NIS2 Compliance Checklist

Een praktische checklist die alle tien onderdelen van NIS2 Artikel 21 behandelt. Gebruik deze checklist om hiaten te identificeren, prioriteiten te stellen en een duidelijke roadmap naar NIS2-gereedheid op te bouwen.

Deze checklist vervangt geen formele NIS2-assessment.

Deze checklist is ontworpen om u inzicht te geven in de reikwijdte van de NIS2-verplichtingen en om hiaten te identificeren voordat een formele beoordeling wordt uitgevoerd. Voor aantoonbaar compliance-bewijs biedt een gestructureerde NIS2 Assessment de gap-analyse, verbeterroadmap en gereedheidsvalidatie die toezichthouders verwachten.

De NIS2 Compliance Checklist

NIS2 Artikel 21 definieert tien verplichte maatregelen voor cyberrisicobeheer. Deze checklist behandelt alle tien onderdelen en vertaalt ze naar praktische aandachtsgebieden. Doorloop iedere sectie en noteer waar hiaten bestaan — ieder hiaat vormt een compliance-risico.

1

Governance & Verantwoordelijkheid

Duidelijk cybersecurity-eigenaarschap en bestuurlijke verantwoordelijkheid binnen de organisatie.

  • Cybersecurityrollen zijn formeel toegewezen
  • Het bestuur keurt de cybersecuritystrategie goed
  • Bestuurlijke verantwoordelijkheid is gedocumenteerd
  • Cybersecuritybudget wordt jaarlijks geëvalueerd

→ NIS2 Artikel 20

2

Cyberrisicobeheer

Identificeer operationele cyberrisico's binnen infrastructuur, gebruikers en leveranciers.

  • Formeel proces voor risicobeoordeling aanwezig
  • Risicoregister wordt bijgehouden en beoordeeld
  • Dreigingslandschap wordt regelmatig beoordeeld
  • Risico's worden beoordeeld na significante wijzigingen

→ Artikel 21(2)(a)

3

Technische Beveiligingsmaatregelen

Implementeer passende technische en operationele beveiligingsmaatregelen.

  • Multi-factor authenticatie is verplicht gesteld
  • Endpoint- en e-mailbeveiliging zijn geïmplementeerd
  • Gegevens zijn versleuteld tijdens opslag en transport
  • Patchmanagementproces wordt gevolgd

→ Artikel 21(2)(g)(h)(i)

4

Netwerkbeveiliging

Beveilig netwerk- en informatiesystemen tegen ongeautoriseerde toegang en verstoring.

  • Netwerksegmentatie is geïmplementeerd
  • Firewall- en perimeterbeveiliging zijn aanwezig
  • Netwerkverkeer wordt gemonitord en gelogd
  • Intrusion detection/prevention is geïmplementeerd

→ Artikel 21(2)(h)

5

Leveranciersrisicobeheer

Monitor continu de cyberblootstelling, compliancepositie en operationele risico's van leveranciers.

  • Kritieke leveranciers zijn geïdentificeerd en gedocumenteerd
  • Leveranciersbeoordelingen op beveiliging worden uitgevoerd
  • Contractuele beveiligingseisen zijn vastgelegd
  • Risicoregister voor de supply chain wordt bijgehouden

→ Artikel 21(2)(d)

6

Incidentrespons & Meldingen

Bereid u voor op cyberincidenten met duidelijke responsprocessen en operationele coördinatie.

  • Incidentresponsplan is gedocumenteerd en getest
  • Mogelijkheid voor vroegtijdige waarschuwing binnen 24 uur is aanwezig
  • Proces voor volledige melding binnen 72 uur is vastgesteld
  • Post-incident reviewproces is ingericht

→ Artikel 21(2)(b)

7

Security Awareness & Training

Versterk medewerkersbewustzijn om phishing, ransomware en mensgedreven cyberrisico's te verminderen.

  • Continue cybersecurity awareness-training wordt gegeven
  • Phishingsimulatieprogramma is aanwezig
  • Training voor bestuur en management wordt verzorgd
  • Trainingsregistraties worden bijgehouden

→ Artikel 21(2)(g)

8

Kwetsbaarhedenbeheer & Responsible Disclosure

Identificeer, beheer en communiceer kwetsbaarheden in systemen en software.

  • Kwetsbaarheidsscans worden regelmatig uitgevoerd
  • Proces voor prioritering van patches is aanwezig
  • Penetratietesten worden jaarlijks uitgevoerd
  • Responsible Disclosure-beleid is gepubliceerd

→ Artikel 21(2)(e)

9

Bedrijfscontinuïteit & Herstel

Behoud operationele weerbaarheid en herstel kritieke systemen tijdens verstoringen.

  • Bedrijfscontinuïteitsplan is gedocumenteerd en getest
  • Back-ups zijn geïsoleerd, getest en ransomwarebestendig
  • Recovery Time Objectives en Recovery Point Objectives zijn vastgesteld
  • Crisiscommunicatieplan is gedocumenteerd

→ Artikel 21(2)(c)

10

Audit & Compliance-bewijs

Behoud continue zichtbaarheid, monitoring en gedocumenteerde compliance-gereedheid.

  • Continue monitoring is ingericht
  • Auditbewijzen en complianceregistraties worden bijgehouden
  • Controltests worden regelmatig uitgevoerd
  • Managementrapportages worden afgerond

→ Artikel 21(2)(f)(j)

📋 NIS2 Compliance Checklist & Gereedheidswerkboek 2026

Download het volledige werkboek met alle tien onderdelen, Ja / Gedeeltelijk / Nee-scoremogelijkheden, organisatiegegevens en een scoregids. Print het, vul het in en bespreek het met uw bestuur.

Download Werkboek (PDF)
Hiaten gevonden? Dit zijn uw volgende stappen.

Een gestructureerde NIS2 Assessment vertaalt uw checklist-hiaten naar een formele gap-analyse, een geprioriteerde verbeterroadmap en validatie van uw compliance-gereedheid. Magic Stone ondersteunt bij de technische maatregelen. GRSee begeleidt de compliance-assessment en governance-aanpak.

Start uw NIS2 Assessment →

Hiaten Gevonden? Laten We Uw Compliance Roadmap Opstellen.

Plan een NIS2-verkenningsgesprek met Magic Stone. We bespreken de resultaten van uw checklist, identificeren de belangrijkste compliance-risico's en laten zien hoe een gestructureerde verbeterroadmap eruitziet.

Plan een NIS2 Assessment

Veelgestelde vragen

Veelgestelde vragen over de NIS2 compliance checklist

Antwoorden op veelgestelde vragen over de NIS2 compliance checklist, cyberweerbaarheid, leveranciersrisico’s, operationele security en AI-gedreven cybersecurity.

NIS2 geldt voor veel organisaties binnen sectoren zoals gezondheidszorg, productie, energie, logistiek, digitale infrastructuur, transport, managed services en andere kritieke sectoren. Ook organisaties die niet direct onder de regelgeving vallen, kunnen alsnog te maken krijgen met cybersecurity- en leveranciersrisico-eisen via klanten, aanbestedingen en supply chain-relaties.

AI-gedreven cybersecurity helpt organisaties repetitieve securitytaken automatiseren, sneller dreigingen detecteren, meer inzicht krijgen in leveranciersrisico’s en operationele weerbaarheid versterken. Hierdoor kunnen organisaties hun cybergereedheid verbeteren zonder de operationele druk sterk te verhogen.

NIS2 legt sterke nadruk op leveranciers- en supply chain-beveiliging omdat cyberincidenten steeds vaker ontstaan via third parties, softwareleveranciers, cloudservices en externe operationele afhankelijkheden. Organisaties moeten meer inzicht krijgen in leveranciersrisico’s en externe blootstelling continu monitoren.

Organisaties kunnen hun cyberweerbaarheid verbeteren door leverancierscontrole te versterken, continue monitoring toe te passen, ransomwarebescherming te verbeteren, incidentrespons te versterken, meer inzicht te krijgen in operationele risico’s en moderne cybersecurityoplossingen te implementeren die aansluiten op veranderende compliance-eisen.

Business managers moeten ervoor zorgen dat hun organisatie inzicht heeft in cyberrisico’s, leveranciersafhankelijkheden, incidentrespons, ransomwarebescherming, toegangsbeheer, back-up- en herstelcapaciteiten, security awareness en operationele weerbaarheid. NIS2 vereist daarnaast sterkere governance, accountability en continue controle op cybersecurity- en leveranciersrisico’s.

Op zoek naar verkoopondersteuning of heeft u een algemene vraag?

Heeft u een verkoopvraag of een algemene vraag? Stuur ons een bericht en wij reageren zo snel mogelijk.
Schakel JavaScript in je browser in om dit formulier in te vullen.
Selectievakjes

"Door dit formulier in te dienen, gaat u akkoord met ons Privacybeleid en geeft u toestemming aan Magic Stone Cyber Security om uw gegevens op te slaan en te verwerken om op uw aanvraag te reageren."

Dit zal sluiten in 0 seconden

Scroll naar boven