De Cyberbeveiligingswet vertaalt de NIS2-richtlijn naar Nederlandse wetgeving. Met boetes tot €10 miljoen en persoonlijke bestuurdersaansprakelijkheid is een NIS2 audit geen optie maar noodzaak. Onze NIS2 gap analyse toetst je organisatie op alle tien verplichte domeinen en levert een concrete NIS2 implementatie roadmap op.
Een NIS2 gap analyse is de onmisbare eerste stap voor iedere organisatie die wil voldoen aan de NIS2-richtlijn. De NIS2 wetgeving Nederland, formeel de Cyberbeveiligingswet (Cbw), is de nationale vertaling van de Europese NIS2-richtlijn en legt cybersecurity compliance verplichtingen op aan organisaties in achttien sectoren. Valt mijn bedrijf onder NIS2? Dat is de vraag die duizenden Nederlandse bedrijven bezighoudt. Het antwoord: als je actief bent in energie, transport, gezondheidszorg, digitale infrastructuur, ICT-dienstverlening, voedselproductie, chemie, water, ruimtevaart, post- en koeriersdiensten, afvalverwerking of openbaar bestuur — of als je toeleverancier bent van organisaties in deze sectoren — dan is de kans groot dat je onder de NIS2-richtlijn valt. Een professioneel NIS2 assessment geeft uitsluitsel.
Wat is de NIS2-richtlijn precies? De NIS2-richtlijn (Network and Information Security Directive 2) vervangt de oorspronkelijke NIS-richtlijn uit 2016 en breidt de scope drastisch uit. Waar NIS1 zich beperkte tot een handvol vitale sectoren, treft NIS2 nu achttien sectoren en hun volledige supply chain. De Cyberbeveiligingswet vertaalt deze Europese vereisten naar bindend Nederlands recht. De Rijksinspectie Digitale Infrastructuur (RDI) houdt toezicht op naleving. NIS2 boetes Nederland zijn aanzienlijk: tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet voor essentiële entiteiten, en tot 7 miljoen euro of 1,4 procent voor belangrijke entiteiten. Daarbovenop kan de RDI bestuurders persoonlijk aansprakelijk stellen bij grove nalatigheid. Een NIS2 gap analyse brengt in kaart waar je staat en wat er nog moet gebeuren.
Een NIS2 audit is geen eenmalige checkbox-exercitie maar een grondige, systematische beoordeling van je organisatie op de tien domeinen die de NIS2-richtlijn definieert: governance en bestuurlijke aansprakelijkheid, risicobeheer, incidentmelding, business continuïteit, supply chain security, netwerk- en informatiebeveiliging, kwetsbaarheidsbeheer, encryptie en cryptografiebeleid, toegangsbeheer en identiteitsbeheer, en personeelsbeleid inclusief cybersecurity awareness. Per domein stellen we vast of je compliant, gedeeltelijk compliant of non-compliant bent. Het resultaat is een NIS2 compliance checklist met een glashelder overzicht van alle gaps, de bijbehorende risico’s en een geprioriteerde NIS2 implementatie roadmap.
De NIS2 wetgeving Nederland stelt bestuurlijke aansprakelijkheid centraal. Directie en bestuur moeten aantoonbaar verantwoordelijkheid nemen voor cybersecurity: het goedkeuren van het risicobeheerbeleid, het volgen van cybersecuritytrainingen en het persoonlijk aansprakelijk zijn bij grove nalatigheid. Onze NIS2 gap analyse beoordeelt daarom niet alleen technische maatregelen maar expliciet ook de governance-structuur, bestuursbesluiten, de rol van de CISO en de aanwezigheid van een formele mandaat- en verantwoordelijkheidsmatrix. Dit is een domein waar veel organisaties onverwacht slecht scoren.
Bij CleverTech voeren we de NIS2 gap analyse uit aan de hand van een toetsingskader dat gebaseerd is op de definitieve Cbw-tekst, de ENISA-guidance, het CIS Controls-framework en de CEN/CENELEC-normen die de Europese Commissie als referentiekader heeft aangewezen. De analyse combineert documentreview, interviews met sleutelfiguren op bestuurlijk en operationeel niveau, en technische steekproefcontroles. Je ontvangt een NIS2 compliance dashboard dat in één oogopslag laat zien op welke van de tien domeinen je goed scoort en waar de urgentste gaps zitten, plus een concrete NIS2 implementatie roadmap met tijdlijn, verantwoordelijkheden en kostenraming. Organisaties die nu een NIS2 gap analyse laten uitvoeren, bouwen niet alleen aan cybersecurity compliance maar creëren ook een concurrentievoordeel: steeds meer opdrachtgevers en verzekeraars eisen aantoonbare NIS2 readiness als voorwaarde voor samenwerking.
Concrete onderdelen en wat u kunt verwachten
De vraag "valt mijn bedrijf onder NIS2" is het startpunt van elke NIS2 gap analyse. De NIS2-richtlijn onderscheidt twee categorieën: essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten zijn grote organisaties (250+ medewerkers of 50M+ omzet) in sectoren als energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur, ICT-dienstverlening (MSP’s, DNS, datacenters), overheid en ruimtevaart. Belangrijke entiteiten omvatten middelgrote organisaties (50+ medewerkers of 10M+ omzet) in sectoren als post- en koeriersdiensten, voedselproductie, chemie, afvalverwerking, maakindustrie, digitale dienstverleners en onderzoeksorganisaties. Cruciaal is dat de NIS2 wetgeving Nederland ook de supply chain raakt. Als je producten of diensten levert aan een NIS2-plichtige organisatie — software, IT-beheer, cloudservices, logistiek — dan gelden de cybersecurity compliance eisen indirect ook voor jou. Je opdrachtgever zal contractueel NIS2 compliance eisen en je periodiek auditen. Volgens ENISA-schattingen verviervoudigt het totale aantal organisaties dat onder NIS2 valt ten opzichte van NIS1. In Nederland gaat het naar schatting om 5.000 tot 10.000 organisaties die direct of als ketenpartner een NIS2 assessment nodig hebben. Onze NIS2 gap analyse begint altijd met een formele scopebepaling. We analyseren je SBI-codes, klantrelaties, omvang en sectorclassificatie om vast te stellen of je als essentiële of belangrijke entiteit kwalificeert, of dat je als ketenpartner onder indirecte verplichtingen valt. Die scopebepaling is essentieel: de NIS2 boetes en het toezichtregime verschillen per categorie. Essentiële entiteiten krijgen proactief toezicht, belangrijke entiteiten reactief. Beide categorieën riskeren sancties bij non-compliance.
Ons NIS2 gap analyse proces is methodisch opgebouwd in vijf fasen die samen garanderen dat je een compleet beeld krijgt van je NIS2 compliance status. Dit is hoe een NIS2 gap analyse laten uitvoeren er in de praktijk uitziet. Fase 1: Scopebepaling en intake. We bepalen of en in welke categorie je onder de Cyberbeveiligingswet valt, inventariseren je IT-landschap, verzamelen bestaande documentatie (beleidsdocumenten, risicoanalyses, incidentlogboeken, contracten) en plannen interviews met bestuur, IT-management en operationele sleutelfiguren. Fase 2: Domeinbeoordeling. We toetsen je organisatie systematisch op alle tien NIS2-domeinen. Per domein beoordelen we de aanwezigheid van beleid, de implementatie in de praktijk en het bewijs van effectiviteit. We gebruiken een gewogen scoringsmodel waarbij elk domein een maturity-score krijgt van 1 (niet aanwezig) tot 5 (geoptimaliseerd en continu verbeterend). Fase 3: Technische steekproef. Naast documentreview en interviews voeren we gerichte technische controles uit: configuratie-audits op netwerkapparatuur, controle van patch management, validatie van back-up- en recovery-procedures, en verificatie van toegangsbeheerinstellingen. Dit voorkomt het risico van paper compliance — beleid dat wel op papier staat maar niet in de praktijk werkt. Fase 4: Gap-rapport en risicobeoordeling. Alle bevindingen worden gebundeld in een NIS2 compliance rapport met per domein de huidige score, de gewenste score, de gap en de bijbehorende risicoclassificatie. Elke gap wordt gekoppeld aan de relevante Cbw-artikelen en de mogelijke sancties bij non-compliance. Fase 5: NIS2 implementatie roadmap. Op basis van het gap-rapport stellen we een geprioriteerde roadmap op met concrete maatregelen, verantwoordelijken, tijdlijn en kostenraming. De prioritering volgt een risico-impact matrix: welke gaps vormen het grootste compliance-risico en welke zijn het snelst te dichten?
De NIS2 gap analyse kosten hangen af van de omvang van je organisatie, het aantal locaties, de complexiteit van je IT- en OT-landschap en de beschikbaarheid van bestaande documentatie. Bij CleverTech hanteren we transparante, vaste prijzen die we vooraf vastleggen na een kort intakegesprek. Voor MKB-organisaties met 50 tot 250 medewerkers en een overzichtelijke IT-omgeving liggen de NIS2 gap analyse kosten tussen 5.000 en 12.000 euro. Je ontvangt een volledige toetsing op alle tien domeinen, een gap-rapport en een NIS2 implementatie roadmap. Voor middelgrote organisaties met 250 tot 1.000 medewerkers, meerdere vestigingen of een complexere IT-omgeving investeer je tussen 12.000 en 25.000 euro. Hier voegen we diepere technische controles, OT-beoordeling en uitgebreidere supply chain analyse toe. Voor grote enterprise-organisaties met 1.000+ medewerkers of complexe internationale structuren is het maatwerk vanaf 25.000 euro. Zet deze NIS2 gap analyse kosten af tegen de mogelijke consequenties. NIS2 boetes Nederland lopen op tot 10 miljoen euro voor essentiële entiteiten. Daarbovenop komt reputatieschade, verlies van klantvertrouwen en de kosten van verplichte herstelmaatregelen onder toezicht. Organisaties die al een ISO 27001-certificering of SOC 2-rapport hebben, profiteren van lagere NIS2 gap analyse kosten omdat bestaande documentatie en beheersmaatregelen hergebruikt worden. De overlap met ISO 27001 bedraagt circa 60 tot 70 procent; onze NIS2 audit focust dan op de delta. De investering in een NIS2 gap analyse betaalt zich doorgaans binnen drie tot zes maanden terug. Niet alleen door boetes te voorkomen, maar ook doordat NIS2 compliance steeds vaker een eis is in aanbestedingen, contracten en cyberverzekeringen. Zonder aantoonbare NIS2 readiness mis je zakelijke kansen.
Organisaties die al compliant waren met de oorspronkelijke NIS-richtlijn (NIS1) vragen zich af of een nieuwe NIS2 gap analyse noodzakelijk is. Het korte antwoord: ja. De NIS2-richtlijn is geen update maar een fundamentele herziening die de scope, eisen en sancties drastisch uitbreidt. De Cyberbeveiligingswet reflecteert al deze verscherpingen in Nederlands recht. De belangrijkste veranderingen van NIS1 naar NIS2 zijn: een uitbreiding van zes naar achttien sectoren, een veel breder bereik door lagere drempels voor organisatieomvang, expliciete supply chain security-verplichtingen, bestuurlijke aansprakelijkheid met persoonlijke sancties voor bestuurders, aangescherpte incidentmeldtermijnen (24 uur voor vroegtijdige waarschuwing, 72 uur voor volledige melding, één maand voor eindrapport), verplichte cybersecuritytraining voor het bestuur, en drastisch hogere NIS2 boetes (van maximaal honderdduizenden euro’s onder NIS1 naar 10 miljoen euro onder NIS2). Concreet betekent dit dat een NIS1-conforme organisatie op meerdere NIS2-domeinen gaps zal hebben. Supply chain security was onder NIS1 geen expliciet domein — onder NIS2 is het een kernvereiste. Bestuurlijke aansprakelijkheid bestond niet in NIS1 — onder NIS2 kunnen bestuurders persoonlijk gesanctioneerd worden. De incidentmeldtermijnen zijn aangescherpt van "onverwijld" naar concrete uren. Een NIS2 gap analyse brengt precies in kaart waar de delta zit tussen je huidige NIS1-niveau en de NIS2-vereisten, zodat je gericht kunt investeren in de ontbrekende maatregelen. Bij CleverTech hebben we een specifiek NIS1-naar-NIS2 delta-assessment ontwikkeld voor organisaties die al een basis hebben.
De NIS2 gap analyse is het vertrekpunt, niet het eindpunt. Na de analyse begint de NIS2 implementatie: het systematisch dichten van de geïdentificeerde gaps om volledige cybersecurity compliance te bereiken. De NIS2 implementatie roadmap die je van ons ontvangt, bevat per gap een beschrijving van wat ontbreekt, de juridische grondslag in de Cyberbeveiligingswet, de benodigde maatregelen, de verantwoordelijke persoon en een realistische tijdlijn. De typische NIS2 implementatie verloopt in drie golven. De eerste golf (maand 1-3) richt zich op governance en quick wins: cybersecurity op de bestuursagenda plaatsen, een CISO of informatiebeveiligingsfunctionaris aanstellen, een incidentresponsplan opstellen of actualiseren, meldprocedures bij de RDI inrichten, en multi-factor authenticatie uitrollen. Deze maatregelen hebben de hoogste impact-urgentie score en zijn relatief snel te realiseren. De tweede golf (maand 3-6) betreft structurele verbeteringen: een formeel risicomanagementproces inrichten, het risicoregister opbouwen, supply chain security-beoordelingen uitvoeren, leverancierscontracten aanvullen met cybersecurity clausules, encryptiebeleid implementeren en een vulnerability management programma opzetten. Hier wordt de NIS2 compliance checklist item voor item afgewerkt. De derde golf (maand 6-12) richt zich op continuïteit en optimalisatie: business continuïteitsplannen testen via table-top exercises en simulaties, cybersecurity awareness programma’s voor alle medewerkers uitrollen, periodieke interne NIS2 audits plannen en een continu verbeterproces inrichten. CleverTech kan je begeleiden van NIS2 gap analyse tot volledige NIS2 compliance — als externe partner of door je interne team te coachen. Organisaties die nu starten met een NIS2 gap analyse laten uitvoeren, hebben voldoende tijd om de implementatie zorgvuldig en kostenefficiënt te doorlopen.
Concrete voorbeelden van hoe bedrijven nis2 gap analyse: compliance toets op 10 domeinen inzetten
Antwoorden op veelgestelde vragen over nis2 gap analyse: compliance toets op 10 domeinen
Vraag niet beantwoord?
Neem contact met ons op - ga naar de contactpaginaDe EU AI Act deadline nadert. Ontdek wat Nederlandse bedrijven nu moeten doen: risicoclassificatie, documentatie-eisen en een praktische compliance checklist.
GDPR-boetes kunnen oplopen tot 20 miljoen of 4% van je jaaromzet. Leer hoe je AI inzet zonder de Autoriteit Persoonsgegevens op je dak te krijgen.
Eén op de vijf MKB-bedrijven wordt jaarlijks slachtoffer van een cyberaanval. De gemiddelde schade: 65.000 euro. Deze 20 maatregelen beschermen je bedrijf tegen de meest voorkomende dreigingen.
Ontdek andere aspecten van onze security audit dienst
Van vulnerability scan tot volledige penetratietest — onze IT infrastructuur scan brengt elk beveiligingsrisico in kaart en levert een concreet actieplan op.
Meer infoProfessionele kwetsbaarheidsanalyse met CVSS scoring, security assessment op maat en een pentest rapport dat je IT-team direct kan inzetten. Van OWASP vulnerability scan tot concrete remediatie — in 5 werkdagen.
Meer infoEen security verbeterplan dat auditvindingen omzet in een uitvoerbaar 30-60-90 security plan. Van beveiligingsplan tot implementatie — wij helpen je een cybersecurity roadmap opstellen die kwetsbaarheden structureel verhelpt.
Meer infoDe Autoriteit Persoonsgegevens deelt steeds hogere boetes uit. Een AVG audit brengt je verwerkingsregister, DPIA-verplichting en datalekprocedure op orde — voordat de AP bij jou aanklopt. Ontvang een concrete AVG audit checklist met geprioriteerde acties.
Meer infoEen professionele phishing simulatie en social engineering test onthult hoe kwetsbaar jouw medewerkers werkelijk zijn. Meet het risico, train gericht en verlaag je klikratio met meer dan 80% binnen twaalf maanden.
Meer infoOntdek hoe nis2 gap analyse: compliance toets op 10 domeinen uw bedrijf kan versterken. Geen verplichtingen.
