• Home
• Nieuws

Niet zeker of NIS2 op jou van toepassing is? Begin toch maar vast

Geplaatst door CorporatieMedia op Wednesday 4 June 2025

Als je je afvraagt of jouw organisatie klaar is voor NIS2, dan ben je niet de enige. Niemand is op dit moment volledig voorbereid. En dat is begrijpelijk. De impact van de NIS2-richtlijn is groot, de stappen zijn niet altijd even duidelijk en het kost tijd om grip te krijgen op je hele leveranciersketen.

Toch is er één duidelijke boodschap die boven alles uitsteekt: begin nu. Of je nu wel of niet zeker weet of de wet op jou van toepassing is.

Stap 1: Breng in kaart waar je staat
Begin met een zelfevaluatie. Op de officiële website van de NCSC kun je checken of jouw organisatie onder de NIS2-richtlijn valt. En zo ja: val je dan onder de ‘essentiële’ of ‘belangrijke’ categorie? Met een aantal gerichte stappen kun je vrij snel bepalen of je NIS2-plichtig bent. Is dat niet het geval, dan kun je de verdere verplichtingen voorlopig loslaten – tenzij je leverancier dat van je gaat vragen. Is dat wél het geval, dan is het tijd om te starten.

NIS2 in één overzicht: wat je moet weten

Stap 2: Registreer, meld en bereid je voor
Ben je NIS2-plichtig? Dan zijn er drie acties die hoe dan ook op je bord komen:

• Registratieplicht – het NCSC heeft een formulier en uitleg klaarstaan. Loop deze nu alvast door
• Meldplicht bij incidenten – ook deze loopt via het NCSC. De vragenlijst is uitgebreid, dus begin nu met het verzamelen van informatie.
• nzicht in je leveranciersketen – gebruik het Samen Digitaal Veilig-platform om te inventariseren wie jouw toeleveranciers zijn en welke risico’s daarbij horen.

En, belangrijk: wijs nu al iemand aan die verantwoordelijk wordt voor deze meldingen. Want als er een incident is, wil je snel kunnen schakelen – niet op dat moment nog informatie moeten verzamelen.

Stap 3: Betrek je leveranciers – ook als je zelf (nog) niet plichtig bent
Veel bedrijven zien zichzelf als toeleverancier. Dat betekent dat ook als je niet rechtstreeks onder NIS2 valt, je alsnog in actie moet komen. Begin daarom ook als ‘niet-plichtige’ met het inventariseren van je eigen IT- en inkoopketen. Want ook jouw klanten kunnen eisen gaan stellen.

Voor veel leveranciers gaat dit over maatregelen die tijd kosten. Denk aan het behalen van een kwaliteitslabel zoals het Quality Mark, of het opzetten van betere beveiligingsmaatregelen. Help ze op tijd op weg – hoe verder voorin de keten je begint, hoe beter.

Stap 4: Begin pragmatisch – en schakel hulp in waar nodig
Of je nu met QM10 begint of al ISO 27001 op zak hebt: het Quality Mark geeft houvast. Begin waar het kan, pak op wat je zelf kunt en schakel hulp in bij wat je liever uitbesteedt. Of dat nou consultancy is, hulp bij een incident response plan, of ondersteuning via managed security-diensten – je hoeft het niet alleen te doen.

Het belangrijkste is: stel niet uit. Zelfs het opstarten van een kwaliteitslabel als QM10 of QM20 kost tijd. Heb je al ISO 27001? Dan kun je vaak al sneller door naar QM30 – maar let op: ook daar moet je extra stappen zetten, zeker als er sprake is van OT in jouw organisatie.

Stap 5: Blijf verbeteren – security is nooit af
Zodra je de eerste stappen hebt gezet, begint het echte werk pas. Want informatiebeveiliging is geen project dat je een keer afrondt. Het is een continu proces van evalueren en verbeteren. Begin met QM10, groei door naar QM20 en uiteindelijk naar QM30. En ook als straks in Q3 de wet definitief wordt, betekent dat niet dat er geen aanpassingen meer komen. Flexibiliteit blijft nodig.

Zoals gezegd: stilstand is achteruitgang. Security is een werkwoord. Dus of je nu net begint of al behoorlijk op weg bent – zorg dat je in beweging blijft.

Bekijk ons webinar over NIS2

Bron: Ekco, Foto: Ekco