<8 juni 2025>
NIS2: Start niet met kopen, start met kijken

De NIS2 komt eraan. Voor sommige organisaties betekent dat directe naleving, voor anderen geldt het ‘indirect’: je valt er misschien niet onder, maar je klanten wel. En die gaan jou vragen stellen.

Wat je dan vaak hoort: “We moeten compliant worden. We hebben vast nieuwe tooling nodig.”
Maar de waarheid is simpeler: je moet vooral beter benutten wat je al hebt.

Nis2

De NIS2 draait om technische grip

Niet om nieuwe software. In de kern vraagt NIS2 om aantoonbare digitale weerbaarheid. Dat betekent onder andere:

  • Up-to-date systemen
  • Inzicht in kwetsbaarheden
  • Detectie van verdachte activiteiten
  • Bescherming van endpoints en toegang
  • En aandacht voor menselijk gedrag

Allemaal terecht. Maar wat vergeten wordt: veel organisaties hébben hier al tooling voor alleen wordt die niet optimaal benut.

Voorbeeld: Microsoft 365 Business Premium

Werk je met Microsoft 365 Business Premium of hoger? Dan heb je al toegang tot:

  • Defender for Endpoint (incl. threat detection en assetzicht)
  • Conditional Access voor veilige toegang
  • Intune voor beheer van apparaten
  • Basale DLP-mogelijkheden
  • Beveiligingsscores en loggegevens via het Microsoft 365 Security Center

Allemaal onderdelen waarmee je een flink stuk van de technische controls onder NIS2 afdekt mits je ze goed hebt ingericht én gebruikt. Veel organisaties betalen voor dit alles, maar halen er nog geen 30% van de waarde uit.

Wat je mogelijk al hebt en wat het voor je kan doen

Onderstaande tabel geeft een indruk van veelvoorkomende beveiligingsmaatregelen en tools die je als organisatie mogelijk al gebruikt of al in je licentiepakket hebt zitten. Let op: dit overzicht is bedoeld als richtinggevend. Iedere organisatie is anders, en er bestaan meer oplossingen dan we hier kunnen benoemen. Maar het laat wél zien dat je vaak al meer in huis hebt dan je denkt.

Zie het als een vertrekpunt. Niet als een checklist. Wat voor jou werkt, hangt af van je situatie, je ambities en hoe je bestaande IT en security nu al zijn ingericht. Wil je weten waar voor jouw organisatie de echte gaten zitten? Dan helpt een GAP-analyse om dit concreet te maken.

Maatregel

Tooling Leverancier

Wat je hiermee kunt afdekken

Endpointbeveiliging

Microsoft Defender for Endpoint, SentinelOne, ESET, Trellix, Crowdstrike, Bitdefender

Detectie, respons, assetzicht, rapportages

Kwetsbaarheidbeheer

Rapid7 InsightVM, Qualys, Defender for Endpoint, SentinelOne, Armis, Tenable

Inzicht in kwetsbaarheden, scoren en opvolgen

Patchmanagement

Automox, Intune, PatchMyPC, Qualys

Actuele systemen, rapportages over compliance

Logging en detectie

Microsoft Sentinel, Rapid7 InsightIDR, ADaudit+, Logpoint, Splunk, Artic Wolf, Guardz

Central logging, anomaliedetectie, audittrails

Apparatenbeheer

Microsoft Intune, Active Directory, Jamf

Controle op apparaten, compliance op basis van beleid

Toegangsbeheer & MFA

Microsoft Conditional Access, Azure AD, Okta, Active Directory, Duo

Zicht op toegang, risk-based policies, MFA

Dataherstel & back-up

Microsoft 365 Backup, Redstor, Veeam, Acronis, Commvault, maandelijks handmatig

Bescherming tegen dataverlies, ransomware-respons

Security awareness

Nimblr, KnowBe4, Phished.io, maandelijkse interne aandacht via zeepkist, intranet of mailings

Bewustwording, simulaties, structurele gedragsverandering

Incidentrespons & crisisscenario’s

Eigen IT-partner + plan, Cyberday, Teams-documenten

Eerste opvang, escalatie, communicatie

Awareness? Hoeft geen platform te zijn

Ook voor user awareness denken veel bedrijven meteen aan grootschalige e-learningtrajecten. En ja, daar zijn goede oplossingen voor (zoals Nimblr). Maar je kunt ook klein beginnen: met maandelijkse aandacht tijdens een teamoverleg, interne phishingtests of een simpele nieuwsbrief. Wat telt, is: structurele aandacht en meetbare herhaling. Niet de tool op zichzelf.

Een crisisplan is geen luxe en vaak al half aanwezig

NIS2 vraagt ook om incidentrespons en communicatie bij verstoringen. Klinkt als een heel proces, maar vaak heb je de basis al:

  • Interne telefoonstructuur
  • IT-partner die je kunt bellen
  • Basisscenario’s die je met een paar sessies kunt uitschrijven

Maak het tastbaar, leg het vast en oefen het één keer per jaar. Klaar ben je nog niet, maar je bent wél aantoonbaar bezig.

Start met wat er al is

Gebruik de NIS2 Cyber Score van Samen Digitaal Veilig als laagdrempelige GAP-analyse. Kijk vervolgens naar je bestaande leveranciers en tools: Wat kun je al? Wat kun je met wat extra configuratie beter gebruiken?

Laat je niet overrompelen door partijen die “alles” willen oplossen met nieuwe software, nieuwe dashboards of dikke licenties. Meer tooling betekent ook meer beheer, meer integraties, meer risico’s.

Onze kijk

Bij Brandaris Cybersecurity starten we altijd met een simpele vraag: Wat heb je nu al in huis? En wat doet het eigenlijk voor je? Pas daarna kijken we waar het wringt en of dat oplosbaar is met wat er al ligt. Of het nu gaat om updates, monitoring, detectie of menselijk gedrag.

NIS2 hoeft geen monsterklus te zijn. Het vraagt om aandacht, inzicht en een beetje structuur. En als je dat goed doet, valt er meer op z’n plek dan je denkt.

<Contact>
Nu al overtuigd? Maak een afspraak!
Maikel Roolvink Cybersecurityspecialist

<cybersecurity consultant>

Maikel Roolvink

of neem contact met ons op via

We denken graag met je mee