NIS2 Compliance Checklist

Whitepaper: NIS2 Compliance Checklist

NIS2 voldoing vereist meer dan een eenmalige audit. Deze checklist helpt u bij het systematisch doorlopen van alle vereisten — van risicobeheer tot incidentmelding.

NIS2 Compliance Checklist — 8 Domeinen

1. Organisatorische Maatregelen

Managementverantwoordelijkheid voor cyberbeveiliging benoemd
CISSO of vergelijkbare rol aangesteld met voldoende bevoegdheid
Cyberbeveiligingsbeleid goedgekeurd door bestuur
Budget voor cyberbeveiliging gewaarborgd
Beleid voor bewustwording en training vastgesteld

2. Risicobeheer

Risicoanalyse van alle netwerk- en informatiesystemen uitgevoerd
Risicomatrix per systeem opgesteld (waarschijnlijkheid × impact)
Behandelplan met prioritering en eigenaren gedefinieerd
Periodieke herbeoordeling (minimaal jaarlijks) ingepland
Supply chain risico’s geïnventariseerd en beheerd

3. Incidentmanagement

Incident response plan gedocumenteerd en getest
24-uur vroege waarschuwing procedure ingericht
72-uur incidentmelding procedure ingericht
1-maand definitief rapport procedure ingericht
Escalatieladder en contactpersonen gedocumenteerd
Samenwerking met NCSC en/of sectorale CSIRT geregeld

4. Bedrijfscontinuïteit

Business continuity plan (BCP) opgesteld
Disaster recovery plan (DRP) opgesteld en getest
RTO en RPO per kritiek systeem gedefinieerd
Back-up strategie geïmplementeerd en getest
Failover-mogelijkheden geverifieerd

5. Supply Chain Security

Leveranciersbeleid voor cyberbeveiliging opgesteld
Security requirements in alle ICT-contracten opgenomen
Software Bill of Materials (SBOM) voor kritieke systemen beschikbaar
Periodieke leveranciersbeoordeling (security) ingepland
Beveiligingsclausules in SLA’s opgenomen

6. Toegangsbeheer & Cryptografie

Role-based access control (RBAC) geïmplementeerd
Multi-factor authenticatie (MFA) op alle kritieke systemen
Password policy conform NCSC-richtlijnen
Encryptie at rest en in transit voor alle gevoelige data
Key management procedures gedocumenteerd

7. Monitoring & Detectie

Security monitoring (SIEM of equivalent) operationeel
Log-beleid en retention vastgesteld
Vulnerability management proces ingericht
Periodieke penetratietests ingepland
Security Information and Event Management (SIEM) geconfigureerd

8. Governance & Rapportage

Jaarlijkse bestuursrapportage over cyberbeveiliging
KPI’s voor cyberbeveiliging gedefinieerd en gemeten
Onafhankelijke audit ingepland (minimaal 2-jaarlijks)
Compliance status gedocumenteerd en bijgehouden
Verbeteracties uit audits opgevolgd

Score uw NIS2-gereedheid

Gebruik onze interactieve NIS2 Self-Assessment om uw score te berekenen en een geprioriteerd verbeterplan te ontvangen.

Gerelateerde bronnen

NIS2 Compliance pillar pagina — Alle artikelen en inzichten
NIS2 Compliance Gids — Stap-voor-stap uitleg
Online cursus NIS2 Compliance — 5 modules, 50+ controles
NIS2 Gap-analyse template — Direct inzetbaar

Hulp nodig met NIS2 compliance? Plan een vrijblijvende kennismaking. Plan een kennismaking →

NIS2 Compliance Checklist — 8 Domeinen

1. Organisatorische Maatregelen

Managementverantwoordelijkheid voor cyberbeveiliging benoemd

CISSO of vergelijkbare rol aangesteld met voldoende bevoegdheid

Cyberbeveiligingsbeleid goedgekeurd door bestuur

Budget voor cyberbeveiliging gewaarborgd

Beleid voor bewustwording en training vastgesteld

2. Risicobeheer

Risicoanalyse van alle netwerk- en informatiesystemen uitgevoerd

Risicomatrix per systeem opgesteld (waarschijnlijkheid × impact)

Behandelplan met prioritering en eigenaren gedefinieerd

Periodieke herbeoordeling (minimaal jaarlijks) ingepland

Supply chain risico’s geïnventariseerd en beheerd

3. Incidentmanagement

Incident response plan gedocumenteerd en getest

24-uur vroege waarschuwing procedure ingericht

72-uur incidentmelding procedure ingericht

1-maand definitief rapport procedure ingericht

Escalatieladder en contactpersonen gedocumenteerd

Samenwerking met NCSC en/of sectorale CSIRT geregeld

4. Bedrijfscontinuïteit

Business continuity plan (BCP) opgesteld

Disaster recovery plan (DRP) opgesteld en getest

RTO en RPO per kritiek systeem gedefinieerd

Back-up strategie geïmplementeerd en getest

Failover-mogelijkheden geverifieerd

5. Supply Chain Security

Leveranciersbeleid voor cyberbeveiliging opgesteld

Security requirements in alle ICT-contracten opgenomen

Software Bill of Materials (SBOM) voor kritieke systemen beschikbaar

Periodieke leveranciersbeoordeling (security) ingepland

Beveiligingsclausules in SLA’s opgenomen

6. Toegangsbeheer & Cryptografie

Role-based access control (RBAC) geïmplementeerd

Multi-factor authenticatie (MFA) op alle kritieke systemen

Password policy conform NCSC-richtlijnen

Encryptie at rest en in transit voor alle gevoelige data

Key management procedures gedocumenteerd

7. Monitoring & Detectie

Security monitoring (SIEM of equivalent) operationeel

Log-beleid en retention vastgesteld

Vulnerability management proces ingericht

Periodieke penetratietests ingepland

Security Information and Event Management (SIEM) geconfigureerd

8. Governance & Rapportage

Jaarlijkse bestuursrapportage over cyberbeveiliging

KPI’s voor cyberbeveiliging gedefinieerd en gemeten

Onafhankelijke audit ingepland (minimaal 2-jaarlijks)

Compliance status gedocumenteerd en bijgehouden

Verbeteracties uit audits opgevolgd

Whitepaper: NIS2 Compliance Checklist