Naar hoofdinhoud

JT Secure Solutions

Microsoft 365 · Security · Automation

JT Secure Solutions

NIS2 readiness assessment voor MKB

NIS2 / Cyberbeveiligingswet — weet of je valt onder de regels, en wat je dan moet doen

Sinds 17 oktober 2024 is de Nederlandse Cyberbeveiligingswet (omzetting NIS2) van kracht. Ongeveer 8.000 Nederlandse organisaties moeten compliant zijn — en de meeste MKB-bedrijven hebben geen idee of ze erbij horen. Dit pakket geeft duidelijkheid in 2 dagen scoping + assessment + bestuursrapport.

Voor wie

Voor jouw organisatie geschikt als…

  • Je organisatie zit in een sector die mogelijk onder NIS2 valt: energie, vervoer, bank, gezondheid, drinkwater, digitale infra, post, voedsel, productie, chemie, afvalbeheer, ICT-diensten, of openbare administratie.
  • Je organisatie heeft 50+ medewerkers of € 10M+ omzet (drempels voor “important” entity).
  • Je bent een leverancier of toeleverancier van een organisatie die wél onder NIS2 valt — dan kan compliance contractueel verplicht worden.
  • Je hebt een cyberverzekering die naar NIS2-aansluiting vraagt.
  • Je weet domweg niet of NIS2 op jou van toepassing is, en wilt het zeker weten.

Twijfel je? Bel of mail — een korte scoping-call (15 min, gratis) is meestal genoeg om te bepalen of dit pakket relevant voor je is.

Inhoud pakket

Wat je krijgt

  • Scope-bepaling — valt jouw organisatie binnen NIS2? Als belangrijk (important) of essentieel (essential) entity? Met onderbouwing.
  • Gap-analyse versus de 10 NIS2-pijlers:
    1. Risk management
    2. Incident handling en 24-uurs meldplicht
    3. Business continuity / crisis management
    4. Supply chain security
    5. Network and information security (incl. patching, vulnerability mgmt)
    6. Cyber hygiene en awareness
    7. Cryptografie
    8. Toegangscontrole en MFA
    9. Asset management
    10. Effectiviteitstoetsing
  • Concrete actielijst per pijler — wat heb je al goed, wat ontbreekt, wat moet eerst. Per actie: prioriteit, indicatieve doorlooptijd, intern of extern uit te voeren.
  • Bestuursrapport — leesbaar voor directie / RvT / RvC. Inclusief samenvatting van bestuurlijke aansprakelijkheid onder NIS2.
  • 2 uur follow-up call — vragen, prioritering, planning, en hoe over te brengen aan je bestuur.

Looptijd: 2 werkdagen op locatie of remote + 3 dagen rapportage. Doelgroep: MKB 50-250 medewerkers, of kleinere organisaties in een NIS2-keten (toeleverancier essentiële sector).

Werkwijze

In 4 stappen

  • 1. Scoping-call (15-30 min, gratis) — bepalen of NIS2 überhaupt op jou van toepassing is. Soms blijkt het van niet — dan investeer je hier geen tijd of budget in.
  • 2. Intake + NDA (1 uur) — kennismaking, scope formaliseren, NDA + verwerkersovereenkomst.
  • 3. Assessment-dagen (2 dagen) — interviews met IT, security, directie. Documentatie review. Optioneel ook technische steekproef.
  • 4. Rapport + bestuurspresentatie — binnen 10 werkdagen het rapport in je inbox. 2 uur follow-up call. Optioneel: presentatie aan bestuur (apart geoffreerd).

FAQ

Veelgestelde vragen

Wat is het verschil tussen ‘belangrijk’ en ‘essentieel’ onder NIS2?

Essentieel = grotere of meer kritieke sectoren, strenger toezicht, hogere boetes (tot € 10M of 2% wereldwijde omzet). Belangrijk = minder kritiek, lichter toezicht, boetes tot € 7M of 1.4% omzet. Beide categorieën moeten dezelfde basis-eisen invullen, het verschil zit in handhaving.

Wat als ik niet onder NIS2 val, moet ik dan niks doen?

Niet vanuit NIS2 zelf — maar als je leverancier bent van een organisatie die wél valt, kan compliance via supply-chain bepalingen alsnog contractueel verplicht worden. En de NIS2-eisen zijn sowieso gewoon goede security-praktijk. Een Cyber Quick-Scan kan dan een betere prijs-kwaliteit zijn.

Doe je ook de implementatie?

Ja, op nacalculatie of vaste prijs per onderdeel. Of je laat het door je eigen IT-partij doen met mijn rapport als basis. Beide kan.

Hoe lang duurt het voordat we daadwerkelijk compliant zijn?

Afhankelijk van waar je start: tussen 3 en 12 maanden voor een MKB-organisatie. Het rapport bevat een realistische tijdslijn per actie.

Wat als de wet wijzigt?

Het rapport is een momentopname (datum vermeld). Wijzigingen in de wet — bv. nadere uitwerking via AMvB’s — kunnen later aanvullend werk vereisen. Dat doe ik op uurbasis of in een vervolgopdracht.

Wil je weten of NIS2 op jou van toepassing is?

Korte scoping-call (15-30 min) is gratis. Daarna beslis je of een volledig assessment zinnig is.

Plan scoping-call
Mail direct