Stap 1: bepaal uw mogelijke scope
Breng sector, activiteiten, organisatieomvang en concernrelaties in kaart. Leg vast welke aannames zijn gebruikt en welke punten nog juridisch moeten worden bevestigd.
Stap 2: betrek bestuur en management
Maak duidelijk dat NIS2 geen exclusief IT-project is. Bestuurders moeten richting geven, besluiten nemen en toezicht houden op de uitvoering.
Stap 3: voer een risicoanalyse uit
Inventariseer kritieke processen, systemen, gegevens, dreigingen en afhankelijkheden. Bepaal vervolgens welke risico’s prioriteit hebben.
Stap 4: beoordeel bestaande maatregelen
Controleer onder meer incidentrespons, back-up en herstel, continuïteit, kwetsbaarhedenbeheer, toegangsbeheer, MFA, logging, opleiding en leveranciersmanagement.
Stap 5: breng de keten in kaart
Identificeer kritieke leveranciers en onderaannemers. Leg beveiligingsvereisten, meldtermijnen, auditrechten en continuïteitsafspraken contractueel vast.
Stap 6: maak alles aantoonbaar
Bewaar beleid, besluiten, risicoanalyses, testresultaten, opleidingsregistraties, leveranciersbeoordelingen en verbeterplannen op een vaste plaats.
Stap 7: oefen en verbeter
Voer periodiek hersteltests, crisisoefeningen en evaluaties uit. NIS2-gereedheid is geen eenmalig project, maar een doorlopend verbeterproces.
Deze pagina is informatief. Controleer bij twijfel altijd de actuele officiële informatie of raadpleeg een juridisch of cybersecuritydeskundige.