Een NIS2-gap analyse zet regeldruk om in een werkbaar plan. Het laat zien welke cybersecuritymaatregelen al bestaan, welke ontbreken, welke gaps het hoogste risico creëren en welk bewijs het bedrijf moet kunnen opleveren.
Voor EU-bedrijven die zich voorbereiden op NIS2 is het doel niet om nóg een beleidsdocument te maken. Het doel is om te weten waar de organisatie staat ten opzichte van de cybersecurity-risicobeheermaatregelen uit Artikel 21, en vervolgens een herstelplan te bouwen dat het management kan goedkeuren en teams kunnen uitvoeren.
Dit artikel legt een 5-stappenframework uit voor het uitvoeren van een NIS2-gap analyse. Het laat ook zien waar externe ondersteuning de objectiviteit van scores, de kwaliteit van bewijs en bestuursklare rapportage kan verbeteren.
TL;DR
Een NIS2-gap analyse is een gestructureerde beoordeling van bestaande cybersecuritycontroles ten opzichte van NIS2 Artikel 21. Het bewijst geen compliance; het laat zien welke controles bestaan, welke gaps onvoldoende bewijs hebben, welke risico’s als eerste moeten worden opgelost en wat het management moet goedkeuren. De output moet bestaan uit een RAG-beoordeeld gaprapport, een risicogerangschikt gapregister en een herstelroadmap van 12–16 weken.
De 5 stappen zijn:
- Bevestig scope en entiteitsclassificatie — output: scopestatement en classificatie als Essentieel/Belangrijk.
- Bouw een baseline-inventarisatie — output: huidige controles gekoppeld aan Artikel 21.
- Beoordeel gaps met RAG-scores — output: ROOD, ORANJE, GROEN-score per maatregel.
- Prioriteer gaps op basis van risico en inspanning — output: gerangschikt gapregister.
- Bouw de herstelroadmap — output: actieplan van 12–16 weken met eigenaren en bewijsdoelen.
Voor een lichtere zelfbeoordeling, gebruik de NIS2-compliance checklist. Als u niet zeker weet of NIS2 op uw organisatie van toepassing is, begin dan met het bevestigen van de NIS2-scope vóór de gap analyse.
Wat een NIS2-gap analyse is — en wat het niet is
Een NIS2-gap analyse is een gestructureerde beoordeling van uw huidige cybersecuritymaatregelen ten opzichte van NIS2-vereisten. Voor de meeste bedrijven moet de beoordeling huidige werkwijzen, beleidsdocumenten, controles en bewijs koppelen aan de 10 cybersecurity-risicobeheergebieden die in Artikel 21 worden genoemd.
Een afgeronde gap analyse moet vier vragen beantwoorden:
● Welke NIS2 Artikel 21-maatregelen hebben al controles?
● Welke controles bestaan, maar missen gedocumenteerd bewijs?
● Welke gaps creëren het hoogste handhavings-, operationele of incidentrisico?
● Wat moet als eerste worden opgelost, door wie en wanneer?
Een gap analyse bewijst niet dat het bedrijf compliant is. Het is voorbereidend werk vóór een formele audit, toezicht, buyer due diligence of goedkeuring door het bestuur. Een gap analyse levert ook een formeel assessmentrapport op met scores, bevindingen, bewijsstatus en herstelprioriteiten.
NIS2-readiness verandert wanneer uw systemen, leveranciers, teams en incidentprocessen veranderen. Een gap analyse moet onderdeel worden van een terugkerende governancecyclus, niet een document dat in een map blijft staan.
Het 5-stappenframework voor NIS2-gap analyse
Het framework hieronder volgt de volgorde die de meeste bedrijven zouden moeten gebruiken: bevestig de scope, verzamel de baseline, beoordeel de gaps, rangschik het werk en zet het resultaat om in een herstelplan.
De assessment moet worden gekoppeld aan NIS2 Artikel 21, dat cybersecurity-risicobeheermaatregelen behandelt zoals risicoanalyse, incidentafhandeling, bedrijfscontinuïteit, supply chain security, kwetsbaarhedenbeheer, cyberhygiëne, cryptografie, toegangscontrole, assetmanagement en multi-factor authentication.
Stap 1: Bevestig uw NIS2-scope en entiteitsclassificatie
Begin met het bevestigen of NIS2 op uw organisatie van toepassing is en hoe de entiteit moet worden geclassificeerd.
Deze stap is belangrijk omdat de scope de rest van de assessment beïnvloedt. Een Essentiële entiteit en een Belangrijke entiteit kunnen te maken krijgen met verschillende toezichtmodellen, rapportageverwachtingen en handhavingsrisico’s. Sector, omvang, bedrijfsactiviteit en rol in de supply chain zijn allemaal van belang.
Uw team moet drie zaken documenteren:
1. Sectorclassificatie
Bepaal of het bedrijf onder een Annex I- of Annex II-sector valt. Voorbeelden zijn energie, transport, zorg, digitale infrastructuur, ICT-dienstbeheer, voedsel, productie, post- en koeriersdiensten en openbaar bestuur.
2. Omvangsdrempel
Controleer of de organisatie voldoet aan de drempels voor medewerkers, omzet of balanstotaal die entiteiten doorgaans binnen de scope brengen. Sommige entiteiten kunnen ongeacht omvang onder de scope vallen vanwege hun sector of servicerol.
3. Rol in de supply chain
Controleer of het bedrijf diensten levert aan een Essentiële of Belangrijke entiteit. Managed service providers, softwareleveranciers, cloudgerelateerde providers en securitydienstverleners kunnen NIS2-gerelateerde verwachtingen krijgen, zelfs wanneer de wet indirect via contracten van toepassing is.
Deliverable van de gap analyse: Bevestigde scopestatement, entiteitsclassificatie, toepasselijke sector, relevante businessunits, systemen binnen scope en bekende aannames over de bevoegde autoriteit.
Als de scope nog niet is bevestigd, gebruik dan NIS2-scope voordat u het volledige framework uitvoert.
Stap 2: Baseline-inventarisatie — breng in kaart wat u momenteel heeft
De baseline-inventarisatie legt vast welke securitymaatregelen al bestaan. Begin niet met de vraag of het bedrijf compliant is. Begin met de vraag wat al aanwezig is, waar het wordt toegepast en of er bewijs bestaat.
Stel voor elk Artikel 21-gebied vier vragen:
● Bestaat er een beleid of procedure?
● Is het geïmplementeerd in de systemen en teams waarop het van toepassing is?
● Is er bewijs dat het wordt gevolgd?
● Wordt het beoordeeld volgens een vast ritme?
Veel bedrijven hebben al securitypraktijken die echt bestaan, maar niet zijn gedocumenteerd. IT kan bijvoorbeeld handmatig toegangsrechten beoordelen, engineering kan kwetsbaarheden met hoog risico snel patchen, of operations kan back-upprocessen hebben. De gap is niet altijd “er bestaat niets”. Vaak is de gap dat het bedrijf niet kan bewijzen dat de controle werkt.
Dat onderscheid is belangrijk. Een ontbrekende controle en een ongedocumenteerde controle vereisen ander herstelwerk.
| Artikel 21-gebied | Bestaat huidige maatregel? | Geïmplementeerd? | Bewijs beschikbaar? | Eigenaar | Notities |
|---|---|---|---|---|---|
| Risicoanalyse en beveiliging van informatiesystemen | Ja / Deels / Nee | Ja / Deels / Nee | Ja / Deels / Nee | CISO / IT / Ops | |
| Incidentafhandeling | Ja / Deels / Nee | Ja / Deels / Nee | Ja / Deels / Nee | ||
| Bedrijfscontinuïteit en crisismanagement | Ja / Deels / Nee | Ja / Deels / Nee | Ja / Deels / Nee | ||
| Supply chain security | Ja / Deels / Nee | Ja / Deels / Nee | Ja / Deels / Nee | ||
| Veilige acquisitie, ontwikkeling, onderhoud en kwetsbaarhedenbeheer | Ja / Deels / Nee | Ja / Deels / Nee | Ja / Deels / Nee | ||
| Beoordeling van effectiviteit | Ja / Deels / Nee | Ja / Deels / Nee | Ja / Deels / Nee | ||
| Cyberhygiëne en cybersecuritytraining | Ja / Deels / Nee | Ja / Deels / Nee | Ja / Deels / Nee | ||
| Cryptografie en encryptie | Ja / Deels / Nee | Ja / Deels / Nee | Ja / Deels / Nee | ||
| HR-security, toegangscontrole, assetmanagement | Ja / Deels / Nee | Ja / Deels / Nee | Ja / Deels / Nee | ||
| MFA, beveiligde communicatie, noodcommunicatie | Ja / Deels / Nee | Ja / Deels / Nee | Ja / Deels / Nee |
Deliverable van de gap analyse: Artikel 21 baseline-inventarisatie die per maatregel de beleidsstatus, implementatiestatus, beschikbaarheid van bewijs, controle-eigenaar en notities laat zien.
Stap 3: Gap assessment — RAG-score per Artikel 21-maatregel
De gap assessment zet de baseline-inventarisatie om in een duidelijk readinessbeeld. Elke Artikel 21-maatregel krijgt een RAG-score: ROOD, ORANJE of GROEN.
De score moet gebaseerd zijn op bewijs, niet op vertrouwen. Als een controle bestaat maar niemand het beleid, de tickethistorie, audittrail, trainingsregistratie of reviewlog kan laten zien, mag deze niet als GROEN worden beoordeeld.
| Score | Wat het betekent | Voorbeeld | Herstelprioriteit |
|---|---|---|---|
| ROOD | De maatregel ontbreekt of is niet onderbouwd met bewijs | Er bestaat geen proces voor incidentrapportage | Hoog |
| ORANJE | De maatregel bestaat deels of het bewijs is onvolledig | MFA is actief voor beheertools, maar niet voor alle systemen binnen scope | Middel tot hoog |
| GROEN | De maatregel is geïmplementeerd, onderbouwd met bewijs en wordt beoordeeld | Kwartaalreviews van toegangsrechten hebben registraties, eigenaren en vervolgacties | Onderhouden en monitoren |
Een bruikbare RAG-score moet tot actie leiden. “ORANJE omdat documentatie zwak is” is beter dan “gedeeltelijke compliance”. De eerste uitspraak vertelt het team wat het moet oplossen. De tweede labelt alleen het probleem.
De RAG-weergave moet ook juridische, operationele en bewijsgaps van elkaar scheiden. Een ontbrekend proces voor incidentrapportage creëert directe NIS2-blootstelling. Een leveranciersreviewproces met onvolledige registraties kan bewijsrisico creëren. Zwak asset-eigenaarschap kan operationeel risico creëren omdat niemand weet wie tijdens een incident verantwoordelijk is.
NIS2 Artikel 20 verplicht bestuursorganen van Essentiële en Belangrijke entiteiten om cybersecurity-risicobeheermaatregelen goed te keuren en toezicht te houden op implementatie. Daarom moet de gap analyse een bestuursleesbaar overzicht van de bevindingen opleveren.
Deliverable van de gap analyse: RAG-beoordeeld Artikel 21-gap assessmentrapport dat per maatregel de huidige staat, score, bewijsstatus, samenvatting van de bevinding en aanbevolen herstelactie laat zien.
U kunt de eerste drie stappen intern uitvoeren. Het lastige deel is vaak objectiviteit: teams kunnen controles hoger beoordelen omdat zij weten dat er informele praktijken bestaan. Sunbytes kan de assessment ondersteunen als compliance readiness specialist door de baseline-inventarisatie te beoordelen, RAG-scores te valideren, ontbrekend bewijs te identificeren en de bevindingen om te zetten in een herstelplan dat klaar is voor het bestuur. Neem contact op met Sunbytes over NIS2-readiness.
Stap 4: Prioriteer gaps op basis van handhavingsrisico en herstelinspanning
Niet elke gap moet worden opgelost in de volgorde waarin deze in het rapport staat. Sommige gaps creëren directe blootstelling. Andere zijn belangrijk, maar vragen om gefaseerd werk.
Begin met RODE gaps die incidentrapportage, toegangscontrole, bedrijfscontinuïteit en leveranciersrisico raken. Deze gebieden kunnen snel problemen veroorzaken, omdat ze beïnvloeden hoe het bedrijf reageert wanneer er iets misgaat.
Identificeer daarna RODE of ORANJE gaps die meer tijd nodig hebben om te sluiten. Supply chain security is een goed voorbeeld. Een bedrijf kan leveranciersrisico niet in één middag oplossen als contracten, leveranciersclassificatie, securityvragenlijsten en een reviewritme ontbreken.
Kijk daarna naar snelle afrondingen. Sommige ORANJE bevindingen kunnen worden opgelost met een beleidsupdate, bewijsregistratie, systeemexport of reviewlog. Deze acties vervangen geen dieper herstelwerk, maar helpen de organisatie van “we doen dit informeel” naar “we kunnen dit aantonen”.
Een eenvoudige prioriteringsmethode is:
| Prioriteit | Type gap | Waarom dit eerst komt |
|---|---|---|
| 1 | RODE gaps met incident- of rapportageblootstelling | Ze beïnvloeden de respons onder druk |
| 2 | RODE gaps met lange hersteltijd | Ze hebben vroeg eigenaarschap nodig |
| 3 | ORANJE gaps met zwak bewijs | Ze kunnen mogelijk worden gesloten met documentatie en reviewregistraties |
| 4 | GROENE gebieden met onderhoudsbehoefte | Ze hebben ritme nodig, geen groot hersteltraject |
Deliverable van de gap analyse: Risicogeprioriteerd gapregister met alle RODE en ORANJE bevindingen, handhavingsrisico, operationeel risico, herstelinspanning, eigenaar en streefdatum.
Stap 5: Bouw de NIS2-herstelroadmap
De laatste stap zet het gapregister om in werk dat het bedrijf kan uitvoeren. Een herstelroadmap moet laten zien wie eigenaar is van elke actie, welk bewijs voltooiing aantoont en welk besluit op bestuursniveau nodig is.
Voor de meeste EU-MKB’s en mid-market bedrijven is een roadmap van 12–16 weken een praktisch startpunt. De exacte tijdlijn hangt af van scope, aantal systemen binnen scope, aantal leveranciers, bewijsmaturiteit en intern eigenaarschap.
Een bruikbare roadmap bevat vijf velden:
| Roadmapveld | Wat opnemen |
|---|---|
| Bevinding | De RODE of ORANJE gap uit de assessment |
| Actie | De benodigde hersteltaak |
| Eigenaar | Het verantwoordelijke team of de verantwoordelijke rol |
| Deadline | Streefdatum voor afronding |
| Bewijsdoel | Het document, de export, het ticket, beleid, logboek of record dat voltooiing bewijst |
De bestuurssamenvatting moet boven de roadmap staan. Deze moet de algemene RAG-status, de top drie RODE gaps, de hersteltijdlijn en de benodigde besluiten van het management laten zien.
Dit verbindt de gap analyse met Artikel 20-governance. Het management kan cybersecurity-risicobeheermaatregelen niet goed goedkeuren als bevindingen, risico’s en het herstelplan niet zijn gedocumenteerd.
De lijst met bewijsdoelen uit deze stap wordt het startpunt voor het [NIS2 evidence pack].
Deliverable van de gap analyse: NIS2-herstelroadmap, RAG-bestuurssamenvatting, lijst met bewijsdoelen per Artikel 21-maatregel en een actieplan op basis van eigenaren.
Wat een afgeronde NIS2-gap analyse oplevert
Een afgeronde NIS2-gap analyse moet drie kerndocumenten opleveren.
1. Gap assessmentrapport
Dit is het belangrijkste assessmentdocument. Het laat de huidige staat van elke Artikel 21-maatregel zien, de RAG-score, bewijsstatus en details van bevindingen. Het rapport moet geschreven zijn voor zowel technische als managementlezers. Technische teams hebben voldoende detail nodig om gaps op te lossen. Het management heeft een duidelijk beeld nodig van blootstelling en beslispunten.
2. Risicogeprioriteerd gapregister
Dit is de werkende herstellijst. Het rangschikt RODE en ORANJE bevindingen op basis van risico en inspanning. Een goed gapregister voorkomt dat het team elk probleem als even belangrijk behandelt. Het laat zien wat deze week actie nodig heeft, wat een projecteigenaar nodig heeft en wat kan worden gepland nadat gaps met een hoger risico zijn gesloten.
3. Herstelroadmap
Dit is het uitvoeringsplan. Het zet de bevindingen om in een reeks van 12–16 weken met eigenaren, deadlines en bewijsdoelen. De roadmap moet ook laten zien welk bewijs later nodig zal zijn. Dat maakt de volgende stap eenvoudiger: het bouwen van het NIS2 evidence pack.
Hoe lang duurt een NIS2-gap analyse?
Een NIS2-gap analyse duurt meestal tussen de 2 en 8 weken, afhankelijk van scope, interne beschikbaarheid en bewijsmaturiteit.
| Type assessment | Typische tijdlijn | Beste match |
|---|---|---|
| Interne zelfbeoordeling | 2–4 weken | Teams met sterk intern eigenaarschap en duidelijke systeemscope |
| Begeleide assessment | 3–6 weken | Teams die externe structuur willen maar intern bewijs kunnen aanleveren |
| Volledige externe assessment | 4–8 weken | Teams die bestuursklare output, onafhankelijke scoring en sterkere bewijsbeoordeling nodig hebben |
Interne assessments duren vaak langer dan verwacht, omdat bewijsverzameling afhankelijk is van drukke teams. Begeleide assessments verminderen die vertraging door het bedrijf een duidelijke requestlijst, interviewstructuur, scoringsmethode en outputformat te geven. Een volledige externe assessment is nuttig wanneer de organisatie buyer due diligence, bestuursreview, investeerdersvragen of aandacht van toezichthouders verwacht.
Nederlandse context: NIS2-nulmeting, Cyberbeveiligingswet en Wbni-overgang
Voor Nederlandse bedrijven wordt een NIS2-gap analyse vaak omschreven als een NIS2-nulmeting of NIS2-gap analyse. De Nederlandse term is belangrijk, omdat deze het werk positioneert als een baseline assessment: waar staan we vandaag en wat moet veranderen voordat we readiness kunnen aantonen?
Op 19 mei 2026 was het Nederlandse voorstel voor de Cyberbeveiligingswet op 15 april 2026 aangenomen door de Tweede Kamer en bevond het zich nog in het proces van de Eerste Kamer, met commissiebijdrage gepland op 19 mei 2026. De huidige Nederlandse Wbni blijft relevant totdat deze wordt vervangen; de NCTV stelt dat de Wbni uiteindelijk wordt vervangen door de Cyberbeveiligingswet, waarmee de Europese NIS2-richtlijn in Nederland wordt geïmplementeerd.
Voor publicatie op 20 mei 2026 is de veiligste juridische formulering: Nederlandse organisaties moeten zich voorbereiden op NIS2 via het kader van de Cyberbeveiligingswet, terwijl zij de definitieve datum van inwerkingtreding en eventuele sectorspecifieke richtlijnen van Nederlandse autoriteiten blijven volgen.
Een Nederlandse NIS2-nulmeting moet daarom bevatten:
● scope- en sectorclassificatie onder de Nederlandse implementatieroute;
● huidige controlemapping ten opzichte van Artikel 21;
● bewijsstatus per maatregel;
● bestuursklare RAG-samenvatting;
● herstelroadmap met genoemde eigenaren;
● aannames over registratie, rapportage en autoriteiten waar van toepassing.
Wacht niet op elk detail van nationale implementatie voordat u met de baseline begint. De gap analyse identificeert werk dat bedrijven hoe dan ook nodig zullen hebben: incidentafhandeling, toegangscontrole, bedrijfscontinuïteit, leverancierssecurity, kwetsbaarhedenbeheer, training, encryptie en bewijsmanagement.
Veelgemaakte fouten bij het uitvoeren van een NIS2-gap analyse
Fout 1: Beginnen met tools in plaats van scope
Een toolinventarisatie is nuttig, maar vertelt u niet of de organisatie binnen de scope valt, welke systemen belangrijk zijn of welke Artikel 21-maatregelen moeten worden beoordeeld. Begin met scope en entiteitsclassificatie.
Fout 2: Informele werkwijzen behandelen als compliance
Een team kan het juiste doen zonder bewijs. Voor NIS2-readiness is dat nog steeds een gap. De assessment moet onderscheid maken tussen “controle ontbreekt” en “controle bestaat, maar bewijs is zwak”.
Fout 3: Alles ORANJE beoordelen
Als elke maatregel ORANJE is, heeft de assessment niet genoeg beslissingen genomen. Sommige gaps zijn ROOD omdat er geen controle is. Sommige zijn GROEN omdat de controle is geïmplementeerd en onderbouwd met bewijs. Een bruikbare RAG-score dwingt prioritering af.
Fout 4: Een roadmap bouwen zonder eigenaren
Een herstelroadmap zonder eigenaren is een lijst, geen plan. Elke actie moet een verantwoordelijke rol, streefdatum en bewijsdoel hebben.
Fout 5: Management pas aan het einde betrekken
Artikel 20 brengt cybersecurity-governance naar het bestuursorgaan. Het management heeft niet elk technisch detail nodig, maar wel de risicopositie, belangrijkste bevindingen, hersteltijdlijn en benodigde besluiten.
Hoe Sunbytes NIS2-gap analyse en Compliance Readiness ondersteunt
Sunbytes helpt EU-bedrijven NIS2-vereisten om te zetten in een assessment, bewijsbeeld en herstelplan dat teams kunnen uitvoeren.
Onze Compliance Readiness-ondersteuning kan bestaan uit:
● NIS2-gap assessmentrapport gekoppeld aan Artikel 21;
● RAG-score per cybersecurity-risicobeheermaatregel;
● risicogeprioriteerd gapregister;
● herstelroadmap met eigenaren en deadlines;
● RAG-bestuurssamenvatting voor managementreview;
● lijst met bewijsdoelen voor de volgende readinessfase.
Het doel is niet om uw interne eigenaarschap te vervangen. Uw team kent de systemen, leveranciers en operationele beperkingen nog steeds het beste. Sunbytes voegt structuur, onafhankelijke scoring, bewijsbeoordeling en een deliveryplan toe dat ambiguïteit vermindert.
Waarom Sunbytes?
Sunbytes is een Nederlands technologiebedrijf met het hoofdkantoor in Nederland en een delivery hub in Vietnam. Al 15 jaar helpen we klanten wereldwijd Transform · Secure · Accelerate door strategie te verbinden met betrouwbare delivery en security die in het proces is ingebouwd.
- CyberSecurity Solutions is de primaire pijler voor NIS2-readiness. Sunbytes is ISO 27001-gecertificeerd en engagements kunnen werken onder een ondertekende DPA met gedocumenteerde audittrails. Voor NIS2-gap analyse betekent dit dat we Artikel 21-controlmapping, RAG-scoring, bewijsbeoordeling, herstelplanning en bestuursklare rapportage kunnen ondersteunen via ons Compliance Readiness-werk.
- Digital Transformation Solutions ondersteunt de implementatiefase na de gap analyse. Als de roadmap gaps identificeert in secure development, QA, toegangscontrole, kwetsbaarhedenbeheer of technische documentatie, kan Sunbytes helpen die acties te vertalen naar deliverywerk met senior engineeringteams.
- Accelerate Workforce Solutions ondersteunt bedrijven die extra capaciteit nodig hebben om de herstelroadmap uit te voeren. Wanneer interne teams al bezig zijn met dagelijkse delivery, kan Sunbytes helpen capaciteit op te schalen via recruitment- en workforce-ondersteuning, zodat hersteltaken de juiste mensen, eigenaarschap en continuïteit achter zich hebben.
Een duidelijke volgende stap nodig na uw NIS2-gap analyse? Neem contact op met Sunbytes om uw bevindingen om te zetten in een herstelplan dat klaar is voor het bestuur.
FAQs
Een NIS2-gap analyse is een beoordeling van uw huidige cybersecuritymaatregelen ten opzichte van NIS2-vereisten, vooral Artikel 21. Het identificeert welke controles bestaan, welke ontbreken, welke onvoldoende bewijs hebben en wat herstel nodig heeft.
Nee. Een checklist is een hulpmiddel voor zelfbeoordeling. Een gap analyse is een gestructureerde assessment die RAG-beoordeelde bevindingen, bewijsstatus, een risicogeprioriteerd gapregister en een herstelroadmap oplevert.
Een intern security-, IT- of complianceteam kan de eerste versie uitvoeren als de scope duidelijk is en bewijs toegankelijk is. Externe ondersteuning is nuttig wanneer het bedrijf objectieve scoring, bestuursklare rapportage of sterkere bewijsbeoordeling nodig heeft.
De meeste bedrijven moeten rekenen op 2–8 weken. Interne zelfbeoordelingen kunnen 2–4 weken duren. Begeleide assessments duren vaak 3–6 weken. Volledige externe assessments kunnen 4–8 weken duren, afhankelijk van scope en bewijsmaturiteit.
De assessment moet beleidsdocumenten, procedures, implementatieregistraties, toegangsreviews, incidentresponsregistraties, back-uptests, leveranciersbeoordelingen, bewijs van kwetsbaarhedenbeheer, trainingsregistraties, encryptiestandaarden en MFA-dekking controleren. De technische richtlijnen van ENISA voor NIS2 wijzen bedrijven ook richting praktische implementatievoorbeelden en bewijsmappings voor relevante sectoren.
Ja. NIS2 Artikel 20 verplicht bestuursorganen van Essentiële en Belangrijke entiteiten om cybersecurity-risicobeheermaatregelen goed te keuren en toezicht te houden op de implementatie ervan. Een RAG-bestuurssamenvatting helpt het management de risicopositie en benodigde besluiten te zien.
In Nederland gebruiken bedrijven vaak NIS2-nulmeting, nulmeting NIS2 of NIS2-gap analyse. De term “nulmeting” is nuttig omdat deze een baseline assessment beschrijft voordat herstel begint.
Laten we beginnen met Sunbytes
Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.
