10 NIS2 basismaat-regelen voor bestuurders

Je hebt de NIS2-checklist voor bestuurders gelezen. Mooi. Dan weet je inmiddels dat cyberveiligheid geen onderwerp meer is dat je volledig bij IT kunt neerleggen. Digitale risico's raken de continuïteit van je organisatie, je klanten, je leveranciers en uiteindelijk de keuzes die je als bestuurder maakt. De volgende vraag is daarom logisch: Wat moeten wij nu concreet regelen? Dat lees je in deze blog.

Leestijd

9 minuten

Diensten / categorie
Publicatiedatum

14 juli 2026

Veel bestuurders denken bij cybersecurity meteen aan firewalls, hackers en donkere kamers vol groene code. Begrijpelijk. Maar niet waar cyberweerbaarheid begint. Sterke cyberweerbaarheid ontstaat door duidelijke keuzes, heldere verantwoordelijkheden en inzicht in de risico's die jouw organisatie loopt. Technologie ondersteunt die keuzes, maar vervangt ze nooit. 

De Cyberbeveiligingswet (Cbw), de Nederlandse uitwerking van de Europese NIS2-richtlijn, verwacht daarom niet alleen passende beveiligingsmaatregelen. Organisaties moeten ook kunnen aantonen waarom bepaalde keuzes zijn gemaakt en hoe cyberrisico's worden beheerst. 

Deze 10 basismaatregelen helpen je om van bewustwording naar actie te gaan. Geen dikke rapporten voor in de la. Wel grip, richting en rust. 

In één minuut: de 10 belangrijkste NIS2-maatregelen

Cyberweerbaarheid begint met inzicht en goed bestuur. Wanneer je onderstaande maatregelen op orde hebt, verklein je niet alleen de kans op een cyberincident, maar vergroot je ook de snelheid waarmee jouw organisatie kan herstellen.

In deze blog leer je:

  • Waarom een risicoanalyse de basis vormt van cyberweerbaarheid
  • Welke rol bestuurders hebben binnen de Cyberbeveiligingswet
  • Hoe je cyberveiligheid structureel onderdeel maakt van de bestuursagenda
  • Welke maatregelen direct de meeste impact maken
  • Hoe je leveranciers, medewerkers en processen beter beschermt

Iedere maatregel sluit af met een praktische bestuursvraag waarmee je direct kunt beoordelen waar jouw organisatie vandaag staat. 

1. Voer een Risico-analyse uit

Een risicoanalyse is de basis van iedere effectieve cybersecuritystrategie. Zonder inzicht in de grootste risico's kun je geen goede prioriteiten stellen en investeer je al snel in maatregelen die onvoldoende bijdragen aan de weerbaarheid van de organisatie.

De eerste vraag die iedere bestuurder moet kunnen beantwoorden is: Waar lopen wij eigenlijk risico?

Zonder risicoanalyse is cyberveiligheid geen strategie. Dan is het hopen met een wachtwoord erop.

Breng daarom minimaal in kaart:

  • Welke systemen kritiek zijn;
  • Welke gegevens essentieel zijn;
  • Welke processen absoluut moeten blijven draaien;
  • Welke dreigingen de grootste impact hebben.

Pas daarna bepaal je welke maatregelen nodig zijn. Niet andersom. 

Vraag voor het bestuur


Kunnen wij vandaag onze drie grootste cyberrisico's benoemen én uitleggen waarom juist deze risico's prioriteit hebben?

2. Leg verantwoordelijkheden vast

Tijdens een cyberincident moet direct duidelijk zijn wie besluiten neemt, wie communiceert en wie verantwoordelijk is voor de coordinatie. Onduidelijkheid kost tijd. En tijd is tijdens een cyberincident vaak je grootste vijand.

Een cyberincident is geen moment om rollen te verdelen.

Dat doe je vooraf.

Bestuurders, directie, IT, communicatie en externe partners moeten precies weten wat er van hen wordt verwacht.

Niet omdat alles volgens een draaiboek verloopt.

Maar omdat duidelijke verantwoordelijkheden rust brengen wanneer de druk hoog is.

Waarom is dit belangrijk?


Veel organisaties hebben uitstekende technische specialisten. Toch lopen incidenten op doordat niemand weet:

  • wie de leiding heeft;
  • wie klanten informeert;
  • wie leveranciers aanstuurt;
  • wie contact onderhoudt met externe experts;
  • wie besluiten neemt wanneer informatie nog onvolledig is.

Een goede crisisorganisatie bouw je vóór een incident. Niet terwijl de telefoon roodgloeiend staat. 

Vraag voor het bestuur


Weet iedereen binnen onze organisatie welke rol hij of zij heeft tijdens een cyberincident?

3. Maak cyberveiligheid onderdeel van de bestuursagenda

Cyberveiligheid is geen IT-onderwerp dat één keer per jaar wordt besproken. Het is een bedrijfsrisico dat structureel aandacht verdient binnen bestuur, directie en management.

Bespreek daarom minimaal ieder kwartaal:

  • de grootste cyberrisico's;
  • nieuwe dreigingen;
  • beveiligingsincidenten;
  • leveranciersrisico's;
  • voortgang van verbetermaatregelen.

Zet cyberveiligheid dus waar het hoort: aan de bestuurstafel. Niet pas na een incident, maar juist ervoor. 

Vraag voor het bestuur


Wanneer hebben wij voor het laatst bewust gesproken over cyberrisico's, los van een concreet incident?

4. Bescherm accounts met Multi-Factor Authenticatie (MFA)

Multi-Factor Authenticatie (MFA) is één van de meest effectieve maatregelen om ongeautoriseerde toegang tot systemen te voorkomen. Zelfs wanneer een wachtwoord wordt gestolen, maakt MFA het voor aanvallers veel moeilijker om binnen te komen.

Veel cyberaanvallen beginnen niet met een superhacker in een kelder, maar met gestolen inloggegevens.

Daarom is Multi-Factor Authenticatie (MFA) één van de simpelste én sterkste basismaatregelen.

Zorg minimaal voor MFA op:

  • Microsoft 365;
  • beheerdersaccounts;
  • externe toegang (VPN);
  • financiële applicaties;
  • cloudplatformen;
  • bedrijfskritische systemen.

MFA hoort bij passende beveiligingsmaatregelen. En eerlijk is eerlijk: alleen een wachtwoord in 2026 gewoon wat dunnetjes. 

Vraag voor het bestuur


Zijn alle bedrijfskritische accounts binnen onze organisatie beveiligd met Multi-Factor Authenticatie?

5. Zorg voor back-ups en getest herstel

Een back-up is pas waardevol wanneer je zeker weet dat deze werkt én dat je de organisatie snel kunt herstellen na een cyberincident.

Vrijwel iedere organisatie maakt back-ups.

Toch blijkt tijdens incidenten regelmatig dat:

  • bestanden ontbreken;
  • herstel veel langer duurt dan verwacht;
  • systemen niet compleet kunnen worden teruggezet. 

Een back-up is dus geen garantie voor continuiteit. Een getest herstelproces wel.

Waarom is dit belangrijk?

Cyberaanvallen richten zich steeds vaker op de beschikbaarheid van systemen.

Bij ransomware worden bestanden versleuteld.

Bij sabotage raken systemen beschadigd.

Bij menselijke fouten verdwijnen gegevens.

In al deze situaties bepaalt het herstelvermogen hoe snel de organisatie weer operationeel is.

Dat maakt back-ups een bestuursvraagstuk.

Niet omdat bestuurders de techniek beheren.

Maar omdat zij verantwoordelijk zijn voor de continuïteit van de organisatie.

Vraag voor het bestuur


Weten wij hoe lang het duurt voordat onze belangrijkste bedrijfsprocessen weer volledig operationeel zijn?

6. Richt incidentmanagement in

Niet ieder incident is te voorkomen. Dat is de realiteit.

Maar ieder incident moet wél beheersbaar zijn.

Leg vooraf vast hoe je organisatie handelt bij:

  • ransomware;
  • phishing;
  • datalekken;
  • uitval van systemen;
  • verstoringen bij leveranciers.

Bepaal daarnaast:


  • wie de leiding heeft;
  • wanneer externe specialisten worden ingeschakeld;
  • hoe klanten worden geïnformeerd;
  • wanneer een incident wordt geëvalueerd.

Oefen net zoals BHV dit plan één keer per jaar.

Vraag voor het bestuur


Beschikken wij over een actueel incidentresponsplan én hebben wij dit de afgelopen twaalf maanden getest?

7. Beoordeel leveranciers actief

Cyberveiligheid stopt niet bij je voordeur. Leveranciers, softwarepartners en cloudomgevingen kunnen direct invloed hebben op jouw cyberweerbaarheid. Daarom is leveranciersbeheer een belangrijk onderdeel van de Cyberbeveiligingswet en de NIS2-richtlijn.

Vrijwel iedere organisatie werkt dagelijks samen met externe partijen.

Denk aan:

  • IT-dienstverleners;
  • softwareleveranciers;
  • cloudproviders;
  • accountants;
  • HR-platformen;
  • logistieke partners.

Dat maakt samenwerken makkelijker. Maar ook kwetsbaarder. Wanneer een leverancier wordt getroffen door een cyberincident, kan de impact direct doorslaan naar jouw organisatie. Daarom is de vraag niet: "Vertrouwen we onze leveranciers?"

De betere vraag is:

"Weten we welke leveranciers het grootste risico vormen voor onze organisatie?"


Zo pak je dit aan:

Maak inzichtelijk:

  • welke leveranciers toegang hebben tot je systemen;
  • welke leveranciers bedrijfskritisch zijn;
  • welke beveiligingsafspraken contractueel zijn vastgelegd;
  • hoe leveranciers omgaan met cyberincidenten;
  • hoe je wordt geïnformeerd wanneer er iets misgaat.

Bespreek leveranciersrisico's daarnaast minimaal één keer per jaar in het bestuur.

Vraag voor het bestuur


Weten wij welke leveranciers vandaag de grootste invloed hebben op onze bedrijfscontinuiteit?

8. Investeer in menselijk gedrag

Technologie houdt veel tegen.

Maar mensen blijven belangrijk. En ja, soms ook een risico. We zijn tenslotte geen robots. Gelukkig maar.

Een verkeerde klik, een zwak wachtwoord of net iets te veel vertrouwen in een verdachte mail kan grote gevolgen hebben.

Investeer daarom in:

  • cybersecuritytrainingen;
  • phishing-simulaties;
  • bewustwordingscampagnes;
  • bestuurderstrainingen.

Training en bewustwording horen daarom gewoon bij volwassen cyberweerbaarheid. Niet als verplicht nummertje, maar als manier om iedereen scherper te maken.

Vraag voor het bestuur


Wanneer hebben bestuurders én medewerkers voor het laatst actief geoefend met cyberdreigingen?

9. Documenteer wat je doet

Wat je niet kunt aantonen, bestaat voor een auditor of toezichthouder vaak niet. Hard, maar helder.

Leg daarom vast:

  • risicoanalyses;
  • besluiten;
  • procedures;
  • incidenten;
  • evaluaties;
  • verbeteracties.

De Cyberbeveiligingswet legt veel nadruk op aantoonbaarheid, documentatie en audittrails. Niet omdat papier zo gezellig is, maar omdat je moet kunnen laten zien dat je bewuste keuzes maakt.

Vraag voor het bestuur


Kunnen wij vandaag uitleggen én onderbouwen waarom wij bepaalde cyberrisico's accepteren?

10. Blijf continu verbeteren

Cyberveiligheid is geen project met een feestelijke einddatum.

Nieuwe technologie, veranderende dreigingen en nieuwe wetgeving vragen om een organisatie die blijft leren en verbeteren.

Wat vandaag veilig is.

Kan over een jaar onvoldoende zijn.

Evalueer minimaal jaarlijks:

  • risico's;
  • maatregelen;
  • leveranciers;
  • incidenten;
  • beleid;
  • bewustwording.

Bespreek de uitkomsten vervolgens in het bestuur en stel waar nodig prioriteiten bij.

Vraag voor het bestuur


Zijn wij vandaag aantoonbaar beter beschermd dan twaalf maanden geleden?

Doe de Cyber Boardroom Check

Beantwoord 7 vragen en zie in enkele minuten hoe je scoort. 

Beantwoord iedere stellig met:


  • Ja, dit hebben we goed geregeld
  • Deels geregeld
  • Nee, dit is niet duidelijk


Doe de check