De NIS2-richtlijn stelt nieuwe eisen aan cybersecurity voor een brede groep organisaties. Ontdek met een gap-analyse exact welke stappen jij nog moet zetten.
De Network and Information Security Directive 2 (NIS2) is de opvolger van de eerste Europese cybersecurityrichtlijn en geldt sinds oktober 2024 voor een aanzienlijk bredere groep organisaties dan voorheen. Waar NIS1 vooral gericht was op vitale sectoren als energie en transport, trekt NIS2 de scope op naar sectoren als voedselproductie, chemie, afvalbeheer, post- en koeriersdiensten, digitale dienstverleners en productiebedrijven. Zelfs als je organisatie niet direct onder de richtlijn valt, kun je als toeleverancier van een NIS2-plichtige organisatie met de eisen te maken krijgen.
De richtlijn stelt eisen op tien domeinen, waaronder governance en verantwoordelijkheid, risicobeheer, incidentmelding, supply chain security, business continuity, encryptie, toegangsbeheer en personeelsbeleid. Voor veel organisaties is het onduidelijk waar ze staan ten opzichte van deze eisen. Een NIS2 gap-analyse brengt dat in kaart.
Onze gap-analyse toetst je huidige beveiligingsmaatregelen, beleid en procedures aan de eisen van de NIS2-richtlijn. Per domein beoordelen we of je compliant bent, gedeeltelijk compliant of non-compliant. Daarbij kijken we niet alleen naar technische maatregelen, maar nadrukkelijk ook naar governance: wie is verantwoordelijk voor cybersecurity op bestuursniveau? Is er een risicomanagementproces? Worden incidenten geregistreerd en gemeld volgens de vereiste tijdlijnen?
Het resultaat is een gedetailleerd gap-rapport met een heldere status per NIS2-eis. Per gevonden gap beschrijven we wat er ontbreekt, waarom het vereist is, wat de mogelijke consequenties zijn van non-compliance en welke concrete stappen nodig zijn om de gap te dichten. De bevindingen worden samengevat in een compliance-dashboard dat in een oogopslag laat zien op welke domeinen je goed scoort en waar de meeste aandacht nodig is.
Wat veel organisaties onderschatten is de governance-component van NIS2. De richtlijn verplicht dat het bestuur aantoonbaar verantwoordelijkheid neemt voor cybersecurity. Dat betekent niet dat de directeur zelf de firewall moet configureren, maar wel dat cybersecurityrisico's structureel op de agenda van het bestuur staan en dat er budget en capaciteit voor is vrijgemaakt. Onze gap-analyse beoordeelt ook deze organisatorische en bestuurlijke aspecten.
Bij CleverTech hebben we een NIS2-toetsingskader ontwikkeld dat gebaseerd is op de officiële richtlijntekst, de ENISA-guidance en de Nederlandse implementatiewetgeving. We combineren documentreview, interviews met sleutelfiguren en technische controles om een compleet beeld te krijgen van je compliance-status.
Concrete onderdelen en wat u kunt verwachten
De NIS2-richtlijn definieert tien kerngebieden waarop organisaties maatregelen moeten treffen. Onze gap-analyse beoordeelt elk domein systematisch. Governance en verantwoordelijkheid: is cybersecurity belegd op bestuursniveau? Risicobeheer: is er een actueel risicoregister en een risicomanagementproces? Incidentbeheer: worden incidenten gedetecteerd, geregistreerd en gemeld binnen de verplichte termijnen (24 uur voor een eerste melding, 72 uur voor een volledige melding)? Business continuity: zijn er back-upstrategieën, disaster recovery-plannen en crisismanagementprocedures? Supply chain security: hoe beoordeel je de beveiliging van je leveranciers en dienstverleners? Encryptie en cryptografie: worden gevoelige data versleuteld in rust en in transport? Toegangsbeheer: is er een identity & access management beleid? Kwetsbaarheidsbeheer: hoe worden kwetsbaarheden geidentificeerd en verholpen? Netwerk- en informatiebeveiliging: zijn er technische beveiligingsmaatregelen? Personeelsbeleid: worden medewerkers getraind en gescreend?
Een van de meest impactvolle aspecten van NIS2 is de persoonlijke verantwoordelijkheid van het bestuur. De richtlijn bepaalt dat leidinggevenden van essentiële en belangrijke entiteiten cybersecuritytrainingen moeten volgen en aantoonbaar verantwoordelijkheid nemen voor het risicobeheer. Bij grove nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Onze gap-analyse beoordeelt of je governancestructuur NIS2-proof is. We toetsen of cybersecurity structureel op de bestuursagenda staat, of er een CISO of vergelijkbare functionaris is aangesteld, of het bestuur aantoonbaar getraind is en of er een mandaat- en verantwoordelijkheidsmatrix bestaat. We helpen je bij het formuleren van een governance-framework dat aan de NIS2-eisen voldoet, inclusief templates voor bestuursrapportages en besluitvorming. Dit is niet alleen een compliance-exercitie. Een goede governance-structuur zorgt ervoor dat cybersecurity niet langer een IT-probleem is dat onder de radar blijft, maar een bedrijfsbreed thema waar bewust over wordt beslist en geinvesteerd.
NIS2 verplicht organisaties om significante incidenten te melden bij de nationale toezichthouder. De meldtermijnen zijn strak: binnen 24 uur een eerste melding (early warning), binnen 72 uur een volledige melding met een beoordeling van de impact, en binnen een maand een eindrapport met de oorzaakanalyse en genomen maatregelen. Onze gap-analyse toetst je incidentresponscapaciteiten aan deze eisen. Heb je een incidentresponsplan? Worden incidenten structureel gedetecteerd en geregistreerd? Is er een meldprocedure die aansluit op de NIS2-termijnen? Zijn de verantwoordelijkheden helder belegd? Hebben de betrokken medewerkers de kennis en middelen om een incident af te handelen? We beoordelen ook of je ooit een incident response-oefening hebt gedaan. Want een plan dat in de la ligt, is geen plan. Een tabletop-exercise of simulatie laat zien of het plan in de praktijk werkt en waar de zwakke plekken zitten. Als onderdeel van onze dienstverlening kunnen we een dergelijke oefening faciliteren.
NIS2 besteedt expliciet aandacht aan de beveiliging van de toeleveringsketen. Organisaties moeten de cybersecurityrisico's van hun leveranciers en dienstverleners beoordelen en beheersen. Dit gaat verder dan een verwerkersovereenkomst: je moet aantoonbaar maken dat je de beveiligingsmaatregelen van je leveranciers kent en beoordeelt. Onze gap-analyse inventariseert je kritieke leveranciers en beoordeelt of je een leveranciersrisicomanagementproces hebt. We toetsen of je contracten beveiligingsclausules bevatten, of je leveranciers periodiek beoordeelt en of je een procedure hebt voor het omgaan met incidenten bij leveranciers. Dit is met name relevant voor cloud- en SaaS-diensten, waar je bedrijfskritieke data toevertrouwt aan derden. We helpen je bij het opstellen van een leveranciersbeoordelingskader en beveiligingsvragenlijsten die je kunt gebruiken om het beveiligingsniveau van je leveranciers structureel te monitoren. Zo voldoe je niet alleen aan NIS2, maar verklein je ook het risico op supply chain-aanvallen die steeds vaker voorkomen.
Concrete voorbeelden van hoe bedrijven nis2 gap-analyse inzetten
Antwoorden op veelgestelde vragen over nis2 gap-analyse
Vraag niet beantwoord?
Neem contact met ons op - ga naar de contactpaginaDe EU AI Act deadline nadert. Ontdek wat Nederlandse bedrijven nu moeten doen: risicoclassificatie, documentatie-eisen en een praktische compliance checklist.
Eén op de vijf MKB-bedrijven wordt jaarlijks slachtoffer van een cyberaanval. De gemiddelde schade: 65.000 euro. Deze 20 maatregelen beschermen je bedrijf tegen de meest voorkomende dreigingen.
Elk bedrijf dat AI gebruikt heeft een AI-beleid nodig. Deze praktische gids met template helpt je om in 5 stappen een compleet AI-beleid op te stellen.
Ontdek andere aspecten van onze security audit dienst
Van servers en werkplekken tot cloud-configuraties en netwerksegmentatie — ontdek kwetsbaarheden voordat aanvallers dat doen.
Meer infoEen systematische analyse van je systemen op bekende kwetsbaarheden, met CVSS-scoring en een concreet verbeterplan op volgorde van urgentie.
Meer infoEen gestructureerd 30-60-90 dagen verbeterplan dat je stap voor stap naar een aantoonbaar hoger beveiligingsniveau brengt, met heldere prioriteiten en budgetramingen.
Meer infoEen grondige privacy-audit die je verwerkingsregister, DPIA-verplichting, datalekprocedures en verwerkersovereenkomsten toetst aan de AVG-vereisten.
Meer infoOntdek hoe je team reageert op realistische phishing-aanvallen en social engineering-technieken, en verhoog het bewustzijn met gerichte training.
Meer infoOntdek hoe nis2 gap-analyse uw bedrijf kan versterken. Geen verplichtingen.
