De NIS2 komt eraan. Voor sommige organisaties betekent dat directe naleving, voor anderen geldt het ‘indirect’: je valt er misschien niet onder, maar je klanten wel. En die gaan jou vragen stellen.
Wat je dan vaak hoort: “We moeten compliant worden. We hebben vast nieuwe tooling nodig.”
Maar de waarheid is simpeler: je moet vooral beter benutten wat je al hebt.
De NIS2 draait om technische grip
Niet om nieuwe software. In de kern vraagt NIS2 om aantoonbare digitale weerbaarheid. Dat betekent onder andere:
Allemaal terecht. Maar wat vergeten wordt: veel organisaties hébben hier al tooling voor alleen wordt die niet optimaal benut.
Voorbeeld: Microsoft 365 Business Premium
Werk je met Microsoft 365 Business Premium of hoger? Dan heb je al toegang tot:
Allemaal onderdelen waarmee je een flink stuk van de technische controls onder NIS2 afdekt mits je ze goed hebt ingericht én gebruikt. Veel organisaties betalen voor dit alles, maar halen er nog geen 30% van de waarde uit.
Wat je mogelijk al hebt en wat het voor je kan doen
Onderstaande tabel geeft een indruk van veelvoorkomende beveiligingsmaatregelen en tools die je als organisatie mogelijk al gebruikt of al in je licentiepakket hebt zitten. Let op: dit overzicht is bedoeld als richtinggevend. Iedere organisatie is anders, en er bestaan meer oplossingen dan we hier kunnen benoemen. Maar het laat wél zien dat je vaak al meer in huis hebt dan je denkt.
Zie het als een vertrekpunt. Niet als een checklist. Wat voor jou werkt, hangt af van je situatie, je ambities en hoe je bestaande IT en security nu al zijn ingericht. Wil je weten waar voor jouw organisatie de echte gaten zitten? Dan helpt een GAP-analyse om dit concreet te maken.
Maatregel |
Tooling Leverancier |
Wat je hiermee kunt afdekken |
Endpointbeveiliging |
Microsoft Defender for Endpoint, SentinelOne, ESET, Trellix, Crowdstrike, Bitdefender |
Detectie, respons, assetzicht, rapportages |
Kwetsbaarheidbeheer |
Rapid7 InsightVM, Qualys, Defender for Endpoint, SentinelOne, Armis, Tenable |
Inzicht in kwetsbaarheden, scoren en opvolgen |
Patchmanagement |
Automox, Intune, PatchMyPC, Qualys |
Actuele systemen, rapportages over compliance |
Logging en detectie |
Microsoft Sentinel, Rapid7 InsightIDR, ADaudit+, Logpoint, Splunk, Artic Wolf, Guardz |
Central logging, anomaliedetectie, audittrails |
Apparatenbeheer |
Microsoft Intune, Active Directory, Jamf |
Controle op apparaten, compliance op basis van beleid |
Toegangsbeheer & MFA |
Microsoft Conditional Access, Azure AD, Okta, Active Directory, Duo |
Zicht op toegang, risk-based policies, MFA |
Dataherstel & back-up |
Microsoft 365 Backup, Redstor, Veeam, Acronis, Commvault, maandelijks handmatig |
Bescherming tegen dataverlies, ransomware-respons |
Security awareness |
Nimblr, KnowBe4, Phished.io, maandelijkse interne aandacht via zeepkist, intranet of mailings |
Bewustwording, simulaties, structurele gedragsverandering |
Incidentrespons & crisisscenario’s |
Eigen IT-partner + plan, Cyberday, Teams-documenten |
Eerste opvang, escalatie, communicatie |
Awareness? Hoeft geen platform te zijn
Ook voor user awareness denken veel bedrijven meteen aan grootschalige e-learningtrajecten. En ja, daar zijn goede oplossingen voor (zoals Nimblr). Maar je kunt ook klein beginnen: met maandelijkse aandacht tijdens een teamoverleg, interne phishingtests of een simpele nieuwsbrief. Wat telt, is: structurele aandacht en meetbare herhaling. Niet de tool op zichzelf.
Een crisisplan is geen luxe en vaak al half aanwezig
NIS2 vraagt ook om incidentrespons en communicatie bij verstoringen. Klinkt als een heel proces, maar vaak heb je de basis al:
Maak het tastbaar, leg het vast en oefen het één keer per jaar. Klaar ben je nog niet, maar je bent wél aantoonbaar bezig.
Start met wat er al is
Gebruik de NIS2 Cyber Score van Samen Digitaal Veilig als laagdrempelige GAP-analyse. Kijk vervolgens naar je bestaande leveranciers en tools: Wat kun je al? Wat kun je met wat extra configuratie beter gebruiken?
Laat je niet overrompelen door partijen die “alles” willen oplossen met nieuwe software, nieuwe dashboards of dikke licenties. Meer tooling betekent ook meer beheer, meer integraties, meer risico’s.
Onze kijk
Bij Brandaris Cybersecurity starten we altijd met een simpele vraag: Wat heb je nu al in huis? En wat doet het eigenlijk voor je? Pas daarna kijken we waar het wringt en of dat oplosbaar is met wat er al ligt. Of het nu gaat om updates, monitoring, detectie of menselijk gedrag.
NIS2 hoeft geen monsterklus te zijn. Het vraagt om aandacht, inzicht en een beetje structuur. En als je dat goed doet, valt er meer op z’n plek dan je denkt.
<cybersecurity consultant>