Strategic Resilience

Weet precies waar je staat met NIS2.

Heldere gap-analyse, geprioriteerde roadmap en bestuurlijke onderbouwing. Deadline 1 juli 2025.

Wat is een NIS2 Readiness Assessment?

Een NIS2 Readiness Assessment toetst je organisatie aan de vereisten van de NIS2-richtlijn en laat zien waar je staat. Je ontvangt een gap-analyse per NIS2-domein, een risicoclassificatie per bevinding en een geprioriteerde roadmap om aantoonbaar compliant te zijn voor de deadline van 1 juli 2025. Bestuurders zijn persoonlijk aansprakelijk bij nalatigheid; dit assessment geeft de onderbouwing voor dat gesprek.

Over deze dienst

NIS2 maakt cybersecurity een bestuurlijke verantwoordelijkheid

NIS2 stelt eisen aan risicomanagement, incidentmelding, supply chain security en governance. Het is geen abstracte compliance-checklist. Het is een praktische beoordeling van wat je al hebt, wat ontbreekt en hoe je de gaps efficiënt dicht.

Het team beoordeelt je beveiligingsniveau tegen de NIS2-vereisten over alle relevante domeinen. NIS2 omvat niet alleen technische maatregelen maar ook governance, incident response, supply chain management en bewustzijn. Elk domein wordt beoordeeld en elke gap krijgt een risicoclassificatie.

Bestuurders ontvangen een heldere samenvatting: wat zijn de risico's van non-compliance, waar staan we en wat is het plan? Na het assessment kan het team ook ondersteunen bij implementatie en het aantonen van compliance aan toezichthouders.

Het Probleem

Waarom NIS2 nu urgentie vraagt

Veel organisaties weten niet of ze onder NIS2 vallen, laat staan wat er nog te doen is. De deadline van 1 juli 2025 nadert en toezichthouders beginnen met handhaven.

Je weet niet zeker of jouw organisatie als essentieel of belangrijk wordt geclassificeerd, terwijl de gevolgen van een verkeerde inschatting hoog zijn.
Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij aantoonbare nalatigheid, maar hebben geen objectief beeld van de huidige stand van zaken.
Zonder geprioriteerde roadmap weet je niet waar te beginnen en raken investeringen versnipperd over maatregelen die niet de hoogste risicoreductie opleveren.

Scope

Wat het assessment omvat

Toepasselijkheidsbeoordeling: valt je organisatie onder NIS2?
Governance en bestuurlijke verantwoordelijkheid
Risicomanagement en risicobeoordeling
Technische beveiligingsmaatregelen
Incident response en meldplicht
Supply chain security
Business continuity
Security awareness en training
Documentatie en aantoonbaarheid

Onze Aanpak

Hoe DEFION een NIS2 assessment uitvoert

Toepasselijkheidsbeoordeling

Bepalen of je organisatie als essentieel of belangrijk wordt geclassificeerd en welke NIS2-artikelen van toepassing zijn.

Huidige staat beoordeling

Assessment van bestaande maatregelen tegen NIS2-vereisten via documentreview en gestructureerde interviews met stakeholders.

Gap-analyse

Identificatie van ontbrekende of onvoldoende maatregelen per domein. Elke gap krijgt een risicoclassificatie.

Risicoprioritering

Bepalen welke gaps het grootste risico vormen en als eerste moeten worden aangepakt.

Roadmap opstellen

Geprioriteerd implementatieplan met tijdlijn, quick wins en langetermijnmaatregelen.

Bestuurspresentatie

Presentatie van resultaten en roadmap aan bestuur met executive summary voor directierapportage.

Wat Je Ontvangt

Deliverables

NIS2 toepasselijkheidsbeoordeling (essentieel of belangrijk)
Gap-analyse rapport per NIS2-domein
Compliance-maturityscore per domein
Geprioriteerde implementatieroadmap met quick wins
Executive summary voor bestuurlijke rapportage
Gedetailleerd technisch rapport voor je securityteam
Aanbevelingen voor leveranciers- en ketenrisicobeheer

Voor Wie

Geschikt voor

Organisaties die moeten voldoen aan NIS2 (essentiële en belangrijke entiteiten)
Bestuurders die hun persoonlijke aansprakelijkheid willen begrijpen en onderbouwen
Bedrijven die niet zeker weten of NIS2 op hen van toepassing is
Organisaties die compliance willen aantonen aan toezichthouders
Organisaties die NIS2 willen combineren met een ISO 27001 of DORA-traject

Veelgestelde Vragen

FAQ

Wanneer moeten we NIS2-compliant zijn?

De NIS2-deadline voor Nederland is 1 juli 2025. Toezichthouders beginnen met handhaving en bestuurders zijn persoonlijk aansprakelijk bij aantoonbare nalatigheid. Starten met een assessment geeft je de tijd om gaps te dichten voor de deadline.

Geldt NIS2 voor onze organisatie?

NIS2 onderscheidt essentiële entiteiten (energie, transport, water, gezondheidszorg) en belangrijke entiteiten (post, afvalbeheer, digitale infrastructuur). Ben je actief in een van deze sectoren met meer dan 50 medewerkers of een omzet boven 10 miljoen euro? Dan val je waarschijnlijk onder NIS2. DEFION bepaalt de toepasselijkheid samen met je tijdens het intakegesprek.

Zijn bestuurders echt persoonlijk aansprakelijk?

Ja. NIS2 maakt bestuursorganen verantwoordelijk voor het goedkeuren en toezien op cybersecurity-maatregelen. Bij aantoonbare nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld en verplicht worden trainingen te volgen. Een tijdig assessment geeft het bestuur aantoonbaar bewijs van due diligence.

Wat als we al ISO 27001 gecertificeerd zijn?

ISO 27001 dekt een groot deel van de NIS2-vereisten. Het assessment brengt in kaart welke aanvullende maatregelen nodig zijn, met name op het gebied van incidentmelding, supply chain security en bestuurlijke governance. De gap is doorgaans beperkt maar niet nul.

Helpen jullie ook bij de implementatie na het assessment?

Ja. Na het assessment kan het team ondersteunen bij de implementatie van maatregelen, het opzetten van processen en het voorbereiden op audits en toezichthouderscontroles. De samenwerking eindigt niet bij het rapport.

DORA Readiness Assessment

Meer informatie →

ISO 27001 Readiness Assessment

Meer informatie →

CISO as a Service

Meer informatie →