NIS2 checklist: dit moet je geregeld hebben om compliant te zijn
11 min leestijd

NIS2 checklist: dit moet je geregeld hebben om compliant te zijn

Geschreven door
  • Dennis van de WielDennis van de Wiel · Founder & CEOLinkedIn
Laatst bijgewerkt
Jun 22, 2026
De Cyberbeveiligingswet, de Nederlandse omzetting van de NIS2-richtlijn, treedt naar verwachting op 1 juli 2026 in werking. De Tweede Kamer heeft het wetsvoorstel op 15 april 2026 aangenomen, de Eerste Kamer behandelt het nu. Reken op een ja: dat geeft je nog ongeveer vijf weken voor de wet van kracht is.

Wachten tot na de inwerkingtreding is geen optie. Voor essentiële entiteiten geldt direct proactief toezicht. Boetes lopen op tot tien miljoen euro of twee procent van de wereldwijde omzet, en bestuurders zijn persoonlijk aansprakelijk. In dit artikel: de zes onderdelen die je nu op orde moet hebben, plus wat er in de praktijk vaak misgaat.

Voor wie deze checklist relevant is

NIS2 raakt naar schatting 160.000 organisaties in de EU, een vertienvoudiging ten opzichte van NIS1. De richtlijn dekt achttien sectoren in twee categorieën. Bijlage I telt elf sectoren met hoge kriticiteit, waaronder energie, vervoer, bankwezen, gezondheidszorg en digitale infrastructuur. Bijlage II telt zeven andere kritieke sectoren, waaronder de maaksector, chemie, levensmiddelen en digitale aanbieders.

Grote organisaties (250+ medewerkers of meer dan vijftig miljoen euro omzet) in Bijlage I zijn essentiële entiteiten. Middelgrote organisaties (50+ medewerkers) in Bijlage I én alle organisaties in Bijlage II zijn belangrijke entiteiten. Bepaalde diensten vallen altijd onder de wet, ongeacht omvang: DNS-dienstverleners, TLD-registers, vertrouwensdiensten en centrale overheidsinstanties.

Twijfel je of je in scope valt? De Rijksinspectie Digitale Infrastructuur (RDI) heeft een zelfevaluatietool waarmee je dit binnen tien minuten kunt vaststellen. Doe die voordat je verder leest.

De zes pijlers die je op orde moet hebben

1. Governance en bestuurlijke verantwoordelijkheid

Artikel 20 van de richtlijn legt cyberbeveiliging expliciet bij het bestuur. Het bestuur keurt het beveiligingsbeleid goed, bewaakt de uitvoering en is persoonlijk aansprakelijk bij niet-naleving. Bestuurders moeten ook een opleiding cyberbeveiliging volgen.

In de praktijk betekent dit notulen waarin cyberrisico's worden besproken, formele goedkeuringsbesluiten op het beveiligingsbeleid, en periodieke rapportages aan het bestuur. Dit onderdeel wordt het vaakst vergeten: organisaties beginnen bij techniek en lopen pas tegen de governance-eis aan als de auditor erom vraagt.

2. Risicobeheer en beheersmaatregelen

Artikel 21 noemt tien maatregelcategorieën als minimum, van risicoanalyse en incidentenbehandeling tot ketenbeveiliging, multifactorauthenticatie en personeelsbeveiliging. Het uitgangspunt is "passend en evenredig": maatregelen moeten in verhouding staan tot je risicoprofiel en de potentiële maatschappelijke impact van een incident.

Begin bij je kroonjuwelen: welke systemen, data en processen moet je absoluut beschermen? Vanaf daar werk je naar buiten. Voor Nederlandse organisaties die direct onder NIS2 vallen, is ISO 27001 de meest gebruikte implementatieweg. De norm dekt het overgrote deel van de tien maatregelcategorieën uit artikel 21 af en biedt een herkenbaar managementsysteem dat toezichthouders begrijpen. Een tweede route die in Nederland steeds vaker wordt gebruikt is NIS2 Supply Chain SC30 (voorheen NIS2 Quality Mark High of QM30). Het hoogste niveau van dit normenkader is uitdrukkelijk geschikt voor kritieke entiteiten die zelf direct NIS2-plichtig zijn en die hun compliance herkenbaar willen aantonen aan toezichthouder en keten. In België is CyberFundamentals (CyFun) van het CCB de gangbare route, met 3 niveau's van Basic tot Essential.

3. Cybersecuritymaatregelen in de praktijk

De richtlijn schrijft een aantal technische basismaatregelen expliciet voor: multifactorauthenticatie, cryptografie waar passend, toegangsbeheer op minimale rechten, patchbeheer, netwerksegmentatie en eindpuntbeveiliging. Daarnaast moet je software die je zelf ontwikkelt of laat ontwikkelen beveiligen vanaf het ontwerp.

Back-ups verdienen aparte aandacht. Het NCSC adviseert een back-upstrategie waarin je vastlegt hoe vaak je back-ups maakt, waar je ze bewaart (bij voorkeur losgekoppeld van het netwerk) en hoe vaak je hersteltests uitvoert. Een back-up die niet getest is, is in een crisis vaak waardeloos. Vanzelfsprekend, maar in audits zien we het regelmatig.

4. Incidentdetectie en meldplicht

Artikel 23 stelt strikte meldtermijnen vast. Binnen 24 uur na ontdekking van een significant incident gaat een eerste waarschuwing naar het NCSC of het sectorale CSIRT. Binnen 72 uur volgt een uitgebreidere incidentmelding met een eerste impactbeoordeling. Binnen één maand komt het eindverslag met oorzaakanalyse, genomen maatregelen en eventuele grensoverschrijdende gevolgen.

Die 24-uurstermijn is kort. Als je tijdens een incident nog moet uitzoeken bij wie je moet melden en welke informatie nodig is, mis je hem vrijwel zeker. Leg vooraf vast: wie meldt, via welk kanaal, met welke gegevens. Test het minstens één keer met een tafeloefening voordat het echt nodig is.

5. Ketenbeveiliging

Dit onderdeel verrast veel organisaties. NIS2 vereist dat je de beveiligingsrisico's van je directe leveranciers actief beheert. Niet alleen de cloudprovider die je productiedata host, ook de SaaS-leverancier met toegang tot gevoelige systemen en de IT-dienstverlener met beheerderstoegang.

Begin met een inventarisatie en risicoclassificatie. Welke leveranciers hebben toegang tot wat? Welke zijn kritiek voor je bedrijfscontinuïteit? Vervolgens maak je contractuele afspraken: incidentmelding, auditrechten, minimale beveiligingseisen, beperkingen op onderaanneming. De Europese Uitvoeringsverordening EU 2024/2690 geeft hier in hoofdstuk 5 concrete handvatten.

Andersom geldt: ben je zelf toeleverancier van een NIS2-plichtige organisatie, dan krijg je deze eisen contractueel op je bord. Het NIS2 Supply Chain-keurmerk is sinds januari 2026 het meest gebruikte instrument om dit aan te tonen. Het kent drie niveaus: SC10 (Basic) voor de meeste mkb-leveranciers met een beperkt risicoprofiel, SC20 (Substantial) voor leveranciers met toegang tot gevoelige systemen of data, en SC30 (High) voor cruciale ketenpartners en voor kritieke entiteiten die zelf direct NIS2-plichtig zijn.

6. Continue evaluatie en verbetering

NIS2 is geen project dat je afsluit. Artikel 21 lid 2 sub f vereist dat je de effectiviteit van je maatregelen periodiek beoordeelt. Dat kan via interne audits, penetratietests of managementreviews. Wat de methode ook is: bevindingen moeten leiden tot concrete verbeteracties met een eigenaar en een deadline.

Het bestuur ontvangt periodieke rapportage over de stand van zaken. Vermijd dashboards met alleen groene vinkjes. Een bestuurder moet op basis van de rapportage kunnen oordelen of de organisatie genoeg beschermd is en waar extra aandacht nodig is.

Drie fouten die we steeds zien

Te laat beginnen. Het meest voorkomende patroon. Organisaties wachten tot de wet er is en starten dan pas, terwijl een gedegen implementatie zes tot twaalf maanden kost. Per 1 juli 2026 is het toezicht direct van kracht. Voor essentiële entiteiten is dat proactief: een controle zonder incident kan al genoeg zijn.

Overdocumentatie. Dikke beleidsdocumenten die niemand leest zijn niet voldoende. Een toezichthouder wil zien dat maatregelen werken, niet dat ze op papier staan. Beknopt beleid plus geautomatiseerd bewijs (testrapporten, configuratie-exports, logbestanden) is sterker dan een Word-document van zeventig pagina's.

Losse actiepunten zonder samenhang. De tien maatregelcategorieën uit artikel 21 zijn niet bedoeld als checklist die je item voor item afvinkt. Ze hangen samen. Governance zonder risicobeoordeling leidt tot willekeurige keuzes. Technische maatregelen zonder incidentresponsplan betekenen dat je in een crisis niet weet wat te doen.

Hoe Tidal Control hierbij ondersteunt

Tidal Control biedt voorgebouwde beheersmaatregelen en beleidssjablonen voor ISO 27001, CyberFundamentals en NIS2 Supply Chain. Beheersmaatregelen krijgen een eigenaar, taken worden automatisch aangemaakt en de voortgang is voor het hele team zichtbaar. Via meer dan 300 geautomatiseerde tests over Microsoft Azure, AWS, GitHub, GitLab en Jira controleer je continu of maatregelen werken. Bij een toezichthoudercontrole heb je in één overzicht het bewijs dat je in control bent.

Wil je weten hoe jouw organisatie ervoor staat?

Voordat je begint met implementatie wil je weten waar je nu staat. Welke maatregelen zijn impliciet al aanwezig? Waar zitten de grootste hiaten? Welke onderdelen vragen om prioriteit?

Doe de gratis Quickscan en krijg in vijf minuten een eerste beeld van je NIS2-positie en de logische vervolgstappen. Geen verkoopgesprek, geen verplichtingen.

Doe de gratis Quickscan →

Veelgestelde vragen over NIS2-compliance

Wanneer treedt de Cyberbeveiligingswet precies in werking?

Naar verwachting op 1 juli 2026. De Tweede Kamer heeft het wetsvoorstel op 15 april 2026 aangenomen. De Eerste Kamer behandelt het nu, met een geschatte goedkeuringskans van ruim 95% volgens parlementaire analyses. Vanaf de inwerkingtreding is het toezicht direct van kracht. Voor essentiële entiteiten betekent dat proactieve controles, voor belangrijke entiteiten reactieve controles na een incident.

Welke onderdelen worden het vaakst vergeten?

Drie consistente blinde vlekken. Governance: bestuurlijke verantwoordelijkheid en opleiding van bestuurders (artikel 20). Ketenbeveiliging: het beoordelen en beheren van leveranciersrisico's (artikel 21 lid 2 sub d). De meldplicht: een werkend proces dat de 24-uurstermijn kan halen (artikel 23). Veel organisaties starten bij techniek en ontdekken pas later dat NIS2 ook organisatorische en procesmatige eisen stelt.

Hoe weet ik of mijn organisatie onder NIS2 valt?

Twee voorwaarden: je opereert in een van de achttien sectoren (Bijlage I of II) én je voldoet aan de grootte-eisen (50+ medewerkers of meer dan tien miljoen euro omzet en balanstotaal hoger dan tien miljoen euro). De RDI-zelfevaluatietool helpt je dit binnen tien minuten vast te stellen. Sommige diensten vallen altijd onder de wet, ongeacht omvang: DNS-providers, TLD-registers en vertrouwensdiensten.

Wat kost niet-naleving?

Voor essentiële entiteiten: tot tien miljoen euro of twee procent van de wereldwijde jaaromzet, afhankelijk van welke hoger is. Voor belangrijke entiteiten: tot zeven miljoen euro of 1,4 procent. Daarnaast zijn bestuurders persoonlijk aansprakelijk. In een uiterst geval kunnen ze worden geschorst tot er passende maatregelen zijn getroffen.

Voldoet ISO 27001 aan NIS2?

Niet automatisch, maar de overlap is groot. ISO 27001 dekt het meeste van de tien NIS2-maatregelcategorieën af en is in Nederland de gangbare implementatieweg voor directe NIS2-plichtigen. De richtlijn stelt echter specifieke eisen die buiten een ISMS vallen: de 24-uursmeldplicht, expliciete bestuurlijke aansprakelijkheid en het op orde brengen van ketenbeveiliging. Wie ISO 27001 heeft, staat sterk, maar moet de NIS2-specifieke onderdelen apart inrichten.

Schrijf je in voor maandelijkse updates: wat er nieuw is bij Tidal, framework-nieuws en compliance-resources.

Door je e-mailadres in te sturen ga je akkoord met ons Privacybeleid.