Nog niet geregeld Dit staat bij ons nog op de agenda Gedeeltelijk geregeld We zijn er mee bezig maar niet volledig Goed geregeld Dit is aantoonbaar geregeld in onze organisatie Jouw NIS2-resultaat Totale score Nog niet Gedeeltelijk Goed geregeld Grotendeels compliant Jullie staan er goed voor. Leg de resterende punten vast en blijf dit jaarlijks controleren. Gedeeltelijk compliant Een goede basis, maar er zijn duidelijke gaten die prioriteit verdienen. Matig compliant Meerdere verplichte maatregelen ontbreken nog. Onderneem actie voor handhaving opstart. Niet compliant Op vrijwel alle onderdelen is actie nodig. Bloemert IT helpt je snel op weg. Persoonlijk NIS2-advies aanvragen

Een specialist van Bloemert IT bespreekt jouw uitkomsten en helpt je een concreet actieplan opstellen.

Advies aanvragen Bedankt! We nemen snel contact op. Een NIS2-specialist bespreekt jouw resultaten en de volgende stappen. Check opnieuw invullen

Beleid en bestuur Een beveiligingsplan en aangewezen verantwoordelijke zijn het fundament van NIS2. Dit is de eerste prioriteit. De basis is er. Maak de aanpak formeel en leg alles schriftelijk vast voor de toezichthouder. Beleid en governance zijn op orde. Houd dit jaarlijks bij en betrek de directie actief.

Heeft jullie organisatie een schriftelijk beveiligingsplan dat door de directie is goedgekeurd? Nee, geen plan Concept aanwezig, niet goedgekeurd Ja, goedgekeurd door directie Een beveiligingsplan is het fundament van NIS2. Zonder dit kun je geen maatregelen aantonen bij een toezichthouder. Er is een begin. Zorg dat het ook formeel door de directie wordt goedgekeurd en schriftelijk vastligt. Goed. Zorg dat dit jaarlijks wordt bijgewerkt en dat de directie betrokken blijft.

Is er iemand aangewezen die verantwoordelijk is voor cyberveiligheid binnen jullie organisatie? Nee, niemand aangewezen Informeel geregeld Ja, formeel aangewezen NIS2 vereist expliciet dat er een verantwoordelijke is. Benoem iemand en leg dat schriftelijk vast. Er is iemand die het oppakt. Maak de rol en verantwoordelijkheden ook officieel en schriftelijk duidelijk. Goed geregeld. Zorg dat die persoon ook de middelen en tijd krijgt om de taak goed uit te voeren.

Omgaan met incidenten Zonder incidentplan en kennis van de meldplicht loopt een incident snel uit de hand. Pak dit direct op. Er is bewustzijn. Formaliseer het plan en oefen het minstens jaarlijks door. Incidentmanagement is goed geregeld. Blijf oefenen en pas het plan aan op nieuwe situaties.

Hebben jullie een plan dat beschrijft wat te doen bij een cyberaanval of datalek? Nee, geen incidentplan Globaal plan, niet uitgewerkt Ja, gedocumenteerd plan Zonder plan loopt een incident snel uit de hand. Begin vandaag nog met het vastleggen van de eerste stappen. Er is een begin. Zorg dat het plan schriftelijk beschikbaar is en dat iedereen weet waar het staat. Goed. Oefen het plan jaarlijks zodat iedereen weet wat er bij een incident van hem of haar verwacht wordt.

Weten jullie dat ernstige beveiligingsincidenten binnen 24 uur bij de overheid gemeld moeten worden? Nee, dat wisten we niet Bekend, maar geen procedure Ja, procedure geregeld NIS2 verplicht een melding binnen 24 uur. Te laat melden kan leiden tot extra boetes bovenop het incident. De kennis is er. Is de meldprocedure ook uitgeschreven en getest met de juiste contactgegevens? Goed. Zorg dat de contactgegevens van de toezichthouder bij de hand zijn als het misgaat.

Back-up en herstel Zonder geteste back-up is een ransomware-aanval of grote storing mogelijk fataal voor de bedrijfscontinuïteit. Er is een back-up. Zorg dat die extern staat en regelmatig wordt getest op terughalen. Back-up en herstel zijn uitstekend geregeld. Blijf het herstelplan jaarlijks testen.

Wordt bedrijfsdata dagelijks automatisch opgeslagen op een veilige, externe locatie? Nee, geen automatische back-up Deels, niet dagelijks of extern Ja, dagelijks en extern Zonder recente externe back-up ben je bij een ransomware-aanval alles kwijt. Dit is topprioriteit. Er is een back-up. Is die ook extern opgeslagen en volledig automatisch? Controleer het. Goed. Zorg dat de back-up ook buiten bereik is van jullie hoofdnetwerk.

Testen jullie regelmatig of bestanden ook daadwerkelijk teruggehaald kunnen worden? Nee, nooit getest Af en toe getest Ja, regelmatig en vastgelegd Veel organisaties ontdekken pas bij een incident dat terughalen mislukt. Test het nu en leg de uitkomst vast. Er wordt af en toe getest. Maak dit een vaste jaarlijkse routine en leg de resultaten vast. Uitstekend. Houd het testrapport bij als bewijs voor de toezichthouder.

Toegang en wachtwoorden Toegangsbeveiliging is een van de meest kritieke NIS2-punten. Tweestapsverificatie en accountbeheer zijn topprioriteit. Een begin is gemaakt. Zorg dat tweestapsverificatie voor iedereen geldt en accounts direct worden geblokkeerd bij vertrek. Toegangsbeheer is goed geregeld. Controleer periodiek alle toegangsrechten en stel extra beveiliging in voor beheerdersaccounts.

Loggen medewerkers in met een extra verificatiestap naast hun wachtwoord (zoals een code op de telefoon)? Nee, alleen wachtwoord Deels ingevoerd Ja, verplicht voor iedereen Tweestapsverificatie is een van de meest effectieve maatregelen. Begin hier zo snel mogelijk mee. Goed begin. Zorg dat dit voor alle medewerkers en alle systemen verplicht is, niet alleen voor een deel. Goed geregeld. Zorg ook dat beheerdersaccounts een extra strenge beveiliging hebben.

Worden accounts van vertrokken medewerkers direct geblokkeerd? Nee, geen vaste procedure Soms, niet altijd direct Ja, altijd op de dag zelf Verlaten accounts zijn een veelgebruikt toegangspunt voor aanvallers. Maak hier een vaste procedure van. Het wordt gedaan, maar niet altijd direct. Stel een checklist in zodat dit standaard op de dag van vertrek gebeurt. Goed geregeld. Controleer ook periodiek alle actieve accounts op overbodige toegangsrechten.

Leveranciers Veel cyberaanvallen lopen via leveranciers. Begin met een overzicht en contractuele afspraken. Er is een begin. Zorg dat beveiligingseisen bij alle leveranciers met systeemtoegang contractueel zijn vastgelegd. Leveranciersbeveiliging is goed op orde. Voer jaarlijks een korte beoordeling uit van kritieke partijen.

Weten jullie welke leveranciers toegang hebben tot jullie systemen of klantgegevens? Nee, geen overzicht Globaal beeld, niet volledig Ja, volledig in kaart Zonder overzicht kun je het risico niet beheersen. Begin met een lijst van leveranciers met systeemtoegang. Er is een globaal beeld. Zet dit op papier en controleer of de toegangen nog nodig en actueel zijn. Goed. Houd dit overzicht actueel en controleer het jaarlijks.

Staan er in contracten met leveranciers afspraken over hoe zij omgaan met jullie data? Nee, geen contractafspraken Bij sommige leveranciers Ja, bij alle relevante partijen Leveranciers zijn een veelgebruikt aanvalspad. Zorg dat beveiligingseisen contractueel worden vastgelegd. Sommige contracten hebben dit al. Zorg dat het bij alle leveranciers met systeemtoegang geregeld is. Goed geregeld. Controleer jaarlijks of leveranciers ook daadwerkelijk aan de afspraken voldoen.

Bescherming van gegevens Gegevensbeveiliging raakt ook de AVG. Begin met versleuteling van laptops en technische e-mailbeveiliging. Een deel is op orde. Zorg voor consistente beveiliging op alle systemen en controleer de e-mailinstellingen. Gegevensbeveiliging is goed geregeld. Controleer periodiek of alle systemen en verbindingen nog voldoen.

Zijn gevoelige bedrijfs- en klantgegevens beveiligd opgeslagen en zijn laptops versleuteld? Nee, niet beveiligd opgeslagen Deels beveiligd Ja, alles beveiligd opgeslagen Versleuteling van laptops en opgeslagen data is een basisvereiste. Begin hier zo snel mogelijk mee. Een deel is beveiligd. Zorg voor consistente versleuteling op alle apparaten en systemen. Goed geregeld. Controleer periodiek of alle nieuwe apparaten ook aan hetzelfde niveau voldoen.

Worden neppe e-mails die lijken te komen van jullie eigen domein technisch geblokkeerd? Nee, niet ingesteld Deels ingesteld Ja, e-mailbeveiliging ingesteld Aanvallers misbruiken jullie domeinnaam om medewerkers en klanten te misleiden. Stel e-mailbeveiliging in. Er zijn maatregelen, maar zijn ze volledig geconfigureerd en getest? Laat dit controleren. Goed. Controleer de instellingen jaarlijks en zorg dat ze ook voor alle subdomeinen gelden.

Netwerk- en systeembeveiliging Een onbeveiligd netwerk en verouderde systemen zijn de meest gebruikte aanvalsvectoren. Dit zijn topprioriteiten. Er zijn maatregelen getroffen. Zorg voor volledige dekking op alle systemen en een structureel updatebeleid. Netwerk en systemen zijn goed beveiligd. Controleer de instellingen jaarlijks en test ze actief.

Zijn jullie bedrijfsnetwerk en systemen beveiligd met een firewall en afgeschermd van het internet? Nee, netwerk niet beveiligd Deels, niet volledig geregeld Ja, netwerk afgeschermd en beveiligd Zonder firewall is jullie netwerk direct blootgesteld aan internet. Dit is een basisvereiste die onmiddellijk actie vereist. Er is een begin. Zorg dat alle systemen en locaties achter dezelfde beveiliging zitten, ook thuiswerkers via VPN. Goed ingericht. Controleer jaarlijks of de firewallregels nog actueel zijn en laat ze periodiek testen.

Worden systemen, software en apparaten regelmatig bijgewerkt met de laatste beveiligingsupdates? Nee, updates worden uitgesteld Deels, niet structureel Ja, automatisch en structureel Verouderde software is verantwoordelijk voor het merendeel van succesvolle cyberaanvallen. Stel automatische updates in. Updates worden gedaan, maar niet altijd op tijd. Stel een beleid in waarbij kritieke patches binnen 72 uur worden doorgevoerd. Uitstekend. Zorg ook voor een inventaris van alle software zodat geen enkel systeem buiten beeld valt.

Training van medewerkers Menselijk gedrag is de oorzaak van de meeste beveiligingsincidenten. Training is een expliciete NIS2-verplichting. Training is gestart. Maak het structureel voor alle medewerkers en voeg het toe aan onboarding. Training is goed verankerd. Houd het actueel en meet de effectiviteit met phishing-simulaties.

Worden medewerkers minimaal jaarlijks getraind over cyberveiligheid? Nee, geen training Af en toe, niet elk jaar Ja, jaarlijks voor iedereen Menselijk gedrag is de oorzaak van de meeste beveiligingsincidenten. Training is een expliciete NIS2-verplichting. Training vindt plaats. Zorg dat dit minimaal jaarlijks en voor alle medewerkers structureel gebeurt. Goed verankerd. Houd de trainingen actueel op basis van nieuwe dreigingen.

Leren nieuwe medewerkers bij hun start hoe ze veilig werken met IT? Nee, niet bij de start Globaal, niet specifiek Ja, onderdeel van de inwerkperiode Nieuwe medewerkers zijn kwetsbaar. Voeg een beveiligingsonderdeel toe aan elk onboarding-programma. Er is een onboarding, maar is cyberveiligheid er expliciet onderdeel van? Voeg het toe. Goed geregeld. Zorg dat dit ook wordt bijgehouden als het IT-beleid verandert.

NIS2-richtlijn Gratis 5 minuten

Voldoet jouw organisatie aan NIS2?

Q: Wanneer moet ik er aan voldoen?

De NIS2-richtlijn geldt al vanaf oktober 2024. Handhaving loopt op. Hoe eerder je actie onderneemt, hoe kleiner het risico op boetes of incidenten.

Q: Wat als ik laag scoor?

Een lage score betekent nog geen direct gevaar, maar wel een risico. Vraag advies aan en wij stellen samen een prioriteitenplan op om de grootste gaten snel te dichten.

Beoordeel acht onderwerpen en ontdek direct waar jullie staan. Geen ingewikkelde vragen, gewoon eerlijk aangeven wat geregeld is en wat nog niet.

8 onderwerpen

Klaar in 5 minuten

Direct inzicht

Waarom NIS2?

Europese wet die ook voor jou geldt

In oktober 2024 is de nieuwe Europese NIS2-wetgeving ingegaan. Naar verwachting wordt deze wet in Q2 of Q3 van dit jaar ook in Nederland definitief van kracht. Dit betekent dat veel Nederlandse organisaties vanaf dat moment verplicht zijn om zwart-op-wit aan te tonen dat hun cyberveiligheid goed is geregeld. Ontbreekt dat bewijs, dan riskeer je als bedrijf flinke boetes.

Voor wie geldt het?

Organisaties met 50 of meer medewerkers of 10 miljoen euro omzet in sectoren als energie, zorg, transport en digitale diensten. Ook toeleveranciers van deze sectoren vallen onder de NIS2, dus veel organisaties moeten maatregelen treffen.

Wat wordt er gevraagd?

Aantoonbare maatregelen op het gebied van acht verschillende dimensies: van beleid en back-ups tot toegangsbeheer, leveranciers en digitale training van medewerkers.

Wat zijn de gevolgen?

Boetes tot 10 miljoen euro of 2% van de jaaromzet. Bestuurders kunnen ook persoonlijk aansprakelijk worden gesteld.

Veelgestelde vragen

Alles over NIS2 en deze check

Geldt NIS2 ook voor mijn organisatie?

NIS2 geldt voor organisaties met 50 of meer medewerkers (of 10 miljoen euro omzet) in aangewezen sectoren. Ook toeleveranciers van deze sectoren vallen onder de NIS2. Twijfel je? Bloemert IT helpt je snel bepalen of je eronder valt.

Wanneer moet ik er aan voldoen?

De NIS2-richtlijn is Europees gezien ingegaan in oktober 2024 en is binnenkort ook van kracht in Nederland. Handhaving loopt op. Hoe eerder je actie onderneemt, hoe kleiner het risico op boetes of incidenten.

Wat als ik laag scoor?

Een lage score betekent niet direct gevaar, maar wel een risico. Vraag vrijblijvend advies aan en wij stellen samen een prioriteitenplan op om de grootste gaten snel te dichten.

Hoe betrouwbaar is deze check?

De check is gebaseerd op de verplichtingen uit de NIS2-richtlijn en de praktijkervaring van Bloemert IT. Het is een indicatie. Voor een formele audit adviseren wij aanvullend onderzoek.

Wat kost een NIS2-traject?

Dat hangt af van jullie situatie en wat er nog geregeld moet worden. Na het adviesgesprek ontvang je een duidelijke offerte zonder verrassingen.

Zijn mijn antwoorden privé?

Ja. Je antwoorden worden vertrouwelijk behandeld en alleen gebruikt om jou persoonlijk advies te geven. We delen je gegevens nooit met derden.

Vraag 1 van 14 0%