Ga naar inhoud
isocertificering.org

NIS2: wat je nu moet regelen

NIS2 verankert cyberweerbaarheid in de bestuurlijke lijn. Deze pagina vat samen wat je praktisch moet voorbereiden — vooral als leverancier van essentiële of belangrijke entiteiten.

Plan een vrijblijvend gesprek

ISO Ready helpt je om beleid, risico’s en bewijslast samen te brengen — zonder eindeloze documentstromen.

Naar ISO Ready

Kern van NIS2 voor leveranciers

De NIS2-richtlijn versterkt eisen aan governance, incidentmelding en ketenbeheer voor essentiële en belangrijke entiteiten — en drukt indirect door naar IT-leveranciers via contracten en due diligence. Het is geen “ISO-vervanger”, maar een aanvullend kader dat je vaak naast ISO 27001 inricht.

Bestuurdersaansprakelijkheid en cultuur

Bestuurders moeten passende maatregelen kunnen uitleggen en aantonen dat risico’s worden gevolgd. Dat betekent dat security niet alleen bij IT mag liggen: beleid, budget en escalaties moeten aansluiten op reële dreigingen en bedrijfsprocessen.

Melden en logging

Werk met duidelijke criteria wanneer een incident “significant” is, hoe snel intern wordt geëscaleerd en welke gegevens je nodig hebt voor een melding. Registreer beslissingen en tijdstippen strak; dit is typisch een plek waar auditors en toezichthouders scherp kijken.

Keten en leveranciers

Classificeer leveranciers naar impact, leg eisen vast in contracten en monitor naleving met steekproeven of rapportages. Koppel dit aan je ISMS zodat dezelfde risico’s niet dubbel of tegenstrijdig worden beheerd.

Kernpunten

  • NIS2 is primair wet- en regelgeving; ISO 27001 is een norm — ze vullen elkaar aan.
  • Incidentmelding vraagt strakke interne afspraken en registratie.
  • Ketenbeheer is een doorlopend proces, geen eenmalige vragenlijst.

Veelgestelde vragen

Geldt NIS2 voor elk MKB?
Niet automatisch. De reikwijdte hangt af van sector, grootte en rol in essentiële/belangrijke diensten. Toets je positie juridisch en contractueel.
Is een ISMS verplicht?
Een ISMS-achtige aanpak is functioneel nodig om eisen aantoonbaar te borgen; ISO 27001-certificering kan helpen maar is niet automatisch verplicht.
Waar start ik morgen?
Maak een overzicht van leveranciers, datastromen en bestaande securitymaatregelen; koppel incidenten aan een beslisboom voor escalatie en melding.

Klaar voor de volgende stap?

Laat zien hoe je beheersmaatregelen in de praktijk borgt en versnel je traject richting auditbare ISMS-documentatie.

Naar ISO Ready