Kun jij deze 10 NIS2-vragen beantwoorden? De meeste organisaties niet
Je hebt de artikelen gelezen. Je kent de deadline. Misschien ben je zelfs al begonnen met een interne inventarisatie.
Maar kun je deze 10 vragen daadwerkelijk beantwoorden?
Ze komen uit onze 50-vragen NIS2-compliancebeoordeling, en elk ervan richt zich op een specifieke blinde vlek die organisaties consequent onderschatten. Het zijn geen strikvragen — het zijn de vragen die toezichthouders zullen stellen wanneer de handhaving begint.
Wees eerlijk tegen jezelf. Als je bij meer dan drie twijfelt, heb je hiaten die aandacht vereisen.
Hoe dit werkt
Elke vraag hieronder is gekoppeld aan een van de 10 risicobeheersmaatregelcategorieën onder Artikel 21 van de NIS2-richtlijn. Samen definiëren deze categorieën wat "passende en evenredige cybersecurity" in de praktijk betekent.
We kozen de moeilijkste vraag uit elke categorie — de vraag die organisaties die zich echt hebben voorbereid onderscheidt van degenen die alleen de samenvatting hebben gelezen.
De 10 vragen
1. Risicoanalyse en beveiliging van informatiesystemen
Kun je een gedocumenteerde, door het bestuur goedgekeurde risicobeoordeling tonen die alle NIS2-relevante assets, dreigingen en kwetsbaarheden dekt — bijgewerkt in de afgelopen 12 maanden?
De meeste organisaties hebben een of andere vorm van risicoregister. Weinige hebben er een dat compleet, actueel en goedgekeurd door hun bestuursorgaan is, zoals NIS2 Artikel 20 vereist. Een risicobeoordeling uit 2022 die IT dekt maar OT, supply chain-afhankelijkheden of clouddiensten negeert, zal een toezichthouder niet tevreden stellen.
2. Incidentafhandeling
Heb je een getest proces om een significant incident te detecteren, te classificeren en binnen 24 uur te melden bij je nationale autoriteit?
NIS2 vereist een vroegtijdige waarschuwing binnen 24 uur, een volledige melding binnen 72 uur en een eindrapport binnen één maand. Het sleutelwoord is "getest." Een gedocumenteerde procedure die nooit is geoefend, is een gedocumenteerd falen dat op het punt staat te gebeuren.
3. Bedrijfscontinuïteit en crisisbeheer
Wanneer heb je voor het laatst je back-upherstel en noodhersteplan end-to-end getest — en kun je dat bewijzen?
Back-ups hebben is niet hetzelfde als bedrijfscontinuïteit hebben. NIS2 vereist dat je daadwerkelijk de operaties kunt herstellen na een incident. Als je laatste hersteltest was "we hebben gecontroleerd of de back-uptaak succesvol was uitgevoerd," dan is dat geen test — dat is hoop.
4. Beveiliging van de toeleveringsketen
Kun je aantonen dat je de cybersecuritypraktijken van je kritieke leveranciers beoordeelt en monitort — met gedocumenteerde criteria en regelmatige evaluaties?
Supply chain-beveiliging is waar de meeste organisaties het grootste gat hebben. NIS2 Artikel 21(3) vereist expliciet dat je beveiligingsrisico's adresseert die voortvloeien uit je relaties met directe leveranciers en dienstverleners. Een standaard leveranciersvragenlijst die eenmalig bij onboarding wordt verstuurd, voldoet niet aan deze drempel.
5. Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen
Bevatten je inkoop- en ontwikkelprocessen cybersecurityvereisten van ontwerp tot implementatie — inclusief kwetsbaarheidsbeheer en -openbaarmaking?
Dit gaat niet alleen over patchen. NIS2 verwacht dat beveiliging is ingebed in hoe je systemen verwerft, bouwt en onderhoudt. Als je inkoopproces kosten, functionaliteit en levertijd evalueert maar geen beveiliging, heb je een structureel hiaat.
6. Beleid en procedures om de effectiviteit van cybersecuritymaatregelen te beoordelen
Hoe meet je of je cybersecuritymaatregelen daadwerkelijk werken — en wanneer heb je dat voor het laatst gedaan?
Dit is de vraag waar de meeste organisaties vastlopen. Maatregelen hebben is stap één. Bewijzen dat ze effectief zijn, is stap twee — en dat is de stap die NIS2 expliciet vereist. Als je antwoord is "we zijn niet gehackt," dan is dat geen meting.
7. Basispraktijken voor cyberhygiëne en cybersecuritytraining
Kun je bewijzen dat alle medewerkers — inclusief het management — in de afgelopen 12 maanden een passende cybersecurity-bewustzijnstraining hebben gevolgd?
Artikel 20(2) vereist specifiek dat bestuursorganen training volgen. Niet optioneel. Niet "wanneer het uitkomt." En "alle medewerkers" betekent iedereen, inclusief uitzendkrachten en tijdelijke werknemers met toegang tot je systemen. Eén jaarlijkse phishingsimulatie is geen training.
8. Beleid en procedures met betrekking tot het gebruik van cryptografie en versleuteling
Heb je een gedocumenteerd beleid over wanneer en hoe versleuteling wordt toegepast op data in rust en in transit — met gedefinieerde standaarden en sleutelbeheerprocedures?
Veel organisaties versleutelen data in transit (HTTPS, VPN) maar hebben geen beleid voor data in rust. NIS2 vereist gedocumenteerd beleid en procedures, geen ad-hocpraktijken. Als je aanpak van cryptografie is "we gebruiken wat de leverancier standaard instelt," dan is dat geen beleid.
9. Personeelsbeveiliging, toegangscontrole en assetbeheer
Is er een gedocumenteerd proces voor het verlenen, beoordelen en intrekken van toegangsrechten — inclusief wanneer iemand van rol verandert of de organisatie verlaat?
Wees-accounts zijn een van de meest voorkomende aanvalsvectoren. NIS2 verwacht dat je toegangsrechten beheert als een doorlopend proces, niet als eenmalige instelling. Als het meer dan 24 uur duurt om de toegang van een vertrekkende medewerker tot alle systemen volledig in te trekken, vertoont je proces hiaten.
10. Multi-factor authenticatie en beveiligde communicatie
Is MFA afgedwongen voor alle geprivilegieerde toegang, externe verbindingen en kritiek systeembeheer — met gedocumenteerde uitzonderingen en een tijdlijn om hiaten te dichten?
NIS2 schrijft geen specifieke technologieën voor, maar vereist wel "waar passend" gebruik van multi-factor authenticatie. In de praktijk zal elke organisatie die geen MFA afdwingt voor beheertoegang en thuiswerken, moeite hebben om te beargumenteren dat haar maatregelen "passend" zijn.
Wat je score je vertelt
Tel de vragen die je met een zelfverzekerd, gedocumenteerd "ja" kunt beantwoorden:
| Je score | Wat het betekent |
|---|---|
| 8–10 zeker ja | Solide basis. Je loopt voor op de meeste organisaties. Focus op documentatie en continue verbetering. |
| 5–7 zeker ja | Significante hiaten. Je begrijpt de basis maar mist de diepgang die NIS2 vereist. Prioriteer de gebieden waar je twijfelde. |
| Minder dan 5 | Dringende actie nodig. Je organisatie heeft materiële compliance-hiaten die je kunnen blootstellen aan handhavingsmaatregelen die verder gaan dan boetes. |
Onthoud: toezichthouders zullen niet vragen of je het hebt geprobeerd. Ze zullen vragen of je kunt aantonen dat je maatregelen passend en evenredig zijn. Documentatie is geen bureaucratie — het is je bewijs.
Dit zijn slechts 10 van de 50
Deze vragen zijn een steekproef uit onze volledige 50-vragen NIS2-compliancebeoordeling, die alle 10 Artikel 21-maatregelcategorieën diepgaand behandelt.
De gratis quickscan geeft je een gestructureerd overzicht van waar je staat. De volledige beoordeling produceert een gedetailleerd PDF-rapport — het soort dat je voor je bestuur kunt leggen en kunt zeggen: "dit is precies waar we staan, en dit is wat we moeten doen."
Of je nu een IT-consultant bent die klanten beoordeelt, een compliance officer die aan het bestuur rapporteert, of een CISO die een business case bouwt — de beoordeling geeft je het gestructureerde, op bewijs gebaseerde startpunt dat NIS2 vereist.