Hoe vaak moet ik deze checklist gebruiken?

Voer minimaal jaarlijks een volledige beoordeling uit, of na significante wijzigingen aan je organisatie, systemen of dreigingslandschap. Kwartaalreviews van hoog-risico gebieden worden aanbevolen.

Heb ik alle items nodig om compliant te zijn?

Niet per se. Wat vereist is hangt af van je NIS2-classificatie (Essentieel vs Belangrijk) en je risicoprofiel. Deze checklist dekt uitgebreide vereisten - sommige zijn mogelijk niet van toepassing op je organisatie.

Wat als ik veel items mis?

Dat is normaal bij het starten. Focus eerst op high-impact, quick-win items: incidentresponsplan, MFA en backup-testen. Bouw van daaruit systematisch verder.

Moet ik een consultant inhuren voor de beoordeling?

Voor initiële beoordelingen helpt het intern doen je je organisatie te begrijpen. Overweeg externe hulp voor validatie, complexe technische gebieden, of als je interne expertise mist.

Hoe verhoudt dit zich tot CyberFundamentals?

Deze checklist sluit aan bij NIS2 Artikel 21 vereisten. CyberFundamentals biedt de specifieke controls om te implementeren. Gebruik deze checklist om gaps te identificeren, dan CyberFundamentals om ze te dichten.

NIS2 Compliance Checklist: Je Complete Gids

Hoe Deze Checklist Te Gebruiken

Loop elke categorie door en beoordeel eerlijk je huidige staat. Markeer items als:

Klaar Volledig geïmplementeerd en gedocumenteerd

Gedeeltelijk Gestart maar niet compleet

Niet Gestart Nog niet aangepakt

N.v.t. Niet van toepassing op je organisatie

1. Governance & Verantwoordelijkheid

NIS2 vereist verantwoordelijkheid van management. Leiderschap moet betrokken zijn bij cybersecurity-beslissingen.

Bestuur/management formeel verantwoordelijk voor cybersecurity Cybersecuritybeleid goedgekeurd door management Regelmatige cybersecurity-rapportage aan leiderschap Budget toegewezen voor beveiligingsmaatregelen Benoemde persoon verantwoordelijk voor NIS2-compliance Management getraind in cybersecurity-risico's

2. Risicobeheer

Je moet cybersecurity-risico's systematisch identificeren, beoordelen en beheren.

Risicobeoordelingsmethodologie gedefinieerd Asset-inventaris bijgehouden Risico's geïdentificeerd en gedocumenteerd Risicobehandelingsplan aanwezig Regelmatige risicobeoordelingen gepland Risicobereidheid gedefinieerd door management

3. Incidentafhandeling

NIS2 schrijft 24-uurs initiële melding en gestructureerde incidentrespons voor.

Incidentresponsplan gedocumenteerd Incidentclassificatiecriteria gedefinieerd Responsteamrollen toegewezen 24-uurs meldingsproces opgezet 72-uurs gedetailleerd rapportproces gereed Post-incident reviewprocedure aanwezig Incidentloggingsysteem actief

4. Bedrijfscontinuïteit

Zorg dat kritieke operaties kunnen doorgaan tijdens en na beveiligingsincidenten.

Business impact analyse voltooid Kritieke diensten/processen geïdentificeerd Recovery time objectives (RTO) gedefinieerd Recovery point objectives (RPO) gedefinieerd Backup-procedures gedocumenteerd Backup-testen regelmatig uitgevoerd Disaster recovery plan aanwezig Crisis-communicatieplan gereed

5. Supply Chain Beveiliging

Je beveiliging is zo sterk als je zwakste leverancier.

Kritieke leveranciers geïdentificeerd Leveranciers-beveiligingsvereisten gedefinieerd Beveiligingsclausules in leverancierscontracten Leveranciers-beveiligingsbeoordelingen uitgevoerd Leveranciers-incidentmeldingsvereisten Regelmatige leveranciers-beveiligingsreviews

6. Netwerk- & Systeembeveiliging

Bescherm je infrastructuur tegen ongeautoriseerde toegang en aanvallen.

Netwerksegmentatie geïmplementeerd Firewall geconfigureerd en onderhouden Inbraakdetectie/preventie actief Kwetsbaarheidsscanning uitgevoerd Patchbeheerproces actief Veilige configuratiebaselines gedefinieerd Endpoint-bescherming uitgerold Beveiligingsmonitoring aanwezig

7. Toegangsbeheer

Zorg dat alleen geautoriseerde personen toegang hebben tot gevoelige systemen en data.

Toegangsbeheerbeleid gedocumenteerd Least privilege principe toegepast Gebruikerstoegangsreviews uitgevoerd Multi-factor authenticatie uitgerold Privileged access management aanwezig Account lifecycle management actief Remote access beveiligd

8. Cryptografie

Bescherm gevoelige data met passende encryptie.

Encryptiebeleid gedocumenteerd Data at rest versleuteld Data in transit versleuteld (TLS/HTTPS) Sleutelbeheer-procedures gedefinieerd Certificaatbeheerproces actief

9. HR-Beveiliging

Mensen zijn vaak de zwakste schakel. Pak menselijke factoren aan.

Security awareness training gegeven Trainingsregistraties bijgehouden Antecedentenonderzoek uitgevoerd (waar wettelijk) Beveiligingsverantwoordelijkheden in functieomschrijvingen Offboarding beveiligingsprocedures gedefinieerd Acceptable use policy getekend door personeel

10. Assetbeheer

Je kunt niet beschermen wat je niet weet te hebben.

Hardware-inventaris bijgehouden Software-inventaris bijgehouden Dataclassificatieschema gedefinieerd Asset-eigenaren toegewezen End-of-life procedures gedefinieerd Shadow IT-ontdekkingsproces actief

Je Beoordeling Scoren

Na het voltooien van de checklist, bereken je gereedheid:

80-100%

Gereed — Je bent goed voorbereid. Focus op onderhouden en documenteren.

60-79%

Bijna Klaar — Goede voortgang. Pak resterende gaps systematisch aan.

40-59%

Werk Nodig — Significante gaps bestaan. Prioriteer hoog-risico gebieden.

0-39%

Net Begonnen — Veel werk te doen. Overweeg externe hulp om te versnellen.

Volgende Stappen

Op basis van je beoordeling:

1 Prioriteer gaps op risiconiveau en inspanning
2 Maak een actieplan met deadlines
3 Wijs eigenaren toe aan elk actiepunt
4 Volg voortgang wekelijks
5 Herbeoordeel elk kwartaal

Wil Je Een Begeleide Beoordeling?

Easy Cyber Protection begeleidt je door elk controlepunt met duidelijke richtlijnen over wat "goed" betekent. Krijg een gestructureerde compliance-roadmap op basis van je specifieke gaps.