Een NIS2 compliance checklist is alleen nuttig als deze laat zien wat uw bedrijf met bewijs kan aantonen. Alleen een beleidsnaam is niet genoeg. Alleen een scanrapport is niet genoeg. Voor EU-SMEs die zich voorbereiden op NIS2 is de praktische vraag: kan uw team bewijzen dat de vereiste cybersecuritycontroles bestaan, werken en worden beoordeeld?
NIS2 Artikel 21 verplicht essentiële en belangrijke entiteiten om passende en proportionele technische, operationele en organisatorische maatregelen te nemen om cybersecurityrisico’s te beheersen. Voor SMEs betekent dit dat brede wettelijke vereisten moeten worden vertaald naar bewijs: beleid, risicoanalyses, incidentregistraties, leveranciersreviews, toegangslogs, testrapporten en managementgoedkeuring.
Deze checklist vertaalt de 10 maatregelgebieden uit Artikel 21(2) naar 40 controlepunten. Gebruik deze als self-assessment vóór een formele NIS2 gap analysis, klantreview, bestuursupdate of compliance readiness assessment.
TL;DR
NIS2 compliance vereist dat EU-SMEs 40 praktische controlepunten kunnen aantonen binnen de 10 cybersecurityrisicobeheersmaatregelen uit Artikel 21(2). Deze checklist behandelt risicobeleid, incidentafhandeling, bedrijfscontinuïteit, supply chain security, secure development, effectiviteit van controles, cyberhygiëne, cryptografie, toegangsbeheer, asset management en MFA of veilige communicatie.
De 10 Artikel 21(2)-maatregelen die deze checklist behandelt:
- Risicoanalyse en beleid voor de beveiliging van informatiesystemen: 4 controles
- Incidentafhandeling: 4 controles
- Bedrijfscontinuïteit en crisismanagement: 4 controles
- Supply chain security: 4 controles
- Beveiliging bij aanschaf, ontwikkeling en onderhoud van systemen: 4 controles
- Beoordeling van de effectiviteit van cybersecuritymaatregelen: 4 controles
- Basispraktijken voor cyberhygiëne en cybersecuritytraining: 4 controles
- Cryptografie en encryptie: 4 controles
- Human resources security, toegangsbeheer en asset management: 4 controles
- Multi-factor authentication en veilige communicatie: 4 controles
Als uw resultaat RED of AMBER controles bevat, plaats deze items dan in een gap register en prioriteer ze via een gestructureerde NIS2 gap analysis.
Wat NIS2 Artikel 21 vereist en voor wie deze NIS2 compliance checklist bedoeld is
NIS2 Artikel 21 is het belangrijkste artikel over risicobeheer in de Directive. Het verplicht organisaties die binnen de scope vallen om cybersecuritymaatregelen toe te passen die passen bij hun risico, omvang, blootstelling en de impact van hun diensten.
Voor een EU-SME betekent dit niet dat u een enterprise security programme moet kopiëren. Het betekent dat uw organisatie moet kunnen bewijzen dat risico’s zijn geïdentificeerd, eigenaarschap is toegewezen, basiscontroles zijn geïmplementeerd en bewijs beschikbaar is wanneer een toezichthouder, klant, verzekeraar of bestuurslid daarom vraagt.
Deze checklist is bedoeld voor:
● EU-SMEs die al weten of vermoeden dat zij onder NIS2 vallen.
● CTOs, IT Managers, CISOs, Compliance Managers en founders die bewijs voorbereiden.
● Bedrijven die door klanten, leveranciers, auditors of investeerders worden gevraagd om NIS2 readiness aan te tonen.
● Nederlandse of bredere EU-organisaties die een praktische bewijsbasis nodig hebben vóór een formele review.
Deze checklist is geen juridisch advies. NIS2 wordt via nationale wetgeving geïmplementeerd. Daardoor kunnen sectorscope, toezichthouder, registratievereisten en handhavingsproces verschillen per Member State. Gebruik deze checklist als readiness tool en bevestig nationale vereisten daarna met een gekwalificeerde NIS2-adviseur.
Als u nog moet bevestigen of NIS2 op uw bedrijf van toepassing is, start dan met een scope test voordat u deze checklist gebruikt.
Hoe deze NIS2 compliance checklist aansluit op Artikel 20 governance
NIS2 readiness is niet alleen een IT-taak. Artikel 20 verplicht bestuursorganen van essentiële en belangrijke entiteiten om cybersecurityrisicobeheersmaatregelen goed te keuren, toezicht te houden op de implementatie en training te volgen.
Dat heeft invloed op het bewijs dat uw bedrijf moet voorbereiden. Als het bestuur een risk treatment plan goedkeurt, moet er een gedateerd goedkeuringsrecord zijn. Als het management een cybersecurity KPI-rapport ontvangt, moet er een rapportagepakket of vergaderverslag zijn. Als bestuursleden NIS2-training afronden, moet daar trainingsbewijs van zijn.
Voor de governancekant van NIS2 koppelt u deze checklist aan uw management accountability-workstream.
Hoe u deze NIS2 compliance checklist gebruikt
Score elke controle als RED, AMBER of GREEN. De score is gebaseerd op bewijs, niet op intentie.
| Score | Betekenis | Volgende stap |
|---|---|---|
| RED | De controle ontbreekt, is niet gedocumenteerd of is niet toegewezen aan een owner. | Voeg deze toe aan het gap register en prioriteer herstel. |
| AMBER | De controle bestaat deels, maar het bewijs is verouderd, incompleet of niet gereviewd. | Bepaal welk bewijs ontbreekt en wie de owner is. |
| GREEN | De controle bestaat, werkt in de praktijk en heeft actueel bewijs. | Bewaar het bewijs in uw NIS2 evidence pack en review het volgens planning. |
Verzamel per controle het minimumbewijs dat in de tabel staat. Vertrouw niet op mondelinge bevestiging. NIS2 readiness hangt af van wat uw organisatie kan aantonen.
Een goede self-assessment bestaat uit vijf stappen:
- Bevestig welke systemen, diensten, leveranciers en data binnen scope vallen.
- Score elke controle als RED, AMBER of GREEN.
- Wijs een owner toe aan elke RED en AMBER controle.
- Plaats elke gap in een risicogewogen register.
- Zet het register om in een herstelroadmap en evidence pack.
Als de checklist veel RED of AMBER items laat zien, is de volgende stap niet om meer beleid te schrijven. De volgende stap is een gestructureerde assessment die ernst, eigenaarschap, volgorde en bewijsvereisten bepaalt.
De NIS2 compliance checklist: 40 controles
Deze sectie vertaalt de 10 cybersecurityrisicobeheersgebieden uit Artikel 21(2) naar 40 praktische controles. Elke controle bevat minimumbewijs waarmee uw team kan beoordelen of de controle aantoonbaar is.
Art.21(2)(a) Beleid voor risicoanalyse en beveiliging van informatiesystemen
| Controle om aan te tonen | Minimumbewijs | Status | |
|---|---|---|---|
| 1 | Er bestaat een geschreven informatiebeveiligingsbeleid, goedgekeurd door het management en gereviewd in de afgelopen 12 maanden. | Ondertekend informatiebeveiligingsbeleid met reviewdatum en managementgoedkeuring. | RED / AMBER / GREEN |
| 2 | Er is een formele methodiek voor risicoanalyse gedefinieerd en gedocumenteerd. | Document met risicoanalysemethodiek, als standalone document of opgenomen in het securitybeleid. | RED / AMBER / GREEN |
| 3 | Er is een risicoanalyse uitgevoerd voor systemen en diensten binnen scope, met gedocumenteerde bevindingen. | Risicoanalyserapport gedateerd binnen de afgelopen 12 maanden. | RED / AMBER / GREEN |
| 4 | Er bestaat een risk treatment plan, met geaccepteerde restrisico’s die zijn gedocumenteerd en goedgekeurd door het management. | Risk treatment plan met owner, deadline, status en management sign-off voor acceptatie van restrisico. | RED / AMBER / GREEN |
Art.21(2)(b) Incidentafhandeling
| Controle om aan te tonen | Minimumbewijs | Status | |
|---|---|---|---|
| 5 | Er bestaat een incident response-procedure waarin de 24-uurs early warning en 72-uurs incidentmelding uit Artikel 23 zijn opgenomen. | Incident response-procedure waarin de Artikel 23-termijnen staan vermeld. | RED / AMBER / GREEN |
| 6 | Rollen en verantwoordelijkheden voor incident response zijn gedocumenteerd en toegewezen aan benoemde personen of rollen. | RACI-matrix, escalatieboom of incidentrollenmatrix. | RED / AMBER / GREEN |
| 7 | De organisatie heeft in de afgelopen 12 maanden ten minste één incident tabletop exercise, walkthrough of test uitgevoerd. | Oefenrecord met datum, scenario, deelnemers, beslissingen en lessons learned. | RED / AMBER / GREEN |
| 8 | Er wordt een incidentlog bijgehouden voor significante incidenten en near-misses. | Incidentregister met datum, categorie, ernst, owner, status en afsluitrecord. | RED / AMBER / GREEN |
NIS2 Artikel 23 creëert een korte rapportagetermijn. De organisatie heeft bewijs nodig dat het rapportagepad is getest voordat een significant incident plaatsvindt.
Art.21(2)(c) Bedrijfscontinuïteit en crisismanagement
| Controle om aan te tonen | Minimumbewijs | Status | |
|---|---|---|---|
| 9 | Er bestaat een business continuity plan voor kritieke diensten die binnen de scope van NIS2 vallen. | BCP waarin kritieke diensten, herstelprocedures, systeemeigenaren en afhankelijkheden zijn vastgelegd. | RED / AMBER / GREEN |
| 10 | Recovery time objectives en recovery point objectives zijn gedocumenteerd voor kritieke diensten. | RTO/RPO-record binnen het BCP, disaster recovery plan of IT-hersteldocument. | RED / AMBER / GREEN |
| 11 | Het BCP is in de afgelopen 12 maanden getest. | BCP-testrecord met datum, testtype, deelnemers, resultaten en opvolgacties. | RED / AMBER / GREEN |
| 12 | Er bestaat een crisiscommunicatieplan waarin interne en externe partijen staan die tijdens een significant incident geïnformeerd moeten worden. | Crisiscommunicatieplan of BCP-sectie met contactlijst, escalatiepad en proces voor berichtgoedkeuring. | RED / AMBER / GREEN |
Art.21(2)(d) Supply chain security
| Controle om aan te tonen | Minimumbewijs | Status | |
|---|---|---|---|
| 13 | Er bestaat een supply chain security-beleid voor leveranciers met toegang tot systemen, data of kritieke diensten. | Supply chain security-beleid goedgekeurd door het management. | RED / AMBER / GREEN |
| 14 | Kritieke leveranciers zijn geïdentificeerd en in de afgelopen 12 maanden beoordeeld op cybersecurityrisico. | Leveranciersrisicoregister en ingevulde security assessment-records voor kritieke leveranciers. | RED / AMBER / GREEN |
| 15 | Contractuele securityvereisten zijn aanwezig voor leveranciers met toegang tot systemen of data binnen scope. | Securityclausules, DPA, security schedule of contractuele controlevereisten voor kritieke leveranciers. | RED / AMBER / GREEN |
| 16 | Er bestaat een proces om de security posture van leveranciers doorlopend te monitoren. | Reviewplanning voor leveranciers, reassessment-records of leveranciersrisicoregister met reviewdatums. | RED / AMBER / GREEN |
Supplier security is een van de gebieden die het makkelijkst te weinig wordt gedocumenteerd. Als een kritieke leverancier toegang heeft tot klantdata, productiesystemen of kerninfrastructuur, moet uw bewijs laten zien wanneer de leverancier is gereviewd, wat er is gecontroleerd en welke contractuele controles gelden.
Art.21(2)(e) Beveiliging bij aanschaf, ontwikkeling en onderhoud van netwerk- en informatiesystemen
| Controle om aan te tonen | Minimumbewijs | Status | |
|---|---|---|---|
| 17 | Er bestaat een secure development- of system acquisition-procedure voor software-, systeem- en infrastructuurwijzigingen. | Secure development policy, procurement security-procedure of change control-standard. | RED / AMBER / GREEN |
| 18 | Securityvereisten zijn gedocumenteerd in grote procurement- en developmentprojecten. | Securityvereisten in procurementdocumenten, projectbacklog, architecture decision record of security user stories. | RED / AMBER / GREEN |
| 19 | Vulnerability scanning wordt regelmatig uitgevoerd op systemen binnen scope, met tracking en herstel van bevindingen. | Recente vulnerability scan-resultaten en remediation tracking-record. | RED / AMBER / GREEN |
| 20 | Penetration testing of gelijkwaardige security testing is uitgevoerd op kritieke systemen, met gedocumenteerde bevindingen en tracking van herstel. | Pentest-rapport of security assessment-rapport, gedateerd binnen de afgesproken risicocyclus, met retest-bewijs voor kritieke en hoge bevindingen. | RED / AMBER / GREEN |
Alleen een scanrapport is niet genoeg bewijs. De organisatie moet ook laten zien wie bevindingen heeft gereviewd, hoe de ernst is bepaald, welke owner de fix heeft geaccepteerd en of bevindingen met hoog risico opnieuw zijn getest.
Art.21(2)(f) Beleid en procedures om de effectiviteit van cybersecurityrisicobeheersmaatregelen te beoordelen
| Controle om aan te tonen | Minimumbewijs | Status | |
|---|---|---|---|
| Controle om aan te tonen | Minimumbewijs | Status | |
| 21 | Er bestaat een intern audit- of security assessment-programma om te verifiëren of cybersecuritycontroles werken. | Interne auditplanning, control assessment-plan of security review-programma. | RED / AMBER / GREEN |
| 22 | In de afgelopen 12 maanden is ten minste één interne security audit of assessment uitgevoerd, met bevindingen die aan het management zijn gepresenteerd. | Recent audit- of assessmentrapport met bewijs van managementreview. | RED / AMBER / GREEN |
| 23 | Er bestaat een corrective action-proces om auditbevindingen te volgen en op te lossen. | Corrective action-register met open bevindingen, owners, deadlines, sluitingsdatums en links naar bewijs. | RED / AMBER / GREEN |
| 24 | Cybersecurity KPIs of control metrics worden gevolgd en gerapporteerd aan het management. | Security KPI-rapport, managementdashboard of terugkerend rapportagepakket voor bestuur/leadership. | RED / AMBER / GREEN |
Dit is het punt waarop veel SMEs verschuiven van “wij hebben security controls” naar “wij kunnen de effectiviteit van controles bewijzen”. Dat verschil telt tijdens customer due diligence, verzekeringsreviews, bestuursrapportage en toezicht door regulators.
Art.21(2)(g) Basispraktijken voor cyberhygiëne en cybersecuritytraining
| Controle om aan te tonen | Minimumbewijs | Status | |
|---|---|---|---|
| 25 | Medewerkers hebben in de afgelopen 12 maanden cybersecurity awareness training afgerond. | Trainingsrecords met naam van medewerker, datum en behandelde content. | RED / AMBER / GREEN |
| 26 | Leden van het bestuursorgaan hebben NIS2-specifieke cybersecuritytraining afgerond. | Trainingsrecords voor bestuur of management, gekoppeld aan Artikel 20(2). | RED / AMBER / GREEN |
| 27 | Er bestaat een acceptable use policy voor systemen, data en devices. | Acceptable use policy goedgekeurd door het management en bevestigd door medewerkers. | RED / AMBER / GREEN |
| 28 | Er bestaat een proces voor het beheren van patches en software-updates op kritieke systemen. | Patchbeheerprocedure en recent bewijs van patchactiviteit. | RED / AMBER / GREEN |
Managementtraining hoort niet verborgen te zitten in algemene awareness training. NIS2 koppelt management accountability aan toezicht op cybersecurityrisico’s. Daarom moet training voor bestuur of senior leadership een eigen record hebben.
Art.21(2)(h) Beleid en procedures voor cryptografie en encryptie
| Controle om aan te tonen | Minimumbewijs | Status | |
|---|---|---|---|
| 29 | Er bestaat een cryptografiebeleid waarin staat welke data versleuteld moeten zijn at rest en in transit. | Cryptografiebeleid waarin encryptiescope, standaarden en eigenaarschap zijn benoemd. | RED / AMBER / GREEN |
| 30 | Persoonsgegevens en gevoelige bedrijfsdata zijn at rest versleuteld op kritieke systemen. | Configuratie van storage-encryptie, cloud control-attestation, systeeminstellingrecord of bevestiging uit security assessment. | RED / AMBER / GREEN |
| 31 | Data in transit tussen systemen zijn versleuteld met actuele protocollen. | TLS-configuratierecord, certificaatinventaris of netwerkassessment dat encryptie in transit bevestigt. | RED / AMBER / GREEN |
| 32 | Cryptografische sleutels worden beheerd via gedocumenteerde procedures. | Key management-procedure, key rotation-record, HSM/KMS-gebruiksbewijs of toegangsbeheerrecord voor key administrators. | RED / AMBER / GREEN |
Encryptiebewijs moet technisch zijn. Een beleid zegt wat er moet gebeuren. Configuratierecords, systeemattestations en reviewlogs laten zien of het ook gebeurt.
Art.21(2)(i) Human resources security, toegangsbeheerbeleid en asset management
| Controle om aan te tonen | Minimumbewijs | Status | |
|---|---|---|---|
| Controle om aan te tonen | Minimumbewijs | Status | |
| 33 | Er bestaat een toegangsbeheerbeleid waarin staat hoe toegang wordt toegekend, gereviewd, gewijzigd en ingetrokken. | Toegangsbeheerbeleid goedgekeurd door het management. | RED / AMBER / GREEN |
| 34 | Toegangsreviews voor kritieke systemen zijn uitgevoerd in de afgelopen 12 maanden. | Toegangsreviewrecords met systeem, reviewer, datum, bevindingen en toegangsaanpassingen. | RED / AMBER / GREEN |
| 35 | Er bestaat een joiners, movers and leavers-procedure om toegang in te trekken of aan te passen wanneer medewerkers vertrekken of van rol veranderen. | JML-procedure en recent bewijs, zoals toegangsintrekkingslogs voor een leaver. | RED / AMBER / GREEN |
| 36 | Er bestaat een inventaris van kritieke assets en deze wordt onderhouden. | Asset inventory met systemen, applicaties, datastores, owners, classificatie en reviewdatum. | RED / AMBER / GREEN |
Toegangsreviews zijn sterker wanneer ze tot echte wijzigingen leiden. Bewaar records van verwijderde accounts, aangepaste rollen, uitgeschakelde slapende gebruikers en managementgoedkeuring voor uitzonderingen.
Art.21(2)(j) Multi-factor authentication, continuous authentication en veilige communicatie
| Controle om aan te tonen | Minimumbewijs | Status | |
|---|---|---|---|
| Controle om aan te tonen | Minimumbewijs | Status | |
| 37 | MFA is geïmplementeerd voor remote access tot systemen binnen scope. | MFA-configuratiebewijs voor VPN, remote administration, cloud admin of gelijkwaardige remote access-paden. | RED / AMBER / GREEN |
| 38 | MFA is geïmplementeerd voor administratieve toegang tot kritieke systemen en infrastructuur. | Admin MFA-beleid, configuratie van identity provider, privileged access-record of bevestiging uit security assessment. | RED / AMBER / GREEN |
| 39 | MFA of continuous authentication is geïmplementeerd voor e-mail- en productiviteitssystemen die gevoelige data verwerken. | Bewijs uit Microsoft 365, Google Workspace of identity provider policy. | RED / AMBER / GREEN |
| 40 | Er bestaat een uitzonderingsproces voor systemen waarop MFA, continuous authentication of veilige communicatiecontroles nog niet zijn geïmplementeerd. | Uitzonderingsregister met risicoacceptatie, owner, compenserende controle en herstelplanning. | RED / AMBER / GREEN |
Een tijdelijke uitzondering blijft een risicobesluit. Deze moet een owner, vervaldatum, compenserende controle en herstelplan hebben. Open-ended MFA-uitzonderingen moeten als AMBER of RED worden behandeld, afhankelijk van de blootstelling.
Een checklist identificeert wat ontbreekt. Een gestructureerde NIS2 readiness assessment bepaalt hoe ernstig elke gap is, welke controles eerst bewijs nodig hebben en wat in de herstelroadmap moet worden opgenomen.
Sunbytes helpt EU-SMEs om checklistresultaten om te zetten in een praktisch NIS2 readiness-traject: gap report, risicogewogen register, herstelroadmap, board summary en evidence pack-structuur. Start met een NIS2 compliance readiness assessment.
Wat u met uw checklistresultaten doet
Behandel na het invullen van de checklist niet alle gaps hetzelfde. Een ontbrekende incidentrapportageprocedure is niet hetzelfde als een verouderd trainingsrecord. Een leverancierscontract zonder securityclausules is niet hetzelfde als een ontbrekende certificaatinventaris.
Gebruik de onderstaande tabel om de volgende stap te bepalen.
| Checklistresultaat | Wat het betekent | Volgende stap |
|---|---|---|
| RED controles | Er bestaan kritieke gaps. De controle ontbreekt, is niet gedocumenteerd of heeft geen owner. | Start een gestructureerde assessment om herstel te prioriteren. |
| AMBER controles | De controle bestaat deels, maar het bewijs is incompleet, verouderd of niet gereviewd. | Bepaal welke documentatie ontbreekt en bereid een NIS2 evidence pack voor. |
| Vooral GREEN controles | Controles bestaan en bewijs is beschikbaar. | Organiseer bewijs per Artikel 21-maatregel en houd reviewdatums actueel. |
| Gemengde RED, AMBER en GREEN resultaten | De meest voorkomende uitkomst voor SMEs. Sommige controles werken, andere hebben eigenaarschap of bewijs nodig. | Plan herstel over 12 weken. Bekijk de NIS2 implementation roadmap. |
Hoe u de NIS2 compliance checklist omzet in een gap register
Een gap register moet meer bevatten dan de naam van de ontbrekende controle. Leg voor elk RED of AMBER item vast:
● Controlenummer en Artikel 21(2)-maatregelgebied
● Huidige score
● Ontbrekend bewijs
● Risico-impact
● Owner
● Doeldatum
● Herstelactie
● Status van managementgoedkeuring
● Link naar ondersteunend bewijs
Zo wordt het gap register bruikbaar voor security, compliance, leadership en delivery teams. Het voorkomt ook dat de checklist een statisch document wordt dat één keer wordt ingevuld en daarna wordt vergeten.
Hoe u het evidence pack opbouwt na scoring
Een NIS2 evidence pack moet per maatregelgebied worden georganiseerd. Bewaar per controle het meest recente goedgekeurde document, technisch bewijs, reviewdatum, owner en volgende reviewdatum.
Toegangsbeheerbewijs hoort bijvoorbeeld dicht bij asset inventory-bewijs te staan, omdat reviewers vaak moeten controleren of toegangsregels aansluiten op de systemen binnen scope. Leveranciersbewijs hoort dicht bij procurement- en contractrecords te staan, omdat reviewers zowel de assessment als de contractuele controle moeten kunnen zien.
Bewijs moet makkelijk te verifiëren zijn. Als een reviewer vijf gesprekken nodig heeft om te begrijpen of een controle bestaat, is het evidence pack niet klaar.
Hoe Sunbytes NIS2 compliance readiness ondersteunt
Sunbytes helpt EU-SMEs om van checklistresultaten naar evidence-ready NIS2-voorbereiding te gaan. Het werk wordt ingericht rond wat uw team moet kunnen aantonen: gaps, owners, herstelvolgorde, managementgoedkeuring en bewijs.
Sunbytes is ISO 27001 gecertificeerd. Engagements kunnen werken onder een getekende DPA met een gedocumenteerd auditspoor. Voor NIS2 readiness is dat relevant, omdat het werk records moet opleveren die uw managementteam, auditor, klant of regulator kan reviewen.
- CyberSecurity Solutions helpen risico te verlagen zonder delivery te vertragen. Voor NIS2 readiness ligt de focus praktisch: scope bevestigen, Artikel 21-control gaps in kaart brengen, evidence maturity beoordelen en een risicogewogen herstelplan voorbereiden.
- Digital Transformation Solutions: Sunbytes kan herstel ondersteunen wanneer de gap binnen software delivery, QA/testing, maintenance, technische documentatie of architectuurbeslissingen zit.
- Accelerate Workforce Solutions: Sunbytes ondersteunt teams die recruitment- of workforce support nodig hebben om de capaciteit op te schalen die nodig is voor doorlopend compliancewerk.
De checklist is de basislijn. De output moet een gap register, herstelplan en evidence pack zijn dat uw team na de assessment kan onderhouden. Bespreek NIS2 compliance readiness met Sunbytes.
FAQs
NIS2 is van toepassing op zowel mkb-bedrijven als grote ondernemingen die actief zijn in sectoren die onder de richtlijn vallen. In het algemeen geldt dat organisaties met 50 of meer medewerkers of een jaaromzet van meer dan €10 miljoen binnen scope vallen.
Kleinere bedrijven kunnen echter ook onder NIS2 vallen wanneer zij als kritisch worden aangemerkt vanwege hun rol, sector of belang binnen een toeleveringsketen. Ook niet-EU-bedrijven die diensten aanbieden binnen de EU kunnen verplicht zijn om aan NIS2 te voldoen.
Registratieverplichtingen en bijbehorende tijdslijnen worden vastgelegd in nationale implementatiewetgeving. Indien je organisatie binnen scope valt, is het belangrijk om de richtlijnen van de bevoegde nationale autoriteit te volgen en voorbereid te zijn om je te registreren zodra dit wordt vereist.
Boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en €7 miljoen of 1,4% voor belangrijke entiteiten. In sommige landen omvat de handhaving ook bestuurlijke aansprakelijkheid of verplichte audits.
Organisaties moeten helder, actueel en verdedigbaar bewijs kunnen overleggen dat laat zien hoe cybersecurity wordt bestuurd en uitgevoerd. Dit omvat doorgaans:
-
risico- en assetregisters;
-
securitybeleid dat aantoonbaar is gekoppeld aan concrete acties;
-
incidentresponsprocedures;
-
systeem- en toegangslogs;
-
leveranciersbeoordelingen op het gebied van security;
-
bewijs van bewustwording en training van medewerkers.
Het bewijs moet de lopende praktijk weerspiegelen en op verzoek beschikbaar zijn tijdens audits, incidenten of klantbeoordelingen.
Sunbytes’ NIS2 Readiness Checklist
Download de checklist om je huidige situatie te beoordelen en prioritaire hiaten inzichtelijk te maken.
