NIS2 Gap-analyse: Een Stapsgewijze Handleiding voor Jouw Organisatie

Een compliance officer bij een Nederlands logistiek bedrijf opent een spreadsheet. Bovenaan: de tien cybersecurity-maatregelen uit artikel 21 van NIS2. Aan de zijkant: elke afdeling, elk systeem en elk proces dat het bedrijf draait. De meeste cellen zijn leeg. Ze weet nu precies waar de problemen zitten — en belangrijker: waar het budget als eerste naartoe moet.

Die spreadsheet is een NIS2 gap-analyse. Het is de meest nuttige stap die elke organisatie nu kan zetten, voordat handhavingsdeadlines verstrijken en de RDI of NCSC om uitleg vraagt.

Als jouw organisatie onder NIS2 valt — of denkt dat het zo kan zijn — lees dan hoe je dit goed aanpakt.

Wat een NIS2 Gap-analyse Eigenlijk Is

Een gap-analyse vergelijkt wat jouw organisatie vandaag doet met wat NIS2 vereist. Niet meer, niet minder.

NIS2 is geen certificering. Het is een wettelijke verplichting op basis van EU-richtlijn 2022/2555 — in Nederland vastgelegd in de Cyberbeveiligingswet — die organisaties in gedekte sectoren verplicht om specifieke cybersecurity-maatregelen te implementeren, incidenten binnen strikte termijnen te melden, en te zorgen voor toezicht op beveiliging op bestuursniveau.

Een gap-analyse brengt jouw huidige beveiligingspositie in kaart ten opzichte van deze eisen, en levert een duidelijke lijst op van wat ontbreekt, wat gedeeltelijk aanwezig is, en wat al voldoet. Het resultaat is een geprioriteerd actieplan — geen slaag/zak-uitspraak.

Als jouw organisatie al ISO 27001-gecertificeerd is, heb je een voorsprong. Maar NIS2 en ISO 27001 zijn niet hetzelfde — de richtlijn bevat specifieke verplichtingen rondom meldingstermijnen voor incidenten, beveiliging van de toeleveringsketen, en bestuurdersaansprakelijkheid die ISO 27001 niet dekt.

Stap 1: Bevestig dat je In Scope Valt

Voordat je tijd investeert in een volledige gap-analyse, verifieer of NIS2 daadwerkelijk op jouw organisatie van toepassing is. De scope-regels zijn rechttoe rechtaan:

• Jouw organisatie is actief in een van de essentiële of belangrijke sectoren die de richtlijn definieert
• Je hebt 50 of meer medewerkers, of een jaarlijkse omzet van meer dan €10 miljoen
• Sommige entiteiten — DNS-aanbieders, verleners van vertrouwensdiensten, TLD-registers — vallen altijd in scope, ongeacht de omvang

Vergeet de toeleveringsketen niet. Zelfs als jouw organisatie onder de drempelwaarden valt, kunnen jouw grootste klanten NIS2-entiteiten zijn. Op grond van Article 21(2)(d) zijn zij verplicht om beveiligingsrisico's in de toeleveringsketen te beheersen — wat betekent dat ze bewijs van jouw beveiligingspositie zullen gaan opvragen.

Is NIS2 van toepassing op uw organisatie?
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja▼
Nee▼
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
Ja▼
Nee▼
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja▼
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja ↓Nee →
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
Ja ↓Nee →
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja ↓Nee →
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
Van toepassing
Mogelijk van toepassing
Niet van toepassing

Stap 2: Breng in Kaart tegen de 10 Maatregelen van Artikel 21

Artikel 21 is de ruggengraat van NIS2-compliance. Het schrijft tien minimale maatregelen voor risicobeheer in cyberbeveiliging voor die elke entiteit in scope moet implementeren. Jouw gap-analyse moet elke maatregel afzonderlijk beoordelen.

Artikel 21 — 10 NIS2 Cybersecuritymaatregelen
🛡️
Artikel 21
10 Cybersecuritymaatregelen
📊
Governance & Strategie
1Risicoanalyse & informatiebeveiligingsbeleid
6Effectiviteitsbeoordeling van beveiligingsmaatregelen
🚨
Incidenten & Continuïteit
2Incidentafhandeling & melding
3Bedrijfscontinuïteit & disaster recovery
🔗
Toeleveringsketen & Systemen
4Beveiliging van de toeleveringsketen
5Beveiliging bij de ontwikkeling van netwerk- en informatiesystemen
🔐
Technische Beheersing
8Cryptografie & versleuteling
10Multi-factor authenticatie & veilige communicatie
👥
Mensen & Middelen
7Cyberhygiëne & training
9HR-beveiliging & toegangscontrole

Documenteer per maatregel drie dingen:

1. Huidige situatie — wat bestaat er vandaag? Beleid, tools, processen, bewijsmateriaal
2. Gap — wat ontbreekt of is onvolledig ten opzichte van de NIS2-eis?
3. Prioriteit — hoe kritiek is deze gap op basis van risico en handhavingswaarschijnlijkheid?

Zo pak je de beoordeling aan voor de maatregelen waar organisaties het vaakst tekortschïeten.

Risicoanalyse en Informatiebeveiligingsbeleid

Heb je een gedocumenteerd, bestuurlijk goedgekeurd informatiebeveiligingsbeleid? Niet een vijf jaar oud document dat ergens op SharePoint staat — een actueel beleid dat jouw werkelijke risicolandschap weerspiegelt en formeel is goedgekeurd door het management, zoals artikel 20 vereist.

Wat je controleert: Datum van de laatste bestuursgoedkeuring, of het beleid alle NIS2-relevante systemen dekt, of het naar medewerkers is gecommuniceerd.

Incidentafhandeling

Kan jouw organisatie een cybersecurity-incident binnen 24 uur detecteren, classificeren en melden? De NIS2-meldingstermijnen — 24 uur voor vroegtijdige waarschuwing, 72 uur voor volledige melding, één maand voor het eindrapport — vereisen processen die de meeste middelgrote organisaties niet hebben.

NIS2 Incidentmeldingstijdlijn
24h
⚡
Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
Stap 1
72h
📋
Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
Stap 2
1mo
📊
Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.
Stap 3
24h
⚡
Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
72h
📋
Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
1mo
📊
Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.

Wat je controleert: Vastgelegde escalatieprocedures, contactgegevens van het nationale CSIRT (in Nederland: NCSC), meldingssjablonen, monitoringstools die detectie binnen de vereiste tijdsperiode ondersteunen.

Beveiliging van de Toeleveringsketen

Dit is de maatregel die de meeste organisaties onderschatten. Article 21(2)(d) verplicht je om beveiligingsrisico's in jouw toeleveringsketen te beoordelen en te beheersen — inclusief je IT-dienstverleners, cloudleveranciers en softwareleveranciers.

Wat je controleert: Contracten met beveiligingsclausules, risicobeoordelingen van leveranciers, auditrechten, meldingsvereisten voor incidenten bij leveranciers.

Effectiviteitsbeoordeling

Beveiligingsmaatregelen hebben is niet genoeg. Artikel 21 verplicht je om te toetsen of die maatregelen daadwerkelijk werken. Dat betekent testen, auditen en reviewen — regelmatig, niet eenmalig.

Wat je controleert: Penetratietestrapportages, intern auditschema, meetwaarden voor de effectiviteit van beveiligingscontroles, opvolging van eerdere bevindingen.

Stap 3: Scoor je Gaps

Gebruik een eenvoudig drieniveausysteem voor elk van de tien maatregelen:

Score	Betekenis	Vereiste actie
Groen	Maatregel is geïmplementeerd, gedocumenteerd en regelmatig gereviewed	Onderhouden en aantonen
Oranje	Gedeeltelijk geïmplementeerd of documentatie is verouderd	Remediëren binnen 3-6 maanden
Rood	Niet geïmplementeerd of fundamenteel tekortschietend	Direct prioriteren

Wees eerlijk. De gap-analyse is een intern instrument — je scores oppoetsen werkt averechts. Wanneer een toezichthouder op een gegeven moment bewijs vraagt van jouw NIS2-compliance-programma, toont een oprechte gap-analyse met een duidelijke remedieringstijdlijn veel meer volwassenheid dan een gelikte presentatie die de werkelijkheid niet weergeeft.

Stap 4: Prioriteer op Basis van Risico en Regelgevingsfocus

Niet alle gaps wegen even zwaar. Prioriteer op basis van twee factoren:

Risicobelasting — welke gaps, als ze worden benut, veroorzaken de meeste schade voor jouw organisatie? Een gebrekkig kwetsbaarheidsbeheerproces (maatregel 5) gecombineerd met zwakke incidentafhandeling (maatregel 2) creëert een scenario waarbij een datalek onopgemerkt en ongemeld blijft — met zowel operationele schade als handhavingsboetes tot gevolg.

Regelgevingsfocus — Europese nationale autoriteiten, waaronder de RDI en het NCSC in Nederland, hebben aangegeven dat initiële handhaving zich zal richten op:

• Registratienaleving (ben je geregistreerd?)
• Meldingscapaciteit voor incidenten (kun je de 24/72-uurstermijnen halen?)
• Bestuurlijk toezicht (heeft jouw management cybersecurity-maatregelen goedgekeurd?)
• Supply chain due diligence (heb je jouw leveranciers beoordeeld?)

Deze vier gebieden horen bovenaan jouw remedieringslijst te staan, ongeacht je interne risicobeoordeling.

Stap 5: Bouw je Remedieringsroadmap

Vertaal je gap-analyse naar een concreet actieplan met eigenaren, deadlines en budgetschattingen.

Quick wins (1-3 maanden):

• Formaliseer bestuursgoedkeuring van bestaand beveiligingsbeleid
• Plan cybersecurity-training voor het management (vereiste van artikel 20)
• Registreer bij jouw nationale autoriteit als het portaal open is
• Stel een contactketen op voor incidentrespons

Acties op middellange termijn (3-6 maanden):

• Implementeer of verbeter monitoring- en detectiemogelijkheden
• Voer beveiligingsbeoordelingen uit bij kritieke leveranciers
• Implementeer multifactorauthenticatie op alle kritieke systemen
• Ontwikkel en test meldingssjablonen voor incidenten

Langetermijninitiatieven (6-12 maanden):

• Bouw een programma voor continue effectiviteitsbeoordeling
• Integreer supply chain-beveiligingseisen in inkoopprocessen
• Stel een reguliere audit- en reviewcyclus in
• Stem bedrijfscontinuïteitsplannen af op NIS2-eisen

Veelgemaakte Fouten bij NIS2 Gap-analyses

Het behandelen als eenmalige oefening. NIS2-compliance is een continu proces. Jouw gap-analyse moet een levend document zijn dat je minstens per kwartaal opnieuw bekijkt — en zeker na elke significante wijziging in jouw IT-omgeving, organisatiestructuur of dreigingslandschap.

De toeleveringsketen negeren. Organisaties zijn geneigd naar binnen te kijken. Maar Article 21(2)(d) vereist expliciet dat je naar buiten kijkt — naar jouw leveranciers, dienstverleners en afhankelijkheden. Een gap-analyse die bij jouw eigen perimeter stopt, is onvolledig.

Het bestuur overslaan. Artikel 20 maakt managementorganen persoonlijk aansprakelijk. Als jouw bestuur niet is gebrieft over de resultaten van de gap-analyse en het remedieringsplan niet formeel heeft goedgekeurd, heb je een governance-gap die toezichthouders zullen opmerken.

Het proces overcompliceren. Je hebt geen zesmaands consultingtraject nodig voor een gap-analyse. Een gestructureerde zelfevaluatie tegen de tien maatregelen van artikel 21, eerlijk uitgevoerd en goed gedocumenteerd, brengt je 80% van de weg.

Begin met een Snelle Beoordeling

Een volledige NIS2 gap-analyse kost tijd en interne afstemming. Maar je kunt in enkele minuten al een helder beginbeeld krijgen.

Doe de gratis NIS2 Quick Scan — die brengt jouw organisatie in kaart tegen de eisen van artikel 21 en laat precies zien waar jouw grootste gaps zitten. Het is de snelste manier om jouw NIS2-gereedheid te begrijpen voordat je je vastlegt aan een volledig remedieringsprogramma.

Organisaties die nu beginnen met hun gap-analyse — terwijl de handhaving in heel Europa op gang komt — hebben de tijd om gaps methodisch te dichten, zonder de druk en de meerkosten die horen bij compliance in last-minute-modus.