Professionele handen onderzoeken risicobeoordelingsdocumenten met vergrootglas op modern bureau, EU-vlagkleuren in presse-papier

Hoe voer je een NIS2 risicoanalyse uit?

in

Een NIS2-risicoanalyse is een systematische beoordeling van cybersecurityrisico’s die organisaties verplicht moeten uitvoeren onder de Europese NIS2-richtlijn. Je doorloopt hierbij de stappen van scopebepaling, asset-identificatie, dreigingsanalyse, kwetsbaarhedenbeoordeling tot risico-evaluatie en prioritering. De resultaten documenteer je in een risicoregister met behandelplannen. Hieronder vind je antwoorden op de meest gestelde vragen over het uitvoeren van een NIS2-conforme risicoanalyse.

Wat is een NIS2-risicoanalyse en waarom is deze verplicht?

Een NIS2-risicoanalyse is een gestructureerde methode om cybersecurityrisico’s binnen je organisatie te identificeren, beoordelen en prioriteren. De Europese NIS2-richtlijn, die per 1 juli 2026 in Nederland via de Cyberbeveiligingswet (Cbw) van kracht wordt, verplicht organisaties in aangewezen sectoren om deze analyse uit te voeren als onderdeel van hun risicomanagement.

De wettelijke verplichting komt voort uit de nadruk die NIS2 legt op risicogebaseerd werken. Je moet aantoonbaar maken welke risico’s je organisatie loopt en welke maatregelen je treft om deze te beheersen. Dit gaat verder dan alleen technische beveiligingsmaatregelen; het omvat ook organisatorische en menselijke factoren.

Een belangrijk aspect is de persoonlijke aansprakelijkheid van bestuurders bij non-compliance. Het topmanagement wordt onder NIS2 direct verantwoordelijk gehouden voor het niet naleven van cybersecurityrisicomanagementmaatregelen. Dit betekent dat bestuurders niet alleen moeten zorgen dat de risicoanalyse wordt uitgevoerd, maar ook dat zij de uitkomsten begrijpen en de juiste beslissingen nemen over risicobehandeling.

Welke organisaties moeten een NIS2-risicoanalyse uitvoeren?

Organisaties die onder de NIS2-richtlijn vallen, zijn verplicht een risicoanalyse uit te voeren. De richtlijn maakt onderscheid tussen essentiële en belangrijke entiteiten in sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur, financiële diensten en overheidsdiensten.

De criteria voor toepasselijkheid zijn gebaseerd op omvang:

  • Middelgrote organisaties: 50 tot 250 medewerkers, of een omzet tussen 10 en 50 miljoen euro
  • Grote organisaties: meer dan 250 medewerkers, of een omzet boven 50 miljoen euro en een balanstotaal van 43 miljoen euro

Kleine mkb-organisaties met minder dan 50 medewerkers en een omzet en balanstotaal onder 10 miljoen euro vallen niet onder de NIS2-richtlijn. Voor grote organisaties die onder Annex 1 vallen, geldt bovendien proactief toezicht door de toezichthouder.

Belangrijk om te weten: NIS2 is primair een organisatorisch vraagstuk, niet alleen een technisch vraagstuk. Een veelvoorkomende denkfout is dat NIS2 volledig kan worden uitbesteed aan een IT-leverancier. De IT-leverancier kan helpen bij technische aspecten, maar niet bij het inrichten van de organisatie, het opstellen van beleid en het borgen van verantwoordelijkheden.

Welke stappen doorloop je bij een NIS2-risicoanalyse?

Een NIS2-conforme risicoanalyse volgt een gestructureerd stappenplan dat je helpt om systematisch alle relevante risico’s in kaart te brengen. De aanpak bestaat uit vijf fasen: analyseren, bepalen, opstellen, uitvoeren en controleren.

Scopebepaling: Definieer welke systemen, processen en afdelingen binnen de analyse vallen. Focus op de netwerk- en informatiesystemen die essentieel zijn voor je dienstverlening.

Asset-identificatie: Breng alle IT-middelen in kaart, waaronder hardware, software, data en externe verbindingen. Documenteer ook de onderlinge afhankelijkheden tussen systemen.

Dreigingsanalyse: Identificeer welke dreigingen relevant zijn voor jouw organisatie. Denk aan ransomware, phishing, DDoS-aanvallen, maar ook aan interne dreigingen en fysieke risico’s.

Kwetsbaarhedenbeoordeling: Beoordeel waar je organisatie kwetsbaar is voor de geïdentificeerde dreigingen. Dit kan via technische scans, maar ook via interviews en documentanalyse.

Risico-evaluatie en prioritering: Combineer de kans dat een dreiging zich voordoet met de mogelijke impact. Prioriteer risico’s op basis van deze inschatting en bepaal welke risico’s behandeling vereisen.

Welke risico’s en dreigingen moet je identificeren voor NIS2?

Voor een volledige NIS2-risicoanalyse moet je verschillende categorieën risico’s en dreigingen in kaart brengen. De richtlijn vereist een brede blik die verder gaat dan alleen technische kwetsbaarheden.

Technische risico’s omvatten kwetsbaarheden in software en systemen, onvoldoende patchmanagement, zwakke authenticatie en verouderde infrastructuur. Ook risico’s rondom cloudservices en remote werken vallen hieronder.

Organisatorische risico’s betreffen onduidelijke verantwoordelijkheden, ontbrekend beleid, onvoldoende incidentresponsprocedures en gebrekkige continuïteitsplanning. NIS2 legt nadrukkelijk de nadruk op managementsystematiek en governance.

Menselijke risico’s gaan over social engineering, onvoldoende security awareness bij medewerkers, fouten door onwetendheid en insider threats. Training en bewustwording zijn essentieel om deze risico’s te beperken.

Supplychainrisico’s vormen een specifiek aandachtspunt binnen NIS2. Je moet beoordelen welke risico’s voortkomen uit afhankelijkheden van leveranciers, IT-dienstverleners en andere derde partijen. De recente toename van cyberaanvallen, waarbij criminelen steeds hogere bedragen eisen, onderstreept het belang van een gedegen analyse van deze ketenrisico’s.

Welke methodes en frameworks kun je gebruiken voor een NIS2-risicoanalyse?

Er zijn verschillende gevestigde risicoanalysemethodes die geschikt zijn voor NIS2-compliance. De keuze hangt af van je organisatiegrootte, bestaande processen en beschikbare expertise.

ISO 27005 is de internationale standaard voor informatiebeveiligingsrisicomanagement. Deze methode sluit naadloos aan bij ISO 27001 en biedt een uitgebreid kader voor risico-identificatie, -analyse en -behandeling. Voor organisaties die al met ISO 27001 werken, is dit een logische keuze.

NIST Risk Management Framework is ontwikkeld door het Amerikaanse National Institute of Standards and Technology. Het biedt een flexibele aanpak die goed past bij organisaties die een pragmatische methodiek zoeken zonder de volledige ISO-implementatie.

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) is specifiek ontworpen voor organisaties die zelf hun risicoanalyse willen uitvoeren. De methode is praktisch en minder documentatie-intensief dan ISO 27005.

Het NOREA Cbw NIS2 Control Framework, ontwikkeld door ADR en NOREA, biedt een praktisch hulpmiddel om je volwassenheid op het gebied van cyberbeveiliging te evalueren. Dit framework is specifiek gebaseerd op de Cyberbeveiligingswet en biedt een mapping naar BIO2 voor overheidsorganisaties.

Hoe documenteer en rapporteer je de resultaten van je risicoanalyse?

Goede documentatie is essentieel voor NIS2-compliance. Je moet kunnen aantonen dat je een systematische risicoanalyse hebt uitgevoerd en welke beslissingen je hebt genomen op basis van de uitkomsten.

Een risicoregister vormt de kern van je documentatie. Hierin leg je alle geïdentificeerde risico’s vast met hun beoordeling, de risico-eigenaar en de status van behandeling. Houd dit register actueel en review het periodiek.

Behandelplannen beschrijven per risico welke maatregelen je neemt. Dit kan risicomitigatie zijn (maatregelen om kans of impact te verkleinen), risico-overdracht (zoals verzekering), risicoacceptatie of risicomijding.

Restrisicoacceptatie documenteert welke risico’s je bewust accepteert na behandeling. Deze beslissingen moeten door het management worden goedgekeurd en vastgelegd, gezien de persoonlijke aansprakelijkheid van bestuurders onder NIS2.

Zorg voor een complete audittrail die aantoont wanneer analyses zijn uitgevoerd, wie betrokken was en welke methodiek is toegepast. Toezichthouders kunnen deze bewijslast opvragen bij controles. Continue verbetering via een PDCA-cyclus (Plan, Do, Check, Act) is een kernvereiste van de richtlijn.

Hoe helpt Hoek en Blok IT bij je NIS2-risicoanalyse?

Hoek en Blok IT ondersteunt organisaties bij het uitvoeren van een gedegen NIS2-risicoanalyse met een pragmatische en betaalbare aanpak. De NOREA-gecertificeerde auditors combineren technische expertise met auditervaring om je te helpen bij het aantonen van adequate risicobeheersing.

De dienstverlening omvat:

  • Begeleiding bij risico-identificatie en scopebepaling voor jouw specifieke situatie
  • Ondersteuning bij de selectie van een passende risicoanalysemethodiek
  • Uitvoering van NIS2-nulmetingen om je huidige positie in kaart te brengen
  • Hulp bij documentatie en rapportage conform de richtlijnvereisten
  • IT Security Officer as a Service voor doorlopende ondersteuning
  • Securityassessments en penetratietests ter validatie van je beveiligingsmaatregelen

Met de eerste operationele deadlines voor NIS2 in 2026 is tijdig starten essentieel. Neem contact op met Hoek en Blok IT voor een vrijblijvend adviesgesprek over jouw NIS2-risicoanalyse.

Welke risico’s moet je identificeren voor DORA?Vergrootglas boven puzzelstukjes die digitale infrastructuur voorstellen op bureau van risicomanager met compliance-mapVergrootglas boven financiële documenten en compliance-mappen op mahonie bureau, met focus op kleine lettertjes en officieel zegel.Hoe controleert DNB naleving van DORA?