Contact


TReNT-Kennisbank-Kennisbank-NIS2-ready in 6 stappen

NIS2-ready in 6 stappen

Alles wat je moet weten en doen om te voldoen aan de Cyberbeveiligingswet 

In het tweede kwartaal van 2026 treedt de Nederlandse Cyberbeveiligingswet (Cbw) naar verwachting in werking [1, 3], eerder schreven we daar dit artikel over. Deze wet is de Nederlandse implementatie van de Europese NIS2-richtlijn en stelt strenge eisen aan de cyberveiligheid van ongeveer 4.000 Nederlandse organisaties. De vraag is: is jouw organisatie er klaar voor?

Met dit artikel heeft jouw organisatie zometeen een compleet overzicht van wat er moet gebeuren om klaar te zijn voor de Cyberbeveiligingswet. Kortom: door de stappen in dit artikel te volgen, bouw je aan een digitaal veerkrachtige en toekomstbestendige organisatie.


De 10 zorgplichtmaatregelen van NIS2

De Cyberbeveiligingswet schrijft tien concrete zorgplichtmaatregelen voor [2]. Hieronder staan die zorgplichtmaatregelen in een overzicht. Check per maatregel of deze al is geïmplementeerd. Zijn er 8 of meer maatregelen afgevinkt? Goed bezig. Focus op de laatste details. Minder dan 8? Geen zorgen. De volgende secties helpen Nederlandse organisaties om de ontbrekende stappen snel te zetten.


Stap 1: Scope en inventarisatie

Check: Is dit al gedaan?

Nog niet gedaan? Deze stappen moet je organisatie zetten:

Bepaal status organisatie onder de wet
De NIS2-richtlijn maakt onderscheid tussen 'essentiële' en 'belangrijke' organisaties [5]. Essentiële entiteiten vallen bijvoorbeeld in sectoren als energie, transport, gezondheidszorg en digitale infrastructuur. Belangrijke entiteiten zijn onder andere post, afvalbeheer en onderzoeksinstellingen. Check op de website van de Rijksoverheid of het NCSC of je organisatie onder de wet valt.

Breng kroonjuwelen in kaart
Maak een lijst van alle systemen, data en processen die essentieel zijn voor de dienstverlening van de organisatie. Denk aan: klantdatabases, productiesystemen, financiële systemen, communicatieplatforms. Vraag je af: wat mag absoluut niet uitvallen?

Inventariseer ketenpartners
NIS2 verplicht organisaties om ook de beveiliging van de toeleveringsketen te waarborgen [2]. Maak een lijst van leveranciers die toegang hebben tot systemen of data, of die kritieke diensten leveren. Denk aan: cloud providers, IT-dienstverleners, softwareleveranciers.

Stap 2: Risicoanalyse en gap-analyse

 Check: Is dit al gedaan?

Nog niet gedaan? Deze stappen moet je organisatie zetten:

Voer een risicoanalyse uit
Identificeer de dreigingen voor kritieke assets. Denk aan: ransomware, datalekken, DDoS-aanvallen, systeemuitval, menselijke fouten. Beoordeel per dreiging de kans dat het gebeurt en de impact als het gebeurt. Prioriteer op basis van risico (kans × impact).

Doe een gap-analyse
Leg de huidige beveiligingsmaatregelen naast de tien zorgplichtmaatregelen uit de tabel hierboven. Waar wordt al aan voldaan? Waar zitten de gaten? Wees eerlijk en specifiek. Bijvoorbeeld: "We hebben MFA, maar alleen voor VPN-toegang, niet voor alle kritieke systemen."

Maak een prioriteitenlijst
Welke hiaten vormen het grootste risico? Welke maatregelen hebben de hoogste impact en zijn relatief snel te implementeren? Dit zijn quick wins. Maak een actieplan met concrete stappen en deadlines.

Stap 3: Beleid en procedures

Check: Is dit al gedaan?

Nog niet gedaan? Deze stappen moet je organisatie zetten:

Stel een incidentresponsplan op
Beschrijf stap voor stap wat er gebeurt bij een cyberincident: wie doet wat, wie neemt welke beslissingen, hoe wordt intern en extern gecommuniceerd? Belangrijk: de Cyberbeveiligingswet verplicht organisaties om significante incidenten binnen 24 uur te melden bij het NCSC [2]. Zorg dat bekend is wat een 'significant incident' is en hoe er melding moet worden gedaan via het NCSC-portaal.

Ontwikkel een plan voor bedrijfscontinuïteit
Hoe blijft de organisatie operationeel tijdens en na een crisis? Denk aan: back-ups, uitwijklocaties, alternatieve communicatiemiddelen, noodprocedures. Test dit plan regelmatig.

Formuleer een beleid voor de toeleveringsketen
Stel eisen aan leveranciers op het gebied van cyberveiligheid. Bijvoorbeeld: verplichte MFA, versleuteling van data, incidentmeldingen, audits. Leg dit vast in contracten en controleer de naleving.

Documenteer beveiligingsbeleid
Zorg dat alle maatregelen, procedures en verantwoordelijkheden zijn gedocumenteerd. Dit beleid moet worden goedgekeurd door het bestuur, want de NIS2 legt de eindverantwoordelijkheid expliciet bij het bestuur [2].

Stap 4: Technische maatregelen

Check: Is dit al gedaan?

Nog niet gedaan? Deze stappen moet je organisatie zetten:

Implementeer Multi-Factor Authenticatie (MFA)
MFA is een van de meest effectieve maatregelen tegen ongeautoriseerde toegang. Zorg dat MFA verplicht is voor: alle externe toegang (VPN, remote desktop), toegang tot kritieke systemen, beheerdersaccounts. Gebruik bij voorkeur een authenticator-app of hardware token, geen SMS.

Pas versleuteling toe
Versleutel gevoelige data zowel in opslag (at rest) als tijdens verzending (in transit). Denk aan: harde schijven, laptops, USB-sticks, back-ups, e-mailverkeer, API-communicatie. Gebruik moderne, veilige encryptiestandaarden (bijvoorbeeld AES-256, TLS 1.3).

Segmenteer het netwerk van de organisatie
Deel het netwerk op in zones op basis van vertrouwelijkheid en functie. Bijvoorbeeld: een zone voor kantoorautomatisering, een zone voor productiesystemen, een zone voor externe toegang. Hierdoor kan een aanvaller zich na een inbraak niet makkelijk door het hele netwerk bewegen. Een private glasvezelverbinding, zoals dark fiber, biedt een uitstekende basis voor effectieve netwerksegmentatie omdat hiermee fysiek gescheiden verbindingen gemaakt kunnen worden.

Zorg voor tijdige updates
Implementeer een proces voor patch management. Houd bij welke systemen en software worden gebruikt, monitor updates en beveiligingspatches, test en installeer deze tijdig. Kwetsbaarheden in verouderde software zijn een veelvoorkomende ingang voor aanvallers.

Richt logging en monitoring in
Log alle relevante activiteiten op systemen: inlogpogingen, toegang tot gevoelige data, systeemwijzigingen, netwerkverkeer. Zorg voor alerting bij afwijkend gedrag. Bewaar logs veilig en centraal, zodat bij een incident geanalyseerd kan worden wat er is gebeurd.

Stap 5: Bewustwording en training

Check: Is dit al gedaan?

Nog niet gedaan? Deze stappen moet je organisatie zetten:

Organiseer bewustwordingssessies
De menselijke factor is vaak de zwakste schakel. Organiseer een sessie voor alle medewerkers waarin wordt  uitgelegd: wat is NIS2 en waarom is het belangrijk, wat zijn de grootste dreigingen (phishing, ransomware, social engineering), wat is de rol van elke medewerker, hoe meld je een incident of verdachte situatie.

Voer een phishing-simulatie uit
Stuur een gesimuleerde phishing-mail naar medewerkers en kijk wie erop klikt. Dit maakt de dreiging tastbaar en biedt een leerzaam moment. Gebruik de resultaten om gerichte training te geven, niet om te straffen.

Stel duidelijke richtlijnen op
Maak een praktische handleiding voor veilig werken: wat is een sterk wachtwoord, omgaan met gevoelige data, wat doe je bij een verdachte e-mail, hoe werk je veilig vanaf een andere locatie. Houd het simpel en toegankelijk.

Plan training voor het bestuur
De NIS2 verplicht dat bestuurders een training volgen om risico's te kunnen identificeren en maatregelen te beoordelen [2]. Bestuurders hebben maximaal twee jaar na inwerkingtreding de tijd, maar plan dit al vroeg in. Het versterkt het draagvlak en de betrokkenheid.

Stap 6: Registratie en verankering

Check: Is dit al gedaan?

Nog niet gedaan? Deze stappen moet je organisatie zetten:

Bereid de registratie bij het NCSC voor
Organisaties die onder de Cyberbeveiligingswet vallen, moeten zich registreren bij het NCSC via een portaal [2]. Zorg dat de volgende gegevens aanwezig zijn: contactgegevens van de organisatie, naam en contactgegevens van de verantwoordelijke persoon, overzicht van de diensten die worden geleverd, overzicht van internetdomeinen. De registratie wordt verplicht na inwerkingtreding, maar je kunt je organisatie nu al vrijwillig registreren.

Maak een roadmap voor de toekomst
Zet alle resterende actiepunten uit de gap-analyse op een tijdlijn. Wees realistisch over wat haalbaar is en plan voldoende tijd in. Zorg voor mijlpalen en momenten waarop de voortgang wordt geëvalueerd.

Beleg verantwoordelijkheden
Wie is er binnen de organisatie verantwoordelijk voor de continue verbetering van de cyberveiligheid? Wie houdt de voortgang bij? Wie rapporteert aan het bestuur? De NIS2 legt de eindverantwoordelijkheid expliciet bij het bestuur [2], maar de dagelijkse uitvoering ligt vaak bij de CISO of IT-manager.

Informeer en betrek het bestuur
Plan een rapportage aan het bestuur. Presenteer wat er is gebeurd, waar de organisatie staat, wat de resterende stappen zijn en wat nodig is (budget, mensen, tijd). Zorg voor goedkeuring en commitment. Dit verankert het belang van digitale veiligheid in de top van de organisatie.

Richt een proces in voor continue verbetering
NIS2 is geen eenmalig project, maar een doorlopend proces. Zorg voor regelmatige evaluaties, updates van de risicoanalyse, testen van plannen, bijscholing van medewerkers. Blijf op de hoogte van nieuwe dreigingen en ontwikkelingen.


Een stevige basis voor de toekomst

Een veilige digitale basis begint bij een betrouwbare infrastructuur. Bij TReNT begrijpen we dat als geen ander. Als kennispartner in connectiviteit helpen we organisaties graag met het leggen van een digitale basis. Wil je eens praten over hoe een private glasvezelverbinding kan bijdragen aan de NIS2-strategie van jouw organisatie? Neem gerust contact met ons op. Samen werken we aan een veilige en verbonden toekomst.

Ewout NaafsEwout Naafs
Ewout Naafs
Business Development Manager
Erik Jan ZuilErik Jan Zuil
Erik Jan Zuil
Key Accountmanager
Bart RiesewijkBart Riesewijk
Bart Riesewijk
Accountmanager


[1] Nationaal Cyber Security Centrum (NCSC). (2026). Cyberbeveiligingswet (NIS2). Geraadpleegd op 19 februari 2026, van https://www.ncsc.nl/cyberbeveiligingswet-nis2

 

[2] Digitale Overheid. (2025). Wat zijn de verplichtingen onder de Cyberbeveiligingswet? Geraadpleegd op 19 februari 2026, van https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/cyberbeveiligingswet/verplichtingen-cyberbeveiligingswet/

 

[3] business.gov.nl. (2026). NIS 2 directive sets obligations for more companies. Geraadpleegd op 19 februari 2026, van https://business.gov.nl/amendments/nis2-directive-protects-network-information-systems/

 

[4] KVDL. (2025). The Implementation of the NIS2 Directive: an Update. Geraadpleegd op 19 februari 2026, van https://kvdl.com/en/articles/de-implementatie-van-de-nis2-richtlijn-een-update

 

[5] Europese Unie. (2022). Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union (NIS2 Directive). Geraadpleegd op 19 februari 2026, van https://eur-lex.europa.eu/eli/dir/2022/2555/oj

 

[6] Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). (2025). Cyberbeveiligingswet - Wetsvoorstellen in ontwikkeling. Geraadpleegd op 19 februari 2026, van https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet

Goed nieuws!
U bent een stap dichter bij het meest betrouwbare glasvezelnetwerk van Nederland. Op uw locatie(s) is zakelijk glasvezel van TReNT beschikbaar. Vul hieronder uw gegevens in en wij nemen zo spoedig mogelijk contact met u op. U kunt ons ook direct bereiken via 053 - 711 41 00.
Speciale voorwaarden
Voor uw locatie(s) kunnen wij momenteel geen geautomatiseerde aanbieding afgeven. Dit kan komen doordat ons glasvezelnetwerk niet direct bij u in de buurt ligt of door bijzondere omstandigheden. Graag komen wij met u in contact om samen te kijken naar de mogelijkheden. Laat uw gegevens achter en wij nemen zo snel mogelijk contact met u op, of bel met één van onze specialisten op 053 - 711 41 00.
Mogelijkheden in de toekomst
Deze locatie ligt momenteel buiten het bereik van ons netwerk voor een directe aansluiting. Wij zijn ons netwerk continu aan het uitbreiden en mogelijk kunnen we u in de toekomst wel van dienst zijn. Laat uw gegevens achter zodat we u op de hoogte kunnen houden van de ontwikkelingen, of bel ons op 053 - 711 41 00.
Bedankt voor uw aanvraag. U ontvangt zo spoedig mogelijk een reactie.