NIS2 Compliance Checklist
Een praktische checklist die alle tien onderdelen van NIS2 Artikel 21 behandelt. Gebruik deze checklist om hiaten te identificeren, prioriteiten te stellen en een duidelijke roadmap naar NIS2-gereedheid op te bouwen.
Deze checklist is ontworpen om u inzicht te geven in de reikwijdte van de NIS2-verplichtingen en om hiaten te identificeren voordat een formele beoordeling wordt uitgevoerd. Voor aantoonbaar compliance-bewijs biedt een gestructureerde NIS2 Assessment de gap-analyse, verbeterroadmap en gereedheidsvalidatie die toezichthouders verwachten.
De NIS2 Compliance Checklist
NIS2 Artikel 21 definieert tien verplichte maatregelen voor cyberrisicobeheer. Deze checklist behandelt alle tien onderdelen en vertaalt ze naar praktische aandachtsgebieden. Doorloop iedere sectie en noteer waar hiaten bestaan — ieder hiaat vormt een compliance-risico.
Governance & Verantwoordelijkheid
Duidelijk cybersecurity-eigenaarschap en bestuurlijke verantwoordelijkheid binnen de organisatie.
- Cybersecurityrollen zijn formeel toegewezen
- Het bestuur keurt de cybersecuritystrategie goed
- Bestuurlijke verantwoordelijkheid is gedocumenteerd
- Cybersecuritybudget wordt jaarlijks geëvalueerd
→ NIS2 Artikel 20
Cyberrisicobeheer
Identificeer operationele cyberrisico's binnen infrastructuur, gebruikers en leveranciers.
- Formeel proces voor risicobeoordeling aanwezig
- Risicoregister wordt bijgehouden en beoordeeld
- Dreigingslandschap wordt regelmatig beoordeeld
- Risico's worden beoordeeld na significante wijzigingen
→ Artikel 21(2)(a)
Technische Beveiligingsmaatregelen
Implementeer passende technische en operationele beveiligingsmaatregelen.
- Multi-factor authenticatie is verplicht gesteld
- Endpoint- en e-mailbeveiliging zijn geïmplementeerd
- Gegevens zijn versleuteld tijdens opslag en transport
- Patchmanagementproces wordt gevolgd
→ Artikel 21(2)(g)(h)(i)
Netwerkbeveiliging
Beveilig netwerk- en informatiesystemen tegen ongeautoriseerde toegang en verstoring.
- Netwerksegmentatie is geïmplementeerd
- Firewall- en perimeterbeveiliging zijn aanwezig
- Netwerkverkeer wordt gemonitord en gelogd
- Intrusion detection/prevention is geïmplementeerd
→ Artikel 21(2)(h)
Leveranciersrisicobeheer
Monitor continu de cyberblootstelling, compliancepositie en operationele risico's van leveranciers.
- Kritieke leveranciers zijn geïdentificeerd en gedocumenteerd
- Leveranciersbeoordelingen op beveiliging worden uitgevoerd
- Contractuele beveiligingseisen zijn vastgelegd
- Risicoregister voor de supply chain wordt bijgehouden
→ Artikel 21(2)(d)
Incidentrespons & Meldingen
Bereid u voor op cyberincidenten met duidelijke responsprocessen en operationele coördinatie.
- Incidentresponsplan is gedocumenteerd en getest
- Mogelijkheid voor vroegtijdige waarschuwing binnen 24 uur is aanwezig
- Proces voor volledige melding binnen 72 uur is vastgesteld
- Post-incident reviewproces is ingericht
→ Artikel 21(2)(b)
Security Awareness & Training
Versterk medewerkersbewustzijn om phishing, ransomware en mensgedreven cyberrisico's te verminderen.
- Continue cybersecurity awareness-training wordt gegeven
- Phishingsimulatieprogramma is aanwezig
- Training voor bestuur en management wordt verzorgd
- Trainingsregistraties worden bijgehouden
→ Artikel 21(2)(g)
Kwetsbaarhedenbeheer & Responsible Disclosure
Identificeer, beheer en communiceer kwetsbaarheden in systemen en software.
- Kwetsbaarheidsscans worden regelmatig uitgevoerd
- Proces voor prioritering van patches is aanwezig
- Penetratietesten worden jaarlijks uitgevoerd
- Responsible Disclosure-beleid is gepubliceerd
→ Artikel 21(2)(e)
Bedrijfscontinuïteit & Herstel
Behoud operationele weerbaarheid en herstel kritieke systemen tijdens verstoringen.
- Bedrijfscontinuïteitsplan is gedocumenteerd en getest
- Back-ups zijn geïsoleerd, getest en ransomwarebestendig
- Recovery Time Objectives en Recovery Point Objectives zijn vastgesteld
- Crisiscommunicatieplan is gedocumenteerd
→ Artikel 21(2)(c)
Audit & Compliance-bewijs
Behoud continue zichtbaarheid, monitoring en gedocumenteerde compliance-gereedheid.
- Continue monitoring is ingericht
- Auditbewijzen en complianceregistraties worden bijgehouden
- Controltests worden regelmatig uitgevoerd
- Managementrapportages worden afgerond
→ Artikel 21(2)(f)(j)
📋 NIS2 Compliance Checklist & Gereedheidswerkboek 2026
Download het volledige werkboek met alle tien onderdelen, Ja / Gedeeltelijk / Nee-scoremogelijkheden, organisatiegegevens en een scoregids. Print het, vul het in en bespreek het met uw bestuur.
Een gestructureerde NIS2 Assessment vertaalt uw checklist-hiaten naar een formele gap-analyse, een geprioriteerde verbeterroadmap en validatie van uw compliance-gereedheid. Magic Stone ondersteunt bij de technische maatregelen. GRSee begeleidt de compliance-assessment en governance-aanpak.
Start uw NIS2 Assessment →
Gerelateerd
Hiaten Gevonden? Laten We Uw Compliance Roadmap Opstellen.
Plan een NIS2-verkenningsgesprek met Magic Stone. We bespreken de resultaten van uw checklist, identificeren de belangrijkste compliance-risico's en laten zien hoe een gestructureerde verbeterroadmap eruitziet.
Plan een NIS2 AssessmentVeelgestelde vragen
Veelgestelde vragen over de NIS2 compliance checklist
Antwoorden op veelgestelde vragen over de NIS2 compliance checklist, cyberweerbaarheid, leveranciersrisico’s, operationele security en AI-gedreven cybersecurity.
NIS2 geldt voor veel organisaties binnen sectoren zoals gezondheidszorg, productie, energie, logistiek, digitale infrastructuur, transport, managed services en andere kritieke sectoren. Ook organisaties die niet direct onder de regelgeving vallen, kunnen alsnog te maken krijgen met cybersecurity- en leveranciersrisico-eisen via klanten, aanbestedingen en supply chain-relaties.
AI-gedreven cybersecurity helpt organisaties repetitieve securitytaken automatiseren, sneller dreigingen detecteren, meer inzicht krijgen in leveranciersrisico’s en operationele weerbaarheid versterken. Hierdoor kunnen organisaties hun cybergereedheid verbeteren zonder de operationele druk sterk te verhogen.
NIS2 legt sterke nadruk op leveranciers- en supply chain-beveiliging omdat cyberincidenten steeds vaker ontstaan via third parties, softwareleveranciers, cloudservices en externe operationele afhankelijkheden. Organisaties moeten meer inzicht krijgen in leveranciersrisico’s en externe blootstelling continu monitoren.
Organisaties kunnen hun cyberweerbaarheid verbeteren door leverancierscontrole te versterken, continue monitoring toe te passen, ransomwarebescherming te verbeteren, incidentrespons te versterken, meer inzicht te krijgen in operationele risico’s en moderne cybersecurityoplossingen te implementeren die aansluiten op veranderende compliance-eisen.