Disclaimer: Dit artikel is praktische guidance en geen juridisch advies. NIS2 is een richtlijn die via nationale wetgeving wordt geïmplementeerd, waardoor details per land kunnen verschillen.
Is NIS2 op ons van toepassing? Voor veel EU-bedrijven hangt het antwoord af van drie controles: sector, omvang en de rol die uw bedrijf speelt in de supply chain.
Het lastige deel is niet alleen de juridische scope. Ook bedrijven die niet rechtstreeks onder NIS2 vallen, kunnen alsnog NIS2-achtige securityvragen krijgen van enterprise-klanten, procurement teams, verzekeraars en partners. Op dat moment wordt readiness een commerciële kwestie, niet alleen een compliancekwestie.
Dit artikel geeft u een scopetest in gewone taal. Het helpt u bepalen of uw bedrijf waarschijnlijk een Essential Entity, een Important Entity, out of scope of commercieel geraakt is door klantvragen om bewijs.
TL;DR
- NIS2 is meestal van toepassing wanneer een EU-bedrijf actief is in een gedekte sector en voldoet aan de drempel voor middelgrote of grote entiteiten.
- Een bedrijf kan juridisch buiten scope vallen, maar alsnog NIS2-achtige bewijsverzoeken krijgen van gereguleerde klanten.
- Essential en Important Entities hebben beide bewijs nodig voor Artikel 21-controls, readiness voor incidentrapportage, supplier security controls en managementtoezicht.
- Als de scope onduidelijk is, is de eerste stap een scopebevestiging, geen volledig complianceprogramma.
| Resultaat | Wat dit meestal betekent | Wat u daarna doet |
|---|---|---|
| Essential Entity | U opereert in een sector met hoge criticality en voldoet aan de relevante omvangs- of criticalitycriteria | Bevestig uw classificatie, map Artikel 21-controls en bereid bewijs voor |
| Important Entity | U opereert in een andere gedekte sector of voldoet aan de drempel onder nationale regels | Bevestig uw vereisten per lidstaat en bouw een control checklist |
| Out of scope | Uw sector, omvang of servicerol triggert NIS2 niet rechtstreeks | Monitor scopewijzigingen en bereid klantgerichte security-evidence voor als kopers daarom vragen |
| Niet zeker | Uw groepsstructuur, klantrol of landenbereik is onduidelijk | Voer een scopebevestiging uit voordat u investeert in een volledig readinessprogramma |
Een NIS2-scopetest van 2 minuten
Gebruik deze tabel als eerste filter. Dit vervangt geen juridisch advies, maar geeft leadership een gestructureerde manier om te bepalen wat u als volgende moet controleren.
| Snelle vraag | Ja | Nee | Niet zeker | Wat dit meestal betekent | Wat u daarna doet |
|---|---|---|---|---|---|
| Opereren we in een sector die onder NIS2 valt, zoals energie, transport, banking, healthcare, digitale infrastructuur, ICT service management, manufacturing, postdiensten, voedsel, chemie, onderzoek of digitale diensten? | ⬜ | ⬜ | ⬜ | Sector is de eerste scopetrigger | Bevestig of uw sector onder Annex I of Annex II valt |
| Hebben we 50+ medewerkers, € 10M+ jaaromzet of behoren we tot een grotere groep? | ⬜ | ⬜ | ⬜ | Middelgrote en grote entiteiten in gedekte sectoren zijn de belangrijkste NIS2-doelgroep | Controleer drempels op entiteitsniveau en groepsniveau |
| Zijn we gevestigd in de EU of leveren we gedekte diensten op de EU-markt? | ⬜ | ⬜ | ⬜ | EU-aanwezigheid kan het bedrijf onder nationale NIS2-regels brengen | Identificeer de relevante lidstaat of lidstaten |
| Zou een cyberincident bij ons bedrijf klanten, publieke diensten of gereguleerde supply chains verstoren? | ⬜ | ⬜ | ⬜ | Criticality kan meetellen, ook wanneer de omvang onduidelijk is | Beoordeel serviceafhankelijkheid en business impact |
| Vragen klanten al om NIS2, ISO 27001, security questionnaires, bewijs van incident response, bewijs van toegangsbeheer of documentatie over supplier risk? | ⬜ | ⬜ | ⬜ | U kunt commercieel geraakt worden, ook als u niet rechtstreeks binnen scope valt | Bereid een klantgericht evidence pack voor |
Zo leest u het resultaat:
- Vooral “Ja”: U valt waarschijnlijk binnen scope of zit dicht genoeg tegen de scope aan om uw classificatie te bevestigen.
- Mix van “Ja” en “Niet zeker”: Uw scope is onduidelijk. De volgende stap is een scopebevestiging, geen volledig implementatieproject.
- Vooral “Nee”, maar klantdruk is “Ja”: U kunt juridisch buiten scope vallen, maar toch verwacht worden NIS2-achtige bewijsstukken te tonen.
- Alles “Nee”: U valt waarschijnlijk voorlopig buiten scope. Controleer opnieuw als uw sector, omvang, klantenbasis of nationale wetgeving verandert.
Als uw resultaat richting “Ja” wijst, is de volgende praktische stap het mappen van de vereiste risicobeheergebieden. Het duidelijkste startpunt is NIS2 Artikel 21 requirements explained: the 10 risk-management measures, omdat Artikel 21 het punt is waar NIS2-scope wordt omgezet in securityverplichtingen. Gebruik daarna de NIS2 compliance checklist: 40 controls EU companies must demonstrate om die verplichtingen te vertalen naar bewijs dat uw team kan voorbereiden.
Niet zeker waar uw bedrijf valt? Start met een scopebevestiging en mini-gapscan. Sunbytes kan uw sector, entiteitsstructuur, EU-footprint, klantdruk en eerste bewijsgaps controleren voordat u investeert in een volledig readinessprogramma.
Wat is de NIS2 Directive?
NIS2 is de EU-cybersecurityrichtlijn die de oorspronkelijke NIS Directive heeft vervangen. Het doel is om het algemene cybersecurityniveau in de EU te verhogen door meer sectoren onder de regels te brengen, duidelijkere securityvereisten te stellen, incidentrapportage aan te scherpen en toezicht te versterken.
Voor business leaders is NIS2 belangrijk omdat het cybersecurity koppelt aan drie board-level vragen:
- Kunnen we bewijzen dat we cyberrisico’s beheren?
- Kunnen we significante incidenten melden binnen de vereiste tijdlijn?
- Kunnen we klanten en toezichthouders laten zien dat onze leveranciers, systemen en leadershipprocessen onder controle zijn?
NIS2 is niet alleen een technisch securityonderwerp. Het raakt governance, procurement, leveranciersbeheer, incident response en het bewijs dat uw bedrijf kan leveren wanneer een klant of autoriteit daarom vraagt.
Op wie is NIS2 van toepassing?
De scope van NIS2 wordt meestal beoordeeld aan de hand van drie criteria:
- Sector: Uw bedrijf moet actief zijn in een sector die onder NIS2 valt.
- Omvang: Middelgrote en grote entiteiten in gedekte sectoren zijn de belangrijkste doelgroep. Als eerste filter betekent dit vaak 50+ medewerkers of € 10M+ jaaromzet.
- EU-connectie: Uw bedrijf kan onder NIS2 vallen als het gevestigd is in de EU of gedekte diensten levert binnen de EU-markt, afhankelijk van het type dienst en de nationale implementatie.
Er zijn uitzonderingen. Sommige kleinere entiteiten kunnen alsnog onder NIS2 vallen als hun diensten kritiek zijn, als zij de enige aanbieder van een essentiële dienst zijn of als nationale wetgeving hen binnen scope brengt. Ook groepsstructuur kan de beoordeling beïnvloeden.
Essential vs Important Entities
NIS2 verdeelt gedekte entiteiten in twee brede categorieën: Essential Entities en Important Entities. Het verschil is belangrijk omdat het invloed heeft op toezicht, handhaving en de mate van aandacht die uw bedrijf van toezichthouders kan verwachten.
| Categorie | Typisch profiel | Toezichtpatroon | Wat leadership moet voorbereiden |
|---|---|---|---|
| Essential Entity | Sector met hoge criticality, vaak grotere of zeer kritieke organisaties | Meer actief toezicht | Duidelijke governance, bewijs voor Artikel 21-controls, proces voor incidentrapportage, board oversight |
| Important Entity | Gedekte sector met lagere criticality of andere behandeling op basis van omvang/categorie | Meer reactief toezicht, vaak getriggerd door incidenten of bewijs van non-compliance | Dezelfde kern-readiness, met aandacht voor nationale registratie- en bewijsvereisten |
| Out of scope | Sector, omvang en criticality triggeren NIS2 niet rechtstreeks | Geen direct NIS2-toezicht | Klantgerichte security-evidence kan alsnog nodig zijn |
Essential betekent niet “moet perfect zijn”. Important betekent niet “lage prioriteit”. Beide categorieën hebben cybersecurityrisicobeheermaatregelen, discipline voor incidentrapportage, supplier security controls en managementtoezicht nodig.
Het belangrijkste verschil zit in hoe autoriteiten deze verplichtingen controleren en handhaven.
Sectorcheck: valt u binnen een gedekte NIS2-sector?
NIS2 dekt sectoren met hoge criticality en andere kritieke sectoren. Sectoren met hoge criticality zijn onder meer energie, transport, banking, financiële marktinfrastructuur, health, drinkwater, afvalwater, digitale infrastructuur, ICT service management, openbaar bestuur en ruimtevaart.
Andere kritieke sectoren omvatten post- en koeriersdiensten, afvalbeheer, chemie, voedsel, bepaalde manufacturingcategorieën, digitale aanbieders en onderzoeksorganisaties.
Voor veel technologiebedrijven zijn dit de meest relevante categorieën:
- ICT service management: Managed service providers en managed security service providers kunnen onder NIS2 vallen. Dit is relevant voor IT-bedrijven die klantensystemen, netwerken, infrastructuur, cybersecurity operations of uitbestede technologiediensten beheren.
- Digitale infrastructuur: Cloud computing providers, datacenterproviders, content delivery network providers, DNS providers, TLD registries, trust service providers en aanbieders van elektronische communicatienetwerken of -diensten kunnen onder NIS2 vallen.
- Digitale aanbieders: Online marketplaces, online search engines en social networking service platforms vallen onder andere kritieke sectoren.
- Manufacturing: Bepaalde fabrikanten, waaronder medical devices, computers en elektronica, machines, motorvoertuigen, trailers, semi-trailers en andere transportmiddelen, kunnen onder de richtlijn vallen.
Als uw bedrijf niet netjes in één label past, beoordeel dan welke dienst u feitelijk levert, wie daarvan afhankelijk is en of een verstoring klanten in een gedekte sector zou raken.
Omvangs- en structuurcheck: entiteit, groep of dochterbedrijf?
De scopevraag wordt niet altijd beantwoord op het niveau van één lokaal kantoor. Autoriteiten kunnen kijken naar:
- De afzonderlijke juridische entiteit: Als het bedrijf zelf aan de omvangsdrempel voldoet en actief is in een gedekte sector, kan het binnen scope vallen.
- De groep: Een kleinere lokale entiteit kan alsnog beoordeeld moeten worden als zij onderdeel is van een grotere groep die actief is in een gedekte sector. Dit is vooral relevant wanneer security, infrastructuur, IT operations of service delivery binnen de groep worden gedeeld.
- Het dochterbedrijf: Een dochterbedrijf kan relevant zijn als het de gedekte dienst levert, kritieke infrastructuur beheert of zelfstandig genoeg opereert om apart beoordeeld te worden.
Daarom is “we zijn klein” op zichzelf geen veilig antwoord. De betere vraag is: welke juridische entiteit levert de dienst, welke groep controleert die entiteit en welke klanten zijn ervan afhankelijk?
Grensoverschrijdende activiteiten: waarom regels per lidstaat ertoe doen
NIS2 is een EU-richtlijn, maar elke lidstaat implementeert deze via nationale wetgeving. Daardoor kunnen details per land verschillen, waaronder:
- Welke autoriteit registratie en toezicht behandelt
- Hoe entiteiten zich registreren
- Hoe sectordefinities worden geïnterpreteerd
- Hoe handhaving is ingericht
- Welke ondersteunende guidance beschikbaar is
- Hoe nationale deadlines en overgangsperiodes worden beheerd
Als uw bedrijf in meer dan één EU-land actief is, moet de scopecheck ook jurisdictie meenemen. Sommige entiteiten vallen onder de lidstaat waar zij gevestigd zijn. Voor andere entiteiten kunnen andere jurisdictieregels gelden, afhankelijk van het type dienst.
Voor leadership betekent dit dat één EU-breed antwoord niet altijd genoeg is. U heeft de EU-classificatie nodig én het implementatiepad per lidstaat.
Wat gebeurt er als u binnen scope valt?
Als uw bedrijf binnen scope valt, is de volgende vraag niet: “Welke securitytool moeten we kopen?” De vraag is: wat moeten we kunnen aantonen? Op hoofdlijnen creëert NIS2 vier praktische werkstromen.
1. Cybersecurityrisicobeheer
Gedekte entiteiten moeten passende maatregelen nemen om risico’s voor netwerk- en informatiesystemen te beheren. In de praktijk betekent dit security policies, toegangsbeheer, incident handling, business continuity, vulnerability handling, supply-chain controls, encryptie waar relevant en veilige ontwikkel- of inkooppraktijken.
Voor de gedetailleerde controllijst kunt u dit eerste inhoudelijke deel linken naar NIS2 Article 21 requirements explained: the 10 risk-management measures.
2. Incidentrapportage
NIS2 introduceert een gestructureerd proces voor incidentrapportage bij significante incidenten. Uw bedrijf moet weten wie bepaalt of een incident meldingsplichtig is, welke autoriteit benaderd moet worden, welke informatie aangeleverd moet worden en hoe de tijdlijn wordt beheerd.
Als uw team de rapportagetijdlijn nodig heeft, verbind dit deel dan met NIS2 Article 23 incident reporting: the 24h / 72h / 1-month timeline.
3. Supply-chain security
NIS2 verwacht dat gedekte entiteiten cybersecurityrisico’s in leveranciersrelaties beheersen. Daarom kunnen klanten leveranciers vragen om bewijs rond toegangsbeheer, veilige ontwikkeling, incident response, data handling, vulnerability management en subcontractor risk.
Hier voelen veel out-of-scope leveranciers alsnog de impact van NIS2.
4. Management accountability
NIS2 legt verantwoordelijkheid bij management bodies om cybersecurityrisicobeheermaatregelen goed te keuren en te bewaken. Dit is niet alleen een taak voor het securityteam. Leadership heeft een gedocumenteerd proces nodig voor beslissingen, eigenaarschap en opvolging.
Voor de governancedetails kunt u dit deel linken naar NIS2 Article 20: management accountability obligations for company leadership.
Boetes moeten precies worden behandeld. NIS2 stelt maximale administratieve boeteniveaus vast voor inbreuken op risicobeheer- en rapportageverplichtingen, met verschillende niveaus voor Essential en Important Entities. Dit artikel vat alleen de scope-impact samen. Voor een diepere uitleg van boeterisico en handhavingslogica kunt u linken naar NIS2 fines and penalties: what non-compliance actually costs.
Als u out of scope bent, waarom klanten alsnog om NIS2-achtige evidence kunnen vragen
Een bedrijf kan juridisch buiten scope vallen en toch commercieel geraakt worden. Dit gebeurt wanneer uw klanten binnen scope vallen. Als zij vertrouwen op uw software, infrastructuur, support, managed service, development team, hostingomgeving of dataverwerkingsproces, moeten zij mogelijk laten zien dat supplier risk onder controle is.
Dat verschijnt meestal als een vendor due diligence questionnaire, oftewel een leveranciersbeoordeling.
Veelvoorkomende verzoeken zijn:
- Beleid voor toegangsbeheer en bewijs van reviews
- Incident response-proces
- Bewijs van backup en recovery
- Veilige ontwikkelpraktijken
- Vulnerability management-proces
- Pentest– of vulnerability assessment-rapporten
- Controls voor leveranciers en subcontractors
- ISO 27001-certificaat of gelijkwaardige securitydocumentatie
- Data processing agreement en auditspoor
- Business continuity plan
De klant vraagt dit niet omdat uw bedrijf automatisch gereguleerd is. De klant vraagt dit omdat de eigen NIS2-verplichtingen vereisen dat supplier risk wordt beheerd.
Dit is de commerciële reden om NIS2-achtige evidence voor te bereiden, ook wanneer het juridische antwoord “out of scope” is. Zonder dat bewijs vertraagt procurement. Security reviews duren langer. Sales teams moeten vragen één voor één blijven beantwoorden.
Een betere aanpak is om een minimum evidence pack voor te bereiden voordat de questionnaire binnenkomt. Dat bewijs moet drie vragen beantwoorden: welke controls bestaan er, wie is eigenaar en welk bewijs laat zien dat ze werken?
Als uw team al security questionnaires ontvangt, gebruik dan de NIS2 minimum viable evidence pack: what to prepare for Article 21 compliance als volgende stap na dit artikel.
Een 30-dagenplan van scope naar readiness
Dit plan is bedoeld voor bedrijven die een praktische eerste maand nodig hebben, geen zwaar complianceprogramma.
Week 1: Bevestig scopeaannames
Start met de juridische en operationele feiten.
- Identificeer uw juridische entiteiten
- Maak een lijst van EU-landen waar u actief bent of diensten levert
- Map uw belangrijkste servicelijnen
- Controleer of elke service aan een NIS2-sector gekoppeld kan worden
- Bekijk aantal medewerkers, omzet en groepsstructuur
- Identificeer klanten in gereguleerde of kritieke sectoren
Output: een eerste scopebeeld dat laat zien of u waarschijnlijk Essential, waarschijnlijk Important, waarschijnlijk out of scope of onduidelijk bent.
Week 2: Classificeer klantdruk
Stop niet bij juridische scope. Beoordeel ook commerciële exposure.
- Verzamel recente vendor due diligence questionnaires
- Maak een lijst van klantvragen rond NIS2, ISO 27001, incident response, toegangsbeheer of supplier security
- Identificeer klantcontracten waarin securityverplichtingen staan
- Controleer of enterprise buyers bewijs eisen vóór verlenging of onboarding
Output: een customer evidence pressure map die laat zien welke accounts of deals afhankelijk zijn van securitydocumentatie.
Week 3: Map bestaande controls
U hoeft in week drie niet elk gap op te lossen. U moet weten wat er al bestaat.
- Map bestaande policies en eigenaren
- Identificeer het toegangsbeheerproces en de reviewfrequentie
- Beoordeel de incident response-procedure
- Controleer vulnerability scanning en het remediationproces
- Beoordeel het leveranciersbeheerproces
- Controleer bewijs voor backup en recovery
- Identificeer beschikbare auditsporen
Output: een control inventory gekoppeld aan de belangrijkste NIS2-readinessgebieden.
Week 4: Bepaal het supportpad
In week vier moet leadership een gecontroleerde beslissing kunnen nemen.
Als u duidelijk binnen scope valt, ga dan door met Artikel 21-controlmapping en evidence planning.
Als de scope onduidelijk is, vraag dan juridische of compliancebevestiging voordat u zwaar investeert.
Als u out of scope bent maar klanten om bewijs vragen, bouw dan een minimum evidence pack voor procurement- en renewalgesprekken.
Als het gap operationeel is, wijs dan eigenaren, tijdlijnen en bewijsvereisten toe voordat u tools koopt.
Output: een 30/60/90-dagen readinessplan met eigenaren, prioriteitsgaps en evidence targets.
Voor teams die na deze eerste maand een diepere beoordeling nodig hebben, lees How to run a NIS2 gap analysis: the 5-step assessment framework.
Veelvoorkomende misverstanden over NIS2-scope
“We zijn out of scope omdat we klein zijn.”
Omvang telt mee, maar is niet de enige factor. Sommige kleine of micro-entiteiten kunnen alsnog relevant zijn als zij kritieke diensten leveren of onder specifieke nationale regels vallen. Ook groepsstructuur kan het antwoord veranderen.
“We zijn alleen een leverancier.”
Dat kan directe juridische exposure verminderen, maar het neemt klantdruk niet weg. Als uw klant binnen scope valt, kan deze bewijs nodig hebben dat supplier risk wordt beheerd.
“Er heeft nog geen autoriteit contact met ons opgenomen.”
NIS2-readiness moet niet afhangen van wachten op een toezichthouder. Registratie, classificatie en toezichtprocessen verschillen per land. Customer due diligence kan eerder binnenkomen dan contact vanuit een autoriteit.
“We hebben al ISO 27001, dus we zijn klaar.”
ISO 27001 helpt, maar beantwoordt niet automatisch elke NIS2-vraag. NIS2 gaat ook over incidentrapportage, management accountability, supply-chain security en vereisten per lidstaat.
“Onze IT-provider regelt security.”
Een IT-provider kan controls uitvoeren, maar leadership heeft nog steeds bewijs, eigenaarschap en toezicht nodig. Het uitbesteden van het werk neemt niet weg dat u het risico moet begrijpen.
Wat u moet voorbereiden als u waarschijnlijk binnen scope valt
Als de scopetest richting Essential of Important Entity wijst, bereid bewijs dan in deze volgorde voor:
- Scoperecord: Documenteer waarom u denkt dat het bedrijf Essential, Important, onduidelijk of out of scope is.
- Entiteits- en servicemap: Laat zien welke juridische entiteit welke dienst levert, in welk EU-land en aan welke klantgroep.
- Artikel 21-controlmap: Map bestaande security controls tegen de risicobeheergebieden van NIS2 Artikel 21.
- Incidentrapportageproces: Definieer wie incidenten beoordeelt, wie contact opneemt met de autoriteit en hoe de tijdlijn wordt gevolgd.
- Supplier risk register: Maak een lijst van kritieke leveranciers, hun rol en welk bewijs u heeft van hun security posture.
- Management approval trail: Leg vast wie de scopebeslissing heeft beoordeeld, welke gaps zijn geaccepteerd en welke remediation is goedgekeurd.
- Customer evidence pack: Bereid de documenten voor die het meest waarschijnlijk terugkomen in procurement reviews: bewijs van toegangsbeheer, incidentproces, vulnerability management evidence, business continuity evidence en supplier security documentation.
Deze evidence-first aanpak is nuttiger dan een lange policylijst. Het geeft leadership een manier om de volgende security questionnaire, audit request of customer review te beantwoorden met gecontroleerde documenten in plaats van losse uitleg.
Hoe Sunbytes helpt met NIS2-scope en readiness
Security readiness stopt niet bij het scopeantwoord. Als uw bedrijf binnen scope valt, commercieel geraakt wordt of nog onduidelijk is, is de volgende vraag welk bewijs u kunt leveren: scoperecord, Artikel 21-controlmap, supplier risk register, incidentproces en management approval trail.
Sunbytes helpt Europese SMEs die onzekerheid om te zetten in een gecontroleerd readinesspad. CyberSecurity Solutions dekt de scopebevestiging, mini-gapscan, Artikel 21-evidencemapping en audit-ready documentatie. Digital Transformation Solutions ondersteunt het deliverywerk achter de controls, van veilige ontwikkelpraktijken tot remediation planning. Accelerate Workforce Solutions verkleint people risk via gestructureerde onboarding, least-privilege access en compliant offboarding wanneer externe teams betrokken zijn.
Vraag bij ons een scopebevestiging en mini-gapscan aan.
FAQs
NIS2 kan van toepassing zijn op SaaS-bedrijven als hun dienst binnen een gedekte sector of servicecategorie valt, zoals cloud computing, digitale aanbieders, ICT service management of een ander gedekt gebied. Het antwoord hangt ook af van omvang, EU-aanwezigheid en nationale implementatie. Als het SaaS-product klanten in kritieke sectoren ondersteunt, kunnen klantvragen om bewijs alsnog van toepassing zijn, ook wanneer directe juridische scope onduidelijk is.
Mogelijk. Een hoofdkantoor buiten de EU neemt NIS2-exposure niet automatisch weg als het bedrijf gedekte diensten levert op de EU-markt of een EU-vestiging heeft. De relevante regels per lidstaat en het type dienst moeten worden gecontroleerd.
Essential Entities opereren meestal in sectoren met hoge criticality en krijgen vaker actief toezicht. Important Entities vallen ook onder NIS2, maar toezicht is doorgaans reactiever. Beide categorieën hebben risicobeheermaatregelen, readiness voor incidentrapportage, supplier security controls en managementtoezicht nodig.
Ja, in sommige gevallen. NIS2 richt zich vooral op middelgrote en grote entiteiten in gedekte sectoren, maar kleinere bedrijven kunnen alsnog onder NIS2 vallen als zij kritieke diensten leveren, de enige aanbieder van een essentiële dienst zijn of onder specifieke nationale regels vallen. Ook groepsstructuur kan de beoordeling beïnvloeden.
Behandel dit als een commerciële readinesskwestie. U heeft mogelijk geen volledig NIS2-complianceprogramma nodig, maar u moet wel bewijs voorbereiden waar klanten waarschijnlijk om vragen: toegangsbeheer, incident response, vulnerability management, supplier security, backup en recovery, en management approval records.
Start met een scopebevestiging. Identificeer uw sector, juridische entiteiten, groepsstructuur, EU-footprint, klantafhankelijkheid en bestaande security-evidence. Dat geeft leadership genoeg informatie om te beslissen of u doorgaat naar een gap analysis, evidence pack of beperkt customer-readiness track.
Nee. ISO 27001 kan NIS2-readiness ondersteunen omdat het een gestructureerd security management system en audit evidence biedt. Maar NIS2 heeft ook specifieke vereisten rond incidentrapportage, management accountability, supply-chain security en implementatie per lidstaat. ISO 27001 is een sterke input, geen automatisch antwoord.
Laten we beginnen met Sunbytes
Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.
