Uw NIS2 roadmap — Vermijd het risico op NIS2-boetes begin hier.

De richtlijn is van kracht. Maar nog niet klaar zijn is niet hetzelfde als niet-compliant zijn. Toezichthouders willen een gedocumenteerde NIS2-roadmap zien en bewijs dat u eraan werkt. Wij helpen kleinere organisaties dat plan op te bouwen — en het stap voor stap uit te voeren.

De meeste organisaties zijn nog niet begonnen. Dat is niet het probleem.

Het probleem is niets doen. Toezichthouders begrijpen dat volledige NIS2-compliance tijd kost — zeker voor kleinere organisaties zonder een eigen beveiligingsteam. Wat zij niet accepteren is stilstand: geen assessment, geen plan, geen bewijs van inspanning.

Organisaties die een gedocumenteerde, actieve NIS2 roadmap kunnen aantonen, staan fundamenteel anders dan organisaties die dat niet kunnen. Een roadmap is niet zomaar een projectplan. Het is uw eerste verdedigingslinie als een toezichthouder aanklopt.

Wat is een NIS2 roadmap? Een NIS2 roadmap is een formeel, gedocumenteerd plan dat de huidige beveiligingsmaatregelen van uw organisatie afzet tegen de tien vereisten van Artikel 21, alle lacunes identificeert, herstelacties prioriteert en duidelijke tijdlijnen en verantwoordelijkheden vastlegt. Het is het document dat u aan een toezichthouder toont als bewijs dat cyberbeveiliging actief wordt beheerd op bestuursniveau — en het is het eerste wat een autoriteit zal opvragen.

🏛️

Waar toezichthouders écht naar kijken

Autoriteiten vragen niet alleen: "bent u compliant?" Ze vragen: Kunt u uw risicoanalyse laten zien? Heeft u een gedocumenteerd herstelplan? Werkt u actief aan compliance?

Een formeel gap assessment dat een schriftelijke roadmap oplevert, is op zichzelf al compliance-bewijs. Het toont aan dat het management verantwoordelijkheid heeft genomen — precies wat Artikel 20 van de richtlijn vereist.

De NIS2-ms-roadmap — Vier stappen vooruit

U hoeft niet alles tegelijk op te lossen. U moet weten waar u staat en beginnen te bewegen. Zo werkt het traject.

1
Begin hier

Bepaal of u onder de richtlijn valt

Niet elke organisatie valt onder NIS2 — maar veel wel, en sommige weten het nog niet. Uw sector, omvang en rol in kritieke toeleveringsketens bepalen uw verplichtingen. Stap één is een duidelijk antwoord krijgen, zodat u bouwt op zekerheid — niet op aannames.

2
Weken 1–4

Zie precies waar u staat

Een gestructureerd gap assessment meet uw huidige maatregelen af tegen alle tien vereisten van Artikel 21. Geen giswerk. U krijgt een helder beeld van wat er is, wat ontbreekt en wat risico loopt — in begrijpelijke taal waarop uw bestuur kan handelen. Dit is ook het document dat uw actieve inspanning aantoont aan toezichthouders.

3
Maanden 1–3

Sluit de lacunes, in de juiste volgorde

Niet alles hoeft tegelijk te gebeuren. Een geprioriteerd herstelplan vertelt u wat u als eerste moet aanpakken, wat kan wachten en wat u al op orde heeft. Vooruitgang — niet perfectie — is wat compliance er in de praktijk uitziet. Wij blijven bij u tijdens de uitvoering, niet alleen bij het rapport.

4
Doorlopend

Blijf compliant naarmate de situatie verandert

Dit is geen eenmalig project. Uw dreigingsomgeving, uw leveranciers en uw systemen veranderen voortdurend. Doorlopende monitoring houdt uw NIS2-compliance actueel — en stelt u in staat dat op elk moment aan autoriteiten aan te tonen.

NIS2-boetes — Wat er op het spel staat als u niets doet

NIS2-boetes zijn geen theorie. De handhaving is actief in Nederland sinds juli 2025 — en de sancties gaan veel verder dan een financiële klap.

Essentiële entiteiten

Energie, zorg, transport, digitale infrastructuur

€10M of 2%

Boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet — afhankelijk van wat hoger is. Dit zijn de maximale sancties voor de meest kritieke sectoren.

Belangrijke entiteiten

De meeste mkb's in scope vallen hier

€7M of 1,4%

Boetes tot €7 miljoen of 1,4% van de wereldwijde jaaromzet — afhankelijk van wat hoger is. Voor een middelgroot bedrijf is dit een existentieel getal.

Verder dan de boete

Persoonlijke aansprakelijkheid voor bestuurders

Artikel 20

Op grond van Artikel 20 kunnen directeuren en senior management persoonlijk aansprakelijk worden gesteld voor tekortkomingen in cyberbeveiliging. Een gedocumenteerde ms-roadmap beschermt de persoon — niet alleen de organisatie.

De kosten van beginnen zijn een fractie van de kosten van stilstaan.

Een compliance assessment duurt doorgaans 2–4 weken en levert direct de gedocumenteerde ms-roadmap op die uw positie bij toezichthouders verandert — nog voordat er één lacune is gedicht.

Twee manieren waarop wij u helpen

Of u nu net begint met compliance of klaar bent om specialisten in te schakelen — wij hebben het juiste vertrekpunt voor waar u nu staat.

Zelfbeoordeling

📋 NIS2 Compliance Checklist

Werk in uw eigen tempo alle tien Artikel 21-vereisten door. Identificeer lacunes, begrijp uw verplichtingen en vorm een beeld van waar u staat — voordat u met iemand praat.

  • Alle 10 compliance-gebieden gedekt
  • Ja / Gedeeltelijk / Nee scoring
  • Inclusief downloadbaar werkboek 2026
  • Gratis — geen registratie vereist
Gebruik de checklist →
Door experts begeleid

🔍 NIS2 Assessment

Een gestructureerd gap assessment uitgevoerd door Magic Stone en GRSee. U ontvangt een formeel gap-rapport, een geprioriteerde ms-roadmap en gedocumenteerd bewijs dat uw organisatie de richtlijn serieus neemt.

  • Formele gap-analyse tegen Artikel 21
  • Geprioriteerde herstelms-roadmap
  • Gedocumenteerd compliance-bewijs voor autoriteiten
  • Implementatieondersteuning inbegrepen
Start uw assessment →
U hoeft niet alles op orde te hebben. U moet aantonen dat u er naartoe werkt.

Magic Stone beheert de technische maatregelen — ransomwarebeveiliging, e-mailbeveiliging, eindpuntbeveiliging, back-up, netwerkbeveiliging en beheer van toeleveringsketens. GRSee leidt het assessment, het governancekader en de gereedheidsvalidatie. Samen geven wij u zowel de juridische positie als de operationele beveiliging die de richtlijn vereist.

Bekijk wat een NIS2 Assessment inhoudt →

Veelgestelde vragen

Is het te laat om te beginnen met NIS2-compliance?

Het is nog niet te laat — maar elke week van stilstand vergroot uw risico. Door nu een formeel assessment te starten, heeft u direct een gedocumenteerde compliance-positie. Toezichthouders behandelen organisaties met een actieve, schriftelijke ms-roadmap fundamenteel anders dan organisaties die geen bewijs van inspanning kunnen tonen. Hoe eerder u begint, hoe sterker uw positie.

Hoe lang duurt NIS2-compliance voor een mkb?

Het initiële gap assessment duurt 2–4 weken. Het dichten van de meest kritieke lacunes duurt doorgaans 2–3 maanden voor een mkb dat start vanuit een redelijke uitgangspositie. Sommige maatregelen — MFA, e-mailbeveiliging, back-up — zijn snel te implementeren. Andere, zoals governancekaders en beheer van toeleveringsketens, kosten meer tijd. Wij helpen u de volgorde te bepalen zodat de hoogste risico's als eerste worden aangepakt.

Hoe ziet een NIS2-roadmap er concreet uit?

Een NIS2-ms-roadmap is een formeel, gedocumenteerd plan dat uw huidige maatregelen afzet tegen de Artikel 21-vereisten, alle lacunes identificeert, herstelacties prioriteert en tijdlijnen en verantwoordelijkheden vastlegt. Het is het document dat u aan een toezichthouder toont als bewijs dat cyberbeveiliging actief op bestuursniveau wordt beheerd. Ons assessment levert precies dit op — geen PowerPoint-samenvatting, maar compliance-bewijs.

Hebben wij een consultant nodig of kunnen wij dit zelf?

U kunt zelf beginnen — onze NIS2 Compliance Checklist is daar precies voor gemaakt. Maar voor een formeel gap-rapport en gedocumenteerd bewijs dat bestand is tegen regulatoire toetsing, heeft u een gestructureerd assessment nodig. Zelfbeoordelingen zijn nuttig voor oriëntatie; een formeel assessment is wat standhoudt wanneer een autoriteit onderzoek doet.

Wij hebben al ISO 27001 — helpt dat?

Aanzienlijk. ISO 27001 overlapt sterk met de vereisten van de richtlijn — met name op het gebied van governance, risicobeheer en technische maatregelen. Wij brengen uw bestaande certificering in kaart ten opzichte van uw complianceverplichtingen, zodat u geen dubbel werk doet. De meeste gecertificeerde organisaties staan veel dichter bij volledige compliance dan zij beseffen. De lacunes zitten doorgaans in meldingstijdlijnen voor incidenten, documentatie van de toeleveringsketen en sectorspecifieke vereisten.

Worden mkb's echt beboet voor niet-naleving van NIS2?

Handhaving is actief. In Nederland is de richtlijn in juli 2025 in werking getreden via de Cyberbeveiligingswet. Autoriteiten kunnen op elk moment audits uitvoeren, onderzoeken en boetes opleggen — niet alleen na een incident. Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde omzet. Belangrijke entiteiten — waar de meeste mkb's onder vallen — riskeren boetes tot €7 miljoen of 1,4%. En op grond van Artikel 20 kan het management persoonlijk aansprakelijk worden gesteld. De vraag is niet óf handhaving komt — maar of u er klaar voor bent als het zover is.

Klaar om de eerste stap te zetten?

Boek een gesprek van 45 minuten met Magic Stone. Wij vertellen u of u in scope valt, waar uw grootste risico's liggen en hoe uw compliance-ms-roadmap eruitziet. Geen jargon. Geen druk. Gewoon duidelijkheid.

Boek uw gratis NIS2-gesprek

Op zoek naar verkoopondersteuning of heeft u een algemene vraag?

Heeft u een verkoopvraag of een algemene vraag? Stuur ons een bericht en wij reageren zo snel mogelijk.
Schakel JavaScript in je browser in om dit formulier in te vullen.
Selectievakjes

"Door dit formulier in te dienen, gaat u akkoord met ons Privacybeleid en geeft u toestemming aan Magic Stone Cyber Security om uw gegevens op te slaan en te verwerken om op uw aanvraag te reageren."

Dit zal sluiten in 0 seconden

Scroll naar boven