Deze checklist is gebaseerd op de verplichtingen uit de NIS2-richtlijn (EU 2022/2555) en het CyFun-framework. Het is een zelfevaluatie - geen vervanging voor een professionele audit, maar een goed startpunt om te bepalen waar de prioriteiten liggen.
1 Governance en bestuurdersaansprakelijkheid
Bestuurders zijn aantoonbaar verantwoordelijk voor cybersecurityEr is een bestuursbesluit of toewijzing die cybersecurity als bestuurstaak benoemt.
Bestuurders hebben een cybersecurityopleiding gevolgdDe NIS2-richtlijn vereist dat bestuurders voldoende kennis hebben om risico's te beoordelen.
Cybersecurity staat periodiek op de bestuursagendaMinimaal per kwartaal rapportage over beveiligingsstatus, incidenten en verbeterpunten.
2 Risicobeheer
Er is een actuele risicoanalyse uitgevoerdRisico's voor netwerk- en informatiesystemen zijn geidentificeerd, beoordeeld en gedocumenteerd.
Risicobeheersmaatregelen zijn geimplementeerdOp basis van de risicoanalyse zijn passende technische en organisatorische maatregelen genomen.
De effectiviteit van maatregelen wordt getoetstEr is een proces om periodiek te evalueren of maatregelen nog adequaat zijn.
3 Incidentrespons en meldplicht
Er is een incidentresponsplanProcedures voor detectie, analyse, inperking en herstel van beveiligingsincidenten.
De meldplicht (24/72 uur) is geborgdEr is een procedure om significante incidenten binnen 24 uur te melden bij het CSIRT en binnen 72 uur een volledige melding te doen.
Incidenten worden geregistreerd en geevalueerdEen incidentenregister met root-cause analyse en lessons learned.
4 Bedrijfscontinuiteit
Er is een bedrijfscontinuiteitsplan (BCP)Procedures om kritieke processen voort te zetten bij een cyberincident of storing.
Back-ups worden regelmatig gemaakt en getestAutomatische back-ups met periodieke restore-tests om te bewijzen dat data hersteld kan worden.
Er is een crisismanagementprocedureRollen, communicatielijnen en escalatiepaden zijn vastgelegd voor crisissituaties.
5 Toeleveringsketen
Leveranciers zijn beoordeeld op cybersecurityEen leveranciersregister met risicobeoordeling van ICT-dienstverleners en kritieke toeleveranciers.
Contracten bevatten beveiligingseisenVerwerkersovereenkomsten en SLA's met cybersecurity-clausules, meldplicht en auditrecht.
Ketenrisico's zijn meegenomen in de risicoanalyseAfhankelijkheden van derden zijn geidentificeerd en beoordeeld als onderdeel van het risicobeheer.
6 Toegangsbeheer en authenticatie
Multifactorauthenticatie (MFA) is actiefMFA op alle kritieke systemen, VPN-toegang, clouddiensten en beheerdersaccounts.
Toegangsrechten volgen het least-privilege principeMedewerkers hebben alleen toegang tot systemen en data die ze nodig hebben voor hun functie.
Toegangsrechten worden periodiek gereviewedMinimaal jaarlijks worden rechten gecontroleerd en worden ongebruikte accounts verwijderd.
7 Beveiliging van systemen
Kwetsbaarheidsbeheer is ingerichtPatches worden tijdig toegepast. Er is een proces voor het detecteren en verhelpen van kwetsbaarheden.
Versleuteling wordt toegepast waar nodigData-at-rest en data-in-transit zijn versleuteld. Er is beleid voor cryptografie en sleutelbeheer.
Netwerken zijn gesegmenteerdKritieke systemen zijn gescheiden van het reguliere netwerk. Firewalls en monitoring zijn ingericht.
8 Bewustwording en opleiding
Medewerkers krijgen cybersecurity-awareness trainingStructureel programma voor bewustwording, inclusief phishing-simulaties en herhalingstrainingen.
Er zijn beleidsregels voor cyberhygieneWachtwoordbeleid, clean desk policy, BYOD-regels en regels voor veilig thuiswerken.
9 Registratie en compliance
De organisatie weet of zij onder de CBW valtSector, omvang en type dienstverlening zijn getoetst tegen de NIS2-criteria. De classificatie (essentieel/belangrijk) is bepaald.
Documentatie is auditbestendigBeleid, procedures, risicoanalyses en incidentenregisters zijn gedocumenteerd en beschikbaar voor toezichthouders.
Aanzienlijke gaps gedetecteerd
Je organisatie voldoet aan minder dan 40% van de NIS2-kernvereisten. Dit is een hoog-risico situatie als de Cyberbeveiligingswet in werking treedt. Een quickscan helpt om prioriteiten te stellen.
Plan een quickscan
Deels op orde, verbetering nodig
Je organisatie heeft een basis, maar er zijn nog gaps die gedicht moeten worden voor volledige NIS2-compliance. Een gerichte assessment helpt om het restwerk in kaart te brengen.
Plan een assessment
Goede basis voor NIS2-compliance
Je organisatie scoort hoog op de zelfevaluatie. Een formele quickscan kan bevestigen of de implementatie ook in de praktijk standhoudend is.
Plan een validatie-gesprek
Van checklist naar zekerheid
Deze zelfevaluatie geeft een indicatie. Onze NIS2 quickscan gaat dieper: 2 dagen, concreet rapport, heldere aanbevelingen. Pragmatisch, geen bureaucratie.
Gratis orienterend gesprek (30 min)
Deze checklist is informatief en geen juridisch advies. Gebaseerd op de NIS2-richtlijn (EU 2022/2555) en het CyFun-framework (CCB). Laatste update: april 2026.
Lees meer over de Cyberbeveiligingswet of ga terug naar de homepage.