NIS2-stappenplan: in 7 stappen naar compliance met de Cyberbeveiligingswet
Een concreet NIS2-stappenplan voor het MKB: van scope-bepaling en gap-analyse tot de tien zorgplichtmaatregelen, incidentmelding en registratie. Begin vandaag met de gratis NIS2-check.
NIS2 voelt voor veel organisaties als een berg werk zonder duidelijk beginpunt. Dat hoeft niet: compliance is een af te werken pad. Dit NIS2-stappenplan brengt je in zeven concrete stappen van "ik weet niet waar ik sta" naar een aantoonbaar werkend beveiligingsregime onder de Cyberbeveiligingswet (verwacht op 1 juli 2026).
Stap 1 begint hier: doe de gratis NIS2-check — binnen 2 minuten weet je of je onder de wet valt en als welk type entiteit.
Waarom een stappenplan, en niet alles tegelijk
Compliance opbouwen kost 6 tot 12 maanden als je op nul start. De fout die de meeste organisaties maken, is meteen in techniek duiken (firewalls, MFA, back-ups) zonder eerst te bepalen óf en hóé ze onder de wet vallen en waar de grootste gaten zitten. Het gevolg: verkeerde prioriteiten en dubbel werk. Werk de stappen daarom in volgorde af.
Het NIS2-stappenplan in één oogopslag
| Stap | Wat je doet | Hulpmiddel |
|---|---|---|
| 1 | Bepaal of je onder NIS2 valt | NIS2-check |
| 2 | Stel je entiteitstype vast (essentieel of belangrijk) | NIS2-check |
| 3 | Meet je huidige rijpheid (nulmeting) | Gap-analyse |
| 4 | Betrek en informeer het bestuur | — |
| 5 | Implementeer de tien zorgplichtmaatregelen | Whitepaper |
| 6 | Richt incidentmelding in (24 / 72 uur / 1 maand) | — |
| 7 | Registreer en borg continu (PDCA) | — |
Stap 1 — Bepaal of je onder NIS2 valt
Niet iedereen valt onder de wet. Het hangt af van je sector (Annex I of II) én je omvang (vanaf circa 50 medewerkers óf €10 miljoen omzet). Sommige organisaties vallen er ongeacht hun grootte onder. Begin hier, want alle volgende stappen hangen ervan af.
- Doe de gratis NIS2-check voor een directe uitslag.
- Twijfel je over je sector? Bekijk het volledige overzicht in NIS2-sectoren.
- Val je net buiten de directe scope? Dan kun je er alsnog mee te maken krijgen via je klanten — zie NIS2 als toeleverancier.
Stap 2 — Stel je entiteitstype vast
Val je onder de wet, dan ben je ofwel een essentiële ofwel een belangrijke entiteit. Dat onderscheid bepaalt het toezicht- en boeteregime: essentiële entiteiten krijgen proactief toezicht en de hoogste boetes, belangrijke entiteiten reactief toezicht. De NIS2-check geeft naast scope ook je vermoedelijke categorie. Een diepere uitleg van het verschil staat in Val ik onder NIS2?.
Stap 3 — Meet je huidige rijpheid (de nulmeting)
Voordat je gaat verbeteren, moet je weten waar je staat. Voer een gap-analyse uit tegen de tien zorgplichtmaatregelen van het NCSC: per maatregel scoor je je volwassenheid, zodat je ziet welke gaten het grootst zijn.
Doe de gratis gap-analyse. Je krijgt een compliance-percentage en een geprioriteerde lijst — dit wordt de ruggengraat van je actieplan.
Deze nulmeting voorkomt dat je budget steekt in zaken die al op orde zijn, en geeft het bestuur een meetbaar startpunt.
Stap 4 — Betrek het bestuur
NIS2 maakt bestuurders persoonlijk aansprakelijk. Het bestuur moet de risico's begrijpen, de maatregelen goedkeuren en aantoonbaar toezicht houden — en verplicht scholing volgen over cyberrisico's. Maak compliance daarom geen los IT-project, maar een onderwerp op de bestuurstafel. Gebruik de uitkomst van stap 3 om in begrijpelijke taal te laten zien waar de organisatie staat en wat er nodig is.
Stap 5 — Implementeer de tien zorgplichtmaatregelen
De kern van NIS2 is de zorgplicht: passende technische en organisatorische maatregelen. Het NCSC vat dit samen in tien maatregelen, waaronder risicobeheer, incidentafhandeling, bedrijfscontinuïteit en back-ups, beveiliging van de toeleveringsketen, toegangsbeleid en het gebruik van multifactorauthenticatie.
- Werk de gaten uit stap 3 weg, te beginnen bij de grootste risico's.
- Gebruik de whitepaper: de 10 stappen naar NIS2-compliance als uitgewerkte leidraad.
- De volledige toelichting per maatregel lees je in De tien zorgplichtmaatregelen van NIS2.
Vergeet de keten niet: je bent ook verantwoordelijk voor de beveiligingsrisico's bij je leveranciers — zie NIS2 als toeleverancier.
Stap 6 — Richt incidentmelding in
Onder NIS2 geldt een meldplicht voor significante incidenten, volgens een getrapt schema. Zorg dat je weet wie wat meldt en bij welke toezichthouder, en oefen dit:
| Termijn | Wat je moet doen |
|---|---|
| Binnen 24 uur | Eerste vroege waarschuwing (early warning) |
| Binnen 72 uur | Volledige incidentmelding met de bekende details |
| Binnen 1 maand | Eindrapport met oorzaak, impact en getroffen maatregelen |
Een meldproces dat alleen op papier bestaat, faalt tijdens een echt incident. Leg verantwoordelijkheden vast en draai minstens één keer een oefening.
Stap 7 — Registreer en borg continu
Entiteiten die onder de wet vallen, moeten zich registreren bij de toezichthouder binnen het meldvenster na inwerkingtreding. Daarna is compliance geen eindpunt maar een cyclus: meet, verbeter, herhaal (PDCA). Plan een periodieke her-evaluatie — bijvoorbeeld elk half jaar opnieuw de gap-analyse — zodat je aantoonbaar blijft voldoen en nieuwe risico's tijdig opvangt.
Hoeveel tijd kost dit?
Reken vanaf nul op 6 tot 12 maanden tot een aantoonbaar werkend regime. Met een verwachte inwerkingtreding rond 1 juli 2026 is dat venster krap — en je bent niet de enige: naar schatting 8.000 tot 10.000 organisaties komen tegelijk onder de wet te vallen, waardoor auditors en consultants vollopen. De volledige tijdlijn staat in NIS2-deadline: wanneer treedt de Cyberbeveiligingswet in werking?.
Zet vandaag stap 1 en 3: doe de gratis NIS2-check en daarna de gap-analyse. Binnen een half uur weet je of je onder de wet valt én waar je staat.
Veelgestelde vragen
Wat is een NIS2-stappenplan? Een NIS2-stappenplan is een geordende route naar compliance met de Cyberbeveiligingswet: van het bepalen of je onder de wet valt, via een nulmeting van je rijpheid, naar het implementeren van de tien zorgplichtmaatregelen, het inrichten van incidentmelding en de registratie bij de toezichthouder. Door de stappen in volgorde af te werken voorkom je verkeerde prioriteiten en dubbel werk.
Waar begin ik met NIS2? Begin met bepalen of je überhaupt onder NIS2 valt, want alle vervolgstappen hangen daarvan af. Doe daarvoor de gratis NIS2-check. Valt je organisatie onder de wet, voer dan een gap-analyse uit om te zien waar de grootste gaten zitten, en pak die als eerste aan.
Hoeveel stappen heeft NIS2-compliance? In dit stappenplan zijn het er zeven: scope bepalen, entiteitstype vaststellen, rijpheid meten, het bestuur betrekken, de tien zorgplichtmaatregelen implementeren, incidentmelding inrichten en registreren plus continu borgen. De tien zorgplichtmaatregelen vormen samen stap 5.
Hoe lang duurt het om NIS2-compliant te worden? Als je op nul start, reken dan op 6 tot 12 maanden om de tien zorgplichtmaatregelen op te bouwen en te borgen. Omdat de wet rond 1 juli 2026 wordt verwacht en veel organisaties tegelijk starten, is vroeg beginnen verstandig.
Moet ik eerst de techniek regelen of eerst de scope bepalen? Eerst de scope en de nulmeting. Meteen in techniek duiken zonder te weten of en hoe je onder de wet valt en waar je grootste gaten zitten, leidt tot verkeerde prioriteiten. Bepaal eerst je positie met de NIS2-check en je rijpheid met de gap-analyse, en laat die uitkomst je technische keuzes sturen.
Wat zijn de tien zorgplichtmaatregelen? Dat zijn de passende technische en organisatorische maatregelen die het NCSC samenvat, waaronder risicobeheer, incidentafhandeling, bedrijfscontinuïteit en back-ups, beveiliging van de toeleveringsketen, toegangsbeleid en multifactorauthenticatie. De volledige toelichting staat in het artikel over de tien zorgplichtmaatregelen.
Gratis whitepaper · 12 pagina's
De 10 stappen naar NIS2-compliance
Per maatregel: wat het is, concrete acties, en de valkuil. Direct als PDF in je inbox.
Vraag de whitepaper aanBlijf op de hoogte van NIS2
Periodiek de belangrijkste updates over de Cyberbeveiligingswet, plus praktische tips voor het MKB. Geen spam, uitschrijven kan altijd.
Door je in te schrijven ga je akkoord met onze verwerking van je e-mailadres. Geen spam, makkelijk uitschrijven.