United Kingdom flag EN German flag DE

NIS2–ready: jouw keten veilig en aantoonbaar compliant

Wij implementeren verplichte NIS2-maatregelen – van board-accountability tot supply-chain-checks – zodat jij gerust kunt aansluiten.
Master the field

NIS2–ready: jouw keten veilig en aantoonbaar compliant

2025.07.22 - NIS2-Wat-Vraagt

Wat vraagt de NIS2-richtlijn?

  • Bestuurlijke verantwoordelijkheid: directie blijft eind­verantwoordelijk voor cyber­risico’s
  • Risico-gebaseerde maatregelen (artikel 21): o.a. toegangs­beheer, kwetsbaar­heids­patching, logging
  • Supply-chain risico­beoordeling (artikel 22): verplicht inzicht in de leveranciers­keten
  • Incident­melding binnen 24 u (artikel 23): naar CSIRT & klanten
  • Normalisatie & certificering (artikel 25): om uniforme eisen te borgen

 

Uitleg: “essentiële” vs “belangrijke” entiteiten volgens de NIS2-richtlijn
Essentiële entiteit
Belangrijke entiteit
Wanneer ben je er één? Grote organisaties in de 12 kritieke sectoren (o.a. energie, vervoer, zorg) en een paar speciale dienstverleners zoals vertrouwensdienst-aanbieders Bedrijven uit dezelfde sectoren die niet onder de drempel voor “essentieel” vallen, maar nog steeds relevant zijn voor de economie of veiligheid
Toezicht door autoriteit Proactief en reactief: geplande inspecties, audits, security-scans en ad-hoc onderzoeken Lichter, vooral achteraf: pas onderzoek als er signalen zijn van niet-naleving of incidenten
Maximale boete bij overtreding ≥ € 10 mln of 2 % van wereld-omzet (wat hoger is) ≥ € 7 mln of 1,4 % van wereld-omzet (wat hoger is)
Waarom dit verschil? Zij leveren diensten die “kritiek” zijn voor samenleving en economie; dus strenger regime Nog steeds belangrijk, maar lagere systemische impact; balans tussen risico en administratieve lasten
Essentiële entiteit Belangrijke entiteit
Wanneer ben je er één? Grote organisaties in de 12 kritieke sectoren (o.a. energie, vervoer, zorg) en een paar speciale dienstverleners zoals vertrouwensdienst-aanbieders Bedrijven uit dezelfde sectoren die niet onder de drempel voor “essentieel” vallen, maar nog steeds relevant zijn voor de economie of veiligheid
Toezicht door autoriteit Proactief en reactief: geplande inspecties, audits, security-scans en ad-hoc onderzoeken Lichter, vooral achteraf: pas onderzoek als er signalen zijn van niet-naleving of incidenten
Maximale boete bij overtreding ≥ € 10 mln of 2 % van wereld-omzet (wat hoger is) ≥ € 7 mln of 1,4 % van wereld-omzet (wat hoger is)
Waarom dit verschil? Zij leveren diensten die “kritiek” zijn voor samenleving en economie; dus strenger regime Nog steeds belangrijk, maar lagere systemische impact; balans tussen risico en administratieve lasten

Meer informatie: https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nis2-richtlijn/

2025.07.22 - NIS2-Samenvatting_V2

Kort samengevat

    Essentieel = meest kritisch intensief toezicht & hogere boetes.
    Belangrijk = wel in scope, maar lichtere controle & lagere boetes. 

Incontrol (Maxdoro) helpt beide soorten klanten door uniforme NIS2-maatregelen aan te bieden (incident­melding, supply-chain checks, cyberhygiëne).

Hoe Incontrol dit invult

Domein
Concrete aanpak
Voor wie relevant?
Governance ISMS-beleid, Awareness/bewustwordingsbeleid & periodieke directie-rapportage. Directie tekent jaarlijks NIS2-(beleids)verklaring. C-level, compliance-officer
Technische & organisatorische maatregelen ISO 27001-controls gekoppeld aan artikel 21, bijv.

• Multi-factor & sterke wachtwoorden
• Malware-bescherming en patch-management
• Logging & monitoring 24/7		 IT-security, operations
Supply-chain security Leveranciers-beoordeling, clouddienst-checklist en contract-clausules volgens artikel 22 Inkoop, vendor-manager
Incidentresponse Verwerkersovereenkomsten, CSIRT-escalatie-plan, 24-u melding & bewijsmateriaal-borging Privacy-/security officer
Continuïteit Azure geo-replica + herstel-plan Audit & risk
Domein Concrete aanpak Voor wie relevant?
Governance ISMS-beleid, Awareness/bewustwordingsbeleid & periodieke directie-rapportage. Directie tekent jaarlijks NIS2-(beleids)verklaring. C-level, compliance-officer
Technische & organisatorische maatregelen ISO 27001-controls gekoppeld aan artikel 21, bijv.

• Multi-factor & sterke wachtwoorden
• Malware-bescherming en patch-management
• Logging & monitoring 24/7		 IT-security, operations
Supply-chain security Leveranciers-beoordeling, clouddienst-checklist en contract-clausules volgens artikel 22 Inkoop, vendor-manager
Incidentresponse Verwerkersovereenkomsten, CSIRT-escalatie-plan, 24-u melding & bewijsmateriaal-borging Privacy-/security officer
Continuïteit Azure geo-replica + herstel-plan Audit & risk

Onze Cyberhygiëne-pijlers

Kernpunten uit onze Cyberhygiene:

  1. Configuratie­beheer & zero-trust – alleen goed­gekeurde builds, change-management proces
  2. Back-ups & geo-replica – 7 dagen point-in-time + week­back-ups 5 weken terug
  3. Veilig coderen (OWASP/SSDm) – verplicht in elke sprint (zero-trust principe)
  4. Awareness – week­lijkse security-update in onze MaandagMorgenMeeting

 

2025.07.22 - NIS2-Pijlers-2

Veelgestelde vragen

We leveren standaard incidentrapporten (wanneer dit nodig zou zijn) die u 1-op-1 kunt doorzetten naar toezichthouder.

Nee, onze standaard­configuratie dekt de baseline; aanvullende eisen kunnen altijd in overleg worden besproken.

Nee, data blijft in Azure-datacenters West- & North-Europe (Nederland/Ierland).

Download hier de lijst met subverwerkers (zie NL/EN versies op Incontrol.app)

Ja, pentests & BC-tests kunnen we coördineren en delen. Eventuele kosten zijn voor jou als opdrachtgever.