NIS2 gap-analyse: voorbereid zijn op de nieuwe cyberwet

Vanaf oktober 2024 moeten veel organisaties voldoen aan een nieuwe Europese cyberwet: de NIS2-richtlijn. NIS2 is een uitbreiding op eerdere regels en stelt heldere eisen aan de digitale veiligheid van organisaties in Europa. Denk hierbij aan bedrijven en instellingen die onmisbaar zijn voor onze maatschappij, zoals energiebedrijven, ziekenhuizen en drinkwaterleveranciers.

Ook kleinere bedrijven krijgen met NIS2 te maken. Heb je meer dan 50 medewerkers of is je omzet hoger dan 10 miljoen euro? Dan gelden deze regels waarschijnlijk ook voor jou. Zelfs als jouw bedrijf kleiner is, maar diensten levert die essentieel zijn voor andere organisaties, moet je voldoen aan deze richtlijn.

De NIS2-regels gaan verder dan alleen je eigen organisatie. Leveranciers moeten namelijk ook voldoen aan dezelfde cybersecurity-eisen. Zo mag een gemeente straks alleen nog samenwerken met bedrijven die digitaal veilig zijn. NIS2 zorgt er op die manier voor dat de hele keten veiliger wordt.

Belangrijkste verplichtingen onder NIS2

NIS2 brengt heldere verplichtingen met zich mee voor organisaties. Dit zijn er drie:

• Registreren: Je organisatie officieel aanmelden bij het cybermeldpunt van de overheid. Hierdoor weet de overheid precies welke organisaties onder deze regels vallen.
• Cyberbeveiliging goed regelen: Specifieke maatregelen, zoals plannen voor incidentbeheer, beveiligde back-ups en regelmatige risicoanalyses.
• Incidenten snel melden: Bij grote digitale incidenten binnen 24 uur een eerste melding doen en binnen 72 uur een volledig rapport indienen.

De gevolgen van niet voldoen aan deze regels zijn stevig. Organisaties riskeren boetes tot 10 miljoen euro of 2% van de jaarlijkse omzet. Bestuurders kunnen zelfs persoonlijk aansprakelijk gesteld worden.

Waarom nu al starten met een NIS2 gap-analyse?

NIS2 staat al in het Europese Staatsblad; in Nederland wordt de wet waarschijnlijk pas in 2026 actief gehandhaafd. Wie wacht tot dat moment, loopt het risico op nachtwerk en dure haastklussen. Een vroege gap-analyse werkt als een foto van je digitale huishouding: helder, scherp en op tijd.

Een gap-analyse biedt meerdere voordelen:

• Voorsprong pakken – Je ziet vroeg waar je tekortschiet en kunt verbeteringen spreiden over meerdere kwartalen.
• Bestuurlijke rust – Een onderbouwd rapport laat directie en toezichthouder zien dat er grip is op cyberrisico’s.
• Gerichte investeringen – Budgetten gaan naar de plekken waar de kans op verstoring het grootst is, in plaats van naar “alles tegelijk”.

Wie nu begint, haalt later geen achterstand in, maar onderhoudt een gezonde routine.

Stappenplan: zelf een NIS2 gap-analyse uitvoeren

1. Scope bepalen

Bepaal eerst of je organisatie onder de categorie “essentiële” of “belangrijke” entiteiten valt. Kijk niet alleen naar je eigen juridische entiteit, maar ook naar bedrijfsonderdelen en kritieke leveranciers. Dit afbakenen voorkomt dat het project uitwaaiert.

2. NIS2-eisen in kaart brengen

Zet alle vereisten uit artikel 21 op een rij, zoals risicobeoordeling, incidentrespons, back-ups, supply-chain-beheer, veilige ontwikkeling en toegangsbeveiliging. Dit lijstje vormt de meetlat waarmee je je eigen organisatie straks vergelijkt.

3. Huidige maatregelen inventariseren

Verzamel beleidsstukken, procedures en technische controls. Denk aan ISMS-documentatie, logging-systemen, pentest-rapporten en opleidings-records. Hoe vollediger deze nulmeting, hoe beter je straks hiaten herkent.

4. Gaps identificeren

Leg de meetlat uit stap 2 naast je inventaris. Noteer waar maatregelen ontbreken, niet actueel zijn of onvoldoende worden aangetoond. Houd hier al rekening met bewijsvoering: welke logbestanden, rapporten of dashboards kun je straks tonen?

5. Risico’s prioriteren

Niet elk gat hoeft morgen dicht. Koppel daarom elke lacune aan een waarschijnlijkheid en gevolg voor de bedrijfsprocessen. Gaps die directe storingen kunnen veroorzaken of meldplichtig zijn, verdienen de eerste plek op je lijst.

6. Actieplan opstellen

Vertaal de prioriteiten naar concrete taken: wat moet gebeuren, wie is eigenaar en welke deadline hoort erbij? Snelle verbeteringen – zoals het formaliseren van bestaand beleid – kunnen in de eerstvolgende sprint; grotere projecten zoals netwerksegmentatie krijgen een realistische termijn.

7. Borging en herhaal

Plan een vaste terugkoppeling, bijvoorbeeld elk kwartaal in het security-comité. Zo blijft de meetlat levend, groeit de volwassenheid en ziet de directie steeds een actuele voortgangsrapportage. Een jaarlijkse her-analyse houdt het geheel scherp en sluit aan bij de cyclus van interne audit.

Tips voor een succesvolle gap-analyse

Een NIS2-gap-analyse vraagt nauwkeurigheid én samenwerking. Houd daarom het volgende in gedachten:

• Zet het stuur in de boardroom – Betrek het bestuur vroeg, zodat beslissingen over tijd, budget en risico’s meteen goed landen.
• Werk multidisciplinair – IT-security, operations, juridische zaken en interne audit kijken allemaal net anders naar dezelfde risico’s; samen zie je meer dan alleen.
• Bewijs zwart-op-wit – Verzamel documenten, logbestanden en rapporten terwijl je analyseert. Zonder bewijs blijft een controle “niet aantoonbaar”.
• Gebruik erkende raamwerken – Standaarden zoals ISO 27001 of CIS Controls sluiten logisch aan op de NIS2-artikelen; zo wordt vergelijken eenvoudiger.

Met een helder proces én deze vuistregels vermijd je blinde vlekken en blijft de analyse behapbaar.

NIS2 gap-analyse uitbesteden of zelf doen?

Veel organisaties zetten eerst hun eigen mensen aan het werk. Dat is logisch: interne kennis en korte lijnen versnellen de start. Toch kan externe ondersteuning waarde toevoegen, vooral bij schaal en diepgang. Externe specialisten brengen vergelijkingsmateriaal mee uit eerdere trajecten, wat het duiden van bevindingen versnelt.

Daarnaast biedt externe ondersteuning onafhankelijkheid. Naar toezichthouders toe verlaagt een externe partij discussies over ‘de slager en zijn eigen vlees’.

Een hybride aanpak werkt vaak het best:

• Het interne team voert de nulmeting uit.
• Een externe expert toetst de bevindingen en helpt met het aanscherpen van het actieplan.

Zo houd je kennis binnenshuis én profiteer je van frisse ogen.

Wanneer je klaar bent om de volgende stap te zetten, staan onze specialisten klaar om jouw analyse te valideren of samen verder te verdiepen.