De NIS2-richtlijn is sinds oktober 2024 van kracht, en toezichthouders worden steeds actiever in het controleren van organisaties. Boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet. Dit artikel geeft een praktisch stappenplan om een boete te voorkomen.
Stap 1: Bepaal of u onder NIS2 valt
U valt waarschijnlijk onder NIS2 als uw organisatie meer dan 50 medewerkers heeft, of een jaaromzet boven €10 miljoen, in combinatie met activiteit in een aangewezen sector (energie, zorg, digitale infrastructuur, transport, voedsel, maakindustrie, en meer). Ook als toeleverancier van een NIS2-plichtige organisatie kunt u verplichtingen krijgen opgelegd.
Stap 2: Voer een technische risicoanalyse uit
Artikel 21 van de NIS2-richtlijn eist een aantoonbare, technische risicoanalyse. Dit is precies waar een professionele vulnerability scan om de hoek komt: het identificeert kwetsbaarheden in uw netwerk en legt dit vast in een rapport dat u kunt overleggen aan toezichthouders.
Stap 3: Documenteer alles
Het hebben van goede beveiliging is niet genoeg — u moet het kunnen aantonen. Zorg voor:
- Een activaregistratie van al uw systemen
- Een risicobeoordeling per kwetsbaarheid
- Een herstelplan met tijdlijnen
- Bewijs dat herstelmaatregelen daadwerkelijk zijn doorgevoerd
Stap 4: Herhaal dit periodiek
Een eenmalige scan is een momentopname. NIS2 verwacht een continu proces. Minimaal eens per kwartaal opnieuw scannen wordt als minimumstandaard gezien.
Stap 5: Regel de meldplicht
Bij een significant beveiligingsincident moet u dit binnen 24 uur melden bij de bevoegde autoriteit. Zorg dat u weet wie binnen uw organisatie deze melding doet en hoe.
Wat als u nu nog niets heeft geregeld?
Begin vandaag met een vulnerability scan. Dit is de snelste manier om in kaart te brengen waar u staat, en het rapport vormt direct de basis van uw NIS2-documentatie.
Wilt u zeker weten dat u NIS2-compliant bent? Lees meer over onze NIS2 Compliance Scan of vraag direct een scan aan.