar' op een leverdatum. De richtlijn vraagt dat je continu kunt laten zien dat je beleid uitvoert, risico's beheert en incidenten correct afhandelt. Toezichthouders kijken naar bewijs, niet naar intenties.

BLOKES IT levert de structuur en documentatie die daarvoor nodig is:

  • Logbestanden, monitoringoverzichten en incidentregisters
  • Beheerdocumentatie voor wijzigingen, gebruikers- en leveranciersbeheer
  • Voorbereiding op interne en externe audits
  • Inhoudelijke ondersteuning bij meldingen aan de toezichthouder

Doordat de bewijslast onderdeel is van het dagelijks beheer, ontstaat geen jaarlijkse inhaalslag voor een audit.

IT infrastructuur en datacenter beheer door BLOKES

Security en compliance als onderdeel van het bredere beheer

NIS2 staat niet op zichzelf. De zorgplichten raken aan hoe de hele IT-omgeving is ingericht: werkplekken, netwerk, datacenter, leveranciers en gebruikers. Een NIS2-implementatie die los staat van het dagelijks IT-beheer wordt vroeg of laat ingehaald door de praktijk.

BLOKES IT beheert werkplek én infrastructuur als één geheel. NIS2-maatregelen zoals toegangsbeheer, monitoring, back-up en segmentatie worden uitgevoerd door dezelfde partij die het beheer doet. Eén aanspreekpunt voor compliance én operatie, geen versnippering tussen security-leverancier, IT-beheerder en compliance-consultant.

Engineers van BLOKES IT komen ook fysiek bij je op locatie in de Drechtsteden, Rijnmond en de bredere regio rond Zwijndrecht. Dat scheelt in doorlooptijd wanneer NIS2-maatregelen on-site geverifieerd moeten worden, bijvoorbeeld bij netwerksegmentatie of fysieke toegangscontrole in de eigen Private Cage.

Naast NIS2-begeleiding zijn ISO 27001-implementaties en interne audits onderdeel van diezelfde security-aanpak.

Veelgestelde vragen over NIS2

Valt mijn organisatie wel of niet onder NIS2?

NIS2 onderscheidt 'essentiële' en 'belangrijke' entiteiten in achttien sectoren, waaronder zorg, transport, ICT-dienstverlening, voedselproductie en chemie. De grens ligt voor de meeste sectoren bij organisaties vanaf 50 medewerkers of 10 miljoen euro omzet, met uitzonderingen voor specifieke sectoren. Veel organisaties vallen daarnaast indirect onder NIS2 via klanten of leveranciers die de eisen doorvertalen in hun contracten. De NIS2-quickscan van BLOKES IT bepaalt eenduidig of je binnen scope valt en in welke categorie.

Hoe lang duurt een NIS2-quickscan?

De doorlooptijd hangt af van de omvang van de organisatie. Voor 30 tot 100 gebruikers is een quickscan doorgaans binnen twee tot drie weken afgerond. Bij meerdere locaties of een complexere omgeving wordt dat vier tot vijf weken. De inspanning aan jouw kant blijft beperkt tot een kick-off, een aantal interviews en het beschikbaar stellen van bestaande documentatie.

Wat zijn de risico's als wij niet voldoen aan NIS2?

De boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en 7 miljoen of 1,4% voor belangrijke entiteiten. Bestuurders zijn persoonlijk aansprakelijk en een organisatie kan in uitzonderlijke gevallen tijdelijk worden stilgelegd. In de praktijk speelt ook een commercieel effect: klanten en partners stellen NIS2-compliance steeds vaker als voorwaarde in hun contracten.

Wij hebben al een ISO 27001-certificering. Is NIS2 dan automatisch geregeld?

Nee, maar je hebt wel een flinke voorsprong. ISO 27001 dekt een belangrijk deel van de NIS2-zorgplichten, met name op het gebied van risicobeheer en informatiebeveiliging. Wat ISO 27001 niet volledig dekt zijn specifieke NIS2-eisen rond ketenveiligheid, meldplicht binnen 24 uur na waarneming, bestuurlijke verantwoordelijkheid en sectorgerelateerde maatregelen. BLOKES IT brengt in kaart wat er bovenop ISO 27001 nodig is om volledig aan NIS2 te voldoen.

Doen jullie alleen de quickscan, of ook de implementatie?

Beide kan. De meeste organisaties kiezen voor het volledige traject, maar je kunt na de quickscan ook zelf besluiten of je BLOKES IT de implementatie laat begeleiden of de bevindingen intern oppakt. Aan de quickscan zit geen verplichting vast.

Wat is het verschil met een security audit door een accountantskantoor?

Een accountantskantoor toetst meestal achteraf op basis van een normkader. BLOKES IT begeleidt het hele traject (inzicht, implementatie, beheer en bewijslast) als IT-dienstverlener. We stellen niet alleen vast wat er moet gebeuren, maar richten de maatregelen ook in de IT-omgeving in en beheren ze. Voor een externe audit blijft een onafhankelijke partij vereist. BLOKES IT zorgt dat je daar goed voorbereid in stapt.

ICT-consultant BLOKES IT voor een vrijblijvende kennismaking over managed IT-dienstverlening

Weten waar je staat met NIS2?

In een NIS2-adviesgesprek brengt BLOKES IT in kaart of je onder de richtlijn valt, waar de grootste gaten zitten en wat een realistische aanpak is, afgestemd op de omvang en complexiteit van je organisatie.

Plan een NIS2-adviesgesprek