NIS2: meer verantwoordelijkheid, maar ook meer grip

22 juni 2026 in

Kaap Hoorn ICT Security B.V., Kasper de Waard

Hoe je als organisatie klaar bent voor NIS2 zonder te verdwalen in rapporten, spreadsheets en eindeloze compliance-trajecten.

De invoering van NIS2 zorgt bij veel organisaties voor gemengde gevoelens. Aan de ene kant is er het besef dat cybersecurity een steeds grotere rol speelt in de continuïteit van de organisatie. Aan de andere kant roept nieuwe wetgeving vaak vragen op. Wat betekent dit concreet? Hoeveel werk gaat dit kosten? En hoe voorkom je dat NIS2 verandert in een administratieve exercitie waar niemand echt beter van wordt?

Dat laatste risico is reëel. Zodra wet- en regelgeving in beeld komt, ontstaat al snel de neiging om te denken in documenten, procedures en afvinklijsten. Natuurlijk zijn beleid en documentatie belangrijk, maar ze vormen niet het doel. Het doel van NIS2 is niet om organisaties meer papierwerk te bezorgen. Het doel is om organisaties weerbaarder te maken tegen een dreigingslandschap dat steeds complexer wordt.

Wie dat begrijpt, ziet dat NIS2 niet alleen extra verantwoordelijkheden met zich meebrengt, maar ook een kans biedt om meer grip te krijgen op de eigen organisatie.

Waarom NIS2 nu urgent is

Cyberincidenten raken al lang niet meer alleen de organisatie die direct wordt aangevallen. In een wereld waarin systemen, leveranciers en diensten steeds sterker met elkaar verbonden zijn, verspreidt de impact van een incident zich vaak door de hele keten.

Dat werd opnieuw zichtbaar toen softwareleverancier ChipSoft werd getroffen door ransomware. Hoewel ChipSoft zelf het primaire doelwit was, werden de gevolgen vooral gevoeld door de organisaties die afhankelijk waren van hun dienstverlening. Patiëntportalen waren tijdelijk niet beschikbaar, zorgprocessen werden verstoord en duizenden patiënten konden niet bij hun gegevens.

Dit soort incidenten laat zien waarom Europese wetgevers hebben gekozen voor strengere eisen rondom digitale weerbaarheid. Het is niet langer voldoende om uitsluitend naar de eigen systemen te kijken. Een organisatie kan haar interne beveiliging uitstekend op orde hebben en toch geraakt worden door een kwetsbare leverancier, een slecht beveiligde dienstverlener of een gecompromitteerde softwareleverancier.

Juist daarom besteedt NIS2 veel aandacht aan ketenafhankelijkheden en leveranciersrisico's. Organisaties moeten niet alleen inzicht hebben in hun eigen beveiligingsmaatregelen, maar ook begrijpen van welke partijen zij afhankelijk zijn en welke risico's daarmee samenhangen.

Daarnaast legt NIS2 meer verantwoordelijkheid bij bestuurders. Cybersecurity wordt niet langer uitsluitend gezien als een technisch vraagstuk voor de IT-afdeling. Het wordt nadrukkelijk een bestuurlijke verantwoordelijkheid. Dat vraagt om andere gesprekken, andere afwegingen en meer inzicht in de risico's die de organisatie daadwerkelijk loopt.

Compliance is niet hetzelfde als weerbaarheid

Een van de grootste misverstanden rondom NIS2 is dat compliance automatisch leidt tot betere beveiliging.

In de praktijk zijn er genoeg organisaties die beschikken over uitgebreide beleidsdocumenten, risicoregisters en procedures, maar tegelijkertijd onvoldoende zicht hebben op hun werkelijke risico's. Documentatie kan helpen om structuur aan te brengen, maar biedt op zichzelf geen bescherming tegen ransomware, datadiefstal of verstoringen van kritieke processen.

Werkelijke weerbaarheid ontstaat wanneer een organisatie begrijpt wat beschermd moet worden, welke dreigingen relevant zijn en welke maatregelen daadwerkelijk bijdragen aan het beperken van risico's.

Dat vraagt om inzicht. Welke systemen zijn bedrijfskritisch? Welke leveranciers hebben toegang tot gevoelige gegevens? Welke processen mogen absoluut niet uitvallen? En hoe snel kan de organisatie herstellen wanneer er toch iets misgaat?

Wanneer die vragen helder zijn, wordt compliance vaak een logisch gevolg van goed risicomanagement, in plaats van een doel op zichzelf.

Een praktische route naar NIS2-gereedheid

Veel organisaties zien NIS2 als een omvangrijk project. Dat is begrijpelijk, maar in de praktijk blijkt dat de grootste vooruitgang vaak wordt geboekt door complexe vraagstukken op te delen in beheersbare stappen.

Daarom kiezen wij voor een aanpak die begint bij de basis en vervolgens stapsgewijs toewerkt naar een organisatie die aantoonbaar meer grip heeft op haar digitale weerbaarheid.

Stap 1: de basis op orde brengen

Voordat een organisatie risico's kan beheersen, moet duidelijk zijn welke basismaatregelen aanwezig zijn en waar de belangrijkste kwetsbaarheden zitten.

Daarom kijken we eerst naar onderwerpen zoals toegangsbeheer, patchmanagement, netwerksegmentatie, monitoring en beveiligingsbeleid. Dit zijn geen spectaculaire maatregelen, maar wel de fundamenten waarop iedere volwassen cybersecuritystrategie rust.

Juist op dit niveau blijken veel organisaties relatief snel grote verbeteringen te kunnen realiseren.

Stap 2: inzicht krijgen in risico's en afhankelijkheden

Wanneer de basis staat, verschuift de aandacht naar de risico's die specifiek zijn voor de organisatie.

Samen met medewerkers uit verschillende disciplines brengen we in kaart welke systemen kritiek zijn, welke leveranciers een belangrijke rol spelen en welke afhankelijkheden de grootste impact kunnen hebben op de continuïteit van de organisatie.

Deze stap vindt niet plaats achter een bureau of uitsluitend op basis van documenten. De meeste waarde ontstaat tijdens gesprekken met de mensen die dagelijks met processen, systemen en leveranciers werken. Zij beschikken vaak over kennis die nergens formeel is vastgelegd, maar cruciaal is voor een realistisch beeld van de risico's.

Het resultaat is niet alleen een inventarisatie van risico's, maar vooral een duidelijke prioritering van wat als eerste aandacht verdient.

Stap 3: voorbereid zijn op het onvermijdelijke

Geen enkele organisatie kan alle risico's uitsluiten. Daarom vraagt NIS2 ook aandacht voor de vraag wat er gebeurt wanneer een incident zich daadwerkelijk voordoet.

Hoe worden incidenten herkend? Wie neemt beslissingen? Welke meldingen moeten worden gedaan? Hoe blijft de organisatie operationeel wanneer kritieke systemen uitvallen?

Door deze scenario's vooraf uit te werken ontstaat niet alleen meer duidelijkheid tijdens een incident, maar ook meer vertrouwen in het vermogen van de organisatie om met verstoringen om te gaan.

Het doel is simpel: zorgen dat een incident beheersbaar blijft en niet uitgroeit tot een bedrijfscrisis.

Begin met inzicht

Veel organisaties weten dat NIS2 eraan komt, maar hebben nog geen helder beeld van hun huidige positie. Dat is niet vreemd. Je kunt immers pas bepalen welke maatregelen nodig zijn wanneer duidelijk is waar de grootste risico's zich bevinden.

Daarom beginnen veel organisaties met een assessment. Niet om direct een uitgebreid compliance-traject te starten, maar om inzicht te krijgen in de huidige situatie. Welke onderdelen zijn al goed ingericht? Waar zitten de grootste risico's? En welke maatregelen leveren op korte termijn de meeste waarde op?

Met het gratis NIS2 Basis Assessment helpen we organisaties die eerste stap te zetten. Geen dikke rapporten vol theoretische aanbevelingen, maar praktische inzichten die direct bruikbaar zijn voor bestuurders, IT-teams en securityverantwoordelijken.

Conclusie

NIS2 draait uiteindelijk niet om regelgeving. Het draait om weerbaarheid.

De richtlijn dwingt organisaties om kritisch te kijken naar hun risico's, afhankelijkheden en verantwoordelijkheden. Dat vraagt inspanning, maar biedt tegelijkertijd de kans om meer grip te krijgen op de factoren die de continuïteit van de organisatie daadwerkelijk beïnvloeden.

Organisaties die NIS2 uitsluitend zien als een compliance-verplichting zullen vooral extra werk ervaren. Organisaties die NIS2 gebruiken als aanleiding om meer inzicht te krijgen in hun risico's, bouwen aan iets veel waardevollers: een organisatie die beter voorbereid is op de digitale dreigingen van vandaag én morgen.

Kaap Hoorn ICT Security B.V., Kasper de Waard 22 juni 2026

Deel deze post

Labels

Archief

Whitepapers

Wilt u weten of uw bedrijf goed beveiligd is tegen cyberaanvallen? Download gratis onze whitepapers.

Bestendige beveiliging tegen cyberaanvallen

Doordat er dagelijks nieuwe kwetsbaarheden worden ontdekt in applicaties, besturingssystemen en databases, kan de kwaliteit van de netwerkbeveiliging veranderen. Steeds meer organisaties vragen zich dan ook af wat de actuele status van hun beveiliging is en of ze kwetsbaar zijn voor interne en externe aanvallen.

Whitepaper-Secity-Bestendige-beveiliging-tegen-cyberaanvallen.pdf

Alles wat u moet weten over Security Headers

Deze whitepaper gaat in het bijzonder over de Security Headers. Deze spelen namelijk een rol bij het beveiligen van uw website. Zij zijn belangrijk om zowel u als uw website gebruiker te beschermen tegen cybercriminelen.

Case Studies

Wilt u weten of uw bedrijf bestand is tegen ransomware en hoe u aanvallen voorkomt? Download onze gratis case studies.

Cyberaanval in de praktijk

In 2023 meldde 45% van de bedrijven wereldwijd slachtoffer te zijn geweest van een ransomware-aanval. Omdat ransomware zich steeds verder ontwikkelt, kan zelfs de eenvoudigste vorm ervan veel tijd en geld kosten.

Ransomware-Case-Study-180924.pdf

Brochures

Onze brochures zijn hier gratis te bekijken en te downloaden.

Microsoft 365

Veel bedrijven die de overstap maken naar Microsoft 365 beseffen niet dat veel van de beveiligingsmaatregelen, die in hun lokale Exchange-omgeving werden toegepast, niet standaard actief zijn in de Microsoft-omgeving. Ons onderzoek naar Microsoft 365 focust op de aanbevolen beveiligingsinstellingen die organisaties zouden moeten implementeren om hun Office 365-tenant veilig te configureren en te gebruiken.

Pentest

Een pentest richt zich doorgaans op één ofmeerdere onderdelen van uw ITinfrastructuur. Pentests zijn eigenlijk een soortsteekproeven. Onze analyse houdt daarechter niet op.

Security Awareness

Toegang krijgen tot uw netwerk gebeurtvaak via verschillende vormen van socialengineering-aanvallen. Phishing maakt inde basis gebruik van angst, urgentie, ofaanbiedingen die te mooi lijken om waarte zijn. Vooral angst en urgentie blijkenhierbij het meest effectief.

Nulmeting

Zorg voor een veilige digitale omgeving met de Critcal Security Controls. Deze beproefde set van 18 essentiele beveiligingsmaatregelen is ontworpen om organisaties te beschermen tegen de meest voorkomende cyberbedreigingen. Van het beheren van gebruikersaccounts tot het monitoren van netwerkverkeer.

Roadmap

Of u zich nu wilt beschermen tegengeautomatiseerde aanvallen, gerichte aanvallen ofaanvallen van gelegenheid, onze roadmap isontworpen voor bedrijven die hun cybersecurity opeen volwassen manier willen aanpakken. Het biedtsnel inzicht in zowel de interne als externe attacksurface van de organisatie en geeft een actueelbeeld van de huidige stand van zaken.

NIS2

De Europese Unie heeft de NIS2-

richtlijn opgesteld om te voorkomen

dat cybersecurityincidenten leiden tot

verstoringen van essentiële en

belangrijke diensten. Zulke incidenten

kunnen grote maatschappelijke

ontwrichting, economische schade en

ernstige hinder voor Europese burgers

tot gevolg hebben.