NIS2-readiness zonder paniek

De situatie

NIS2 raakt veel meer Nederlandse MKB dan in 2024 verwacht: middelgrote leveranciers van essentiële sectoren (zorg, energie, transport, finance) en een lange staart aan dienstverleners die in de keten staan. De wetgeving vraagt om concrete maatregelen, een beleid, een aangewezen verantwoordelijke, en bewijs dat het ook echt loopt.

Veel organisaties beginnen te laat, kopen een dure compliance-tool die niemand bedient, of betalen een consultant voor een rapport dat in een la verdwijnt. Deze klant wilde geen van die drie.

Wat we deden

Quickscan in twee weken. We mapten welke maatregelen al gedekt waren door bestaande systemen (vaak meer dan klanten denken), wat ontbrak, en wat een acceptabel risico was.

De gaten waren te overzien: MFA op een paar systemen ontbrak, de incident-logging voldeed niet aan de meldplicht, en er was geen schriftelijk aangewezen verantwoordelijke. Implementatie nam zes weken: MFA over de hele linie, een log-pipeline die structureel bewijs oplevert, en één pagina-document dat het bestuur tekent.

Geen aparte compliance-tool gekocht, bestaande systemen waren afdoende.

Wat het opleverde

Na de quickscan en implementatie:

- Quickscan in 11 werkdagen, helder beeld van de gaten en wat acceptabel was. - Implementatie in zes weken, binnen de oorspronkelijke offerte. - Eén pagina overzicht voor het bestuur, plus de onderliggende technische documentatie waar de inspecteur om kan vragen. - Maandelijkse monitoring die ook ná de quickscan bleef draaien, anders is "ready" een momentopname. - Geen extra software-licentie aangeschaft.

Het bestuur had eerst gevreesd dat het een groot project zou worden. Het werd er één met een einddatum.

Wat dit niet was

Geen 200 pagina's rapport. Geen verplichte aanschaf van een compliance-platform van zes cijfers. Geen "u bent volledig NIS2-compliant"-stempel, die bestaat niet en wij geven 'm niet uit. Wel een verdedigbaar dossier waarmee een inspectie kan worden doorstaan.