Plan intake
Checklist

NIS2 checklist voor bedrijven

Laatst bijgewerkt: 12 mei 2026Leestijd: 6 minDoor URL.nl Redactie

TL;DR

Deze checklist helpt je in een ochtend bepalen waar je staat. Werk hem af van scope naar bewijslast. Wie alle vinkjes zet, heeft een werkende basis voor NIS2-compliance en is voorbereid op een eerste toezichtgesprek.

1. Scope en registratie

  • Bepaald of je organisatie onder NIS2 valt
  • Vastgesteld of je essentieel of belangrijk bent
  • Bevoegde toezichthouder geïdentificeerd
  • Registratie voorbereid (gegevensset op één plek)

2. Risicobeheer

  • Risicoanalyse uitgevoerd op kritieke processen
  • Risicoregister met eigenaarschap en review-cyclus
  • Asset inventory actueel (hardware, software, data, leveranciers)

3. Technische en organisatorische maatregelen

  • MFA voor alle externe toegang en privileged accounts
  • Patchmanagement met SLA
  • Backup met getest restore-proces
  • Logging en monitoring (minimaal 12 maanden bewaartermijn)
  • Toegangsbeheer volgens least-privilege
  • Encryptie at rest en in transit

4. Incidentmanagement

  • Incident response plan met rollen
  • 24/7 contactpunt ingericht
  • Meldsjablonen voor 24 uur, 72 uur en eindrapport
  • Minstens één tabletop-oefening per jaar

5. Leveranciersketen

  • Kritieke leveranciers geïdentificeerd
  • Contracten met meldplicht en auditrechten
  • Jaarlijkse review op kritieke partners

6. Bestuur en awareness

  • Bestuur heeft training gevolgd
  • Cybersecurity staat minimaal kwartaal op de agenda
  • Medewerkers volgen doorlopende awareness-training

7. Documentatie

  • Alle bewijsstukken centraal vindbaar (ISMS of vergelijkbaar)
  • Beleid en procedures actueel en goedgekeurd
  • Audit trail van wijzigingen

Veelgestelde vragen

Mag deze checklist als bewijs richting toezichthouder?

Nee, hij is een hulpmiddel. Bewijs is het onderliggende beleid, de logs en de tests, niet de checklist zelf.

Hoe lang duurt een complete implementatie?

Voor een middelgrote organisatie: zes tot twaalf maanden tot een werkende basis, daarna doorlopend onderhoud.

Waar begin ik?

Bij scope en risicoanalyse. Pas dan weet je welke maatregelen voor jou zwaarder of lichter zijn.

Deze informatie is bedoeld als praktische uitleg en vormt geen juridisch advies. Controleer altijd de actuele wetgeving en raadpleeg waar nodig een juridisch adviseur of toezichthouder.

Verder lezen

Laatst bijgewerkt op 12 mei 2026 door de URL.nl Redactie.

Wil je weten wat jouw organisatie nodig heeft?

Plan een korte cybersecurity intake. We nemen samen je situatie door en geven concrete vervolgstappen.

Plan een cybersecurity intake