Koperen hangslot op stapel nalevingsdocumenten en beleidsmappen op mahonie bureau, professionele kantoorverlichting

Welke documentatie is vereist voor NIS2?

in

De NIS2-richtlijn vereist een uitgebreide set aan documentatie om compliance aan te tonen aan toezichthouders. Deze kernset omvat minimaal een risicoanalyse, beveiligingsbeleid, incidentresponseplan, bedrijfscontinuïteitsplan en supply chain security-documentatie. Organisaties die onder NIS2 vallen, moeten deze documenten niet alleen opstellen, maar ook actueel houden en kunnen overleggen bij inspecties. In dit artikel beantwoorden we de belangrijkste vragen over NIS2-documentatievereisten.

Welke documenten moet je hebben voor NIS2-compliance?

Voor NIS2-compliance heb je een kernset van verplichte documenten nodig die samen aantonen dat jouw organisatie cybersecurityrisico’s adequaat beheerst. De wettelijke basis hiervoor ligt in artikel 21 van de NIS2-richtlijn, dat specifieke maatregelen voorschrijft voor risicobeheer.

De essentiële documenten omvatten:

  • Risicoanalyse en beveiligingsbeleid: een gedocumenteerde aanpak voor het identificeren en behandelen van cybersecurityrisico’s
  • Incidentresponseplan: procedures voor het detecteren, melden en afhandelen van beveiligingsincidenten
  • Bedrijfscontinuïteitsplan: maatregelen om kritieke diensten te herstellen na een incident
  • Supply chain security-documentatie: beleid voor leveranciersbeveiliging en ketenrisico’s
  • Governancedocumenten: vastlegging van rollen, verantwoordelijkheden en bestuursaansprakelijkheid

Deze documenten zijn niet alleen een formaliteit. Toezichthouders gebruiken ze om te beoordelen of jouw organisatie daadwerkelijk voldoet aan de NIS2-vereisten. Met de eerste operationele deadlines in 2026 is het verstandig om nu al te beginnen met het op orde brengen van deze documentatie.

Wat is het verschil tussen NIS2-documentatie en bestaande ISO 27001-documenten?

Organisaties met een ISO 27001-certificering hebben al een stevige basis voor NIS2-compliance. De overlap is aanzienlijk: beide vereisen een risicoanalyse, beveiligingsbeleid en incidentmanagementprocedures. Toch kent NIS2 specifieke aanvullende eisen die ISO 27001 niet standaard afdekt.

De belangrijkste verschillen zitten in:

  • Meldingsverplichtingen: NIS2 vereist strikte meldingstermijnen aan autoriteiten (24 uur en 72 uur), terwijl ISO 27001 geen specifieke externe meldingstermijnen voorschrijft
  • Supply chain security: NIS2 stelt explicietere eisen aan documentatie rondom leveranciersrisico’s en ketenbeveiliging
  • Bestuursaansprakelijkheid: NIS2 vereist documentatie over persoonlijke aansprakelijkheid van bestuurders en hun cybersecuritykennis
  • Sectorspecifieke eisen: afhankelijk van je sector kunnen aanvullende documentatie-eisen gelden

Heb je al ISO 27001? Dan kun je je bestaande documentatie uitbreiden met NIS2-specifieke elementen. Dit bespaart tijd en zorgt voor een geïntegreerd managementsysteem.

Hoe stel je een NIS2-conforme risicoanalyse op?

Een NIS2-conforme risicoanalyse identificeert cybersecurityrisico’s die de continuïteit van jouw dienstverlening kunnen bedreigen. De analyse moet systematisch zijn, alle relevante dreigingen behandelen en leiden tot concrete maatregelen.

Het opstellen verloopt via de volgende stappen:

  • Inventarisatie van assets: breng alle kritieke systemen, data en processen in kaart
  • Dreigingsidentificatie: bepaal welke cyberdreigingen relevant zijn voor jouw organisatie
  • Kwetsbaarheidsbeoordeling: analyseer waar je organisatie kwetsbaar is
  • Impactbeoordeling: bepaal de gevolgen als een risico zich materialiseert
  • Maatregelenselectie: kies passende technische en organisatorische maatregelen
  • Documentatie en goedkeuring: leg alles vast en laat het bestuur formeel goedkeuren

NIS2 adresseert specifiek risico’s rondom netwerk- en informatiesystemen. Denk aan ransomware, datalekken en verstoring van kritieke diensten. De gemiddelde schade van een hack bedroeg in 2022 al € 270.000, wat het belang van een gedegen risicoanalyse onderstreept.

Welke incidentresponse-documentatie vereist NIS2?

NIS2 stelt strikte eisen aan incidentresponse-documentatie, met name vanwege de verplichte meldingstermijnen aan autoriteiten. Je hebt een compleet incidentresponseplan nodig dat beschrijft hoe je organisatie reageert op beveiligingsincidenten.

De vereiste documentatie omvat:

  • Incidentclassificatie: criteria om te bepalen welke incidenten meldplichtig zijn
  • Escalatieprocedures: wie wanneer moet worden geïnformeerd binnen de organisatie
  • Meldingsprocedures: hoe en aan wie externe meldingen worden gedaan
  • Communicatieprotocollen: interne en externe communicatie tijdens een incident

De meldingstermijnen zijn strikt: binnen 24 uur moet je een vroege waarschuwing geven aan de bevoegde autoriteit. Binnen 72 uur volgt een uitgebreidere incidentmelding met een eerste beoordeling van de ernst en impact. Deze termijnen vereisen dat je procedures vooraf goed zijn uitgewerkt en getest.

Hoe documenteer je supply chain security voor NIS2?

Supply chain security is een expliciet aandachtspunt binnen NIS2. Je moet documenteren hoe je organisatie omgaat met beveiligingsrisico’s die via leveranciers en ketenpartners kunnen ontstaan. Dit vereist een systematische aanpak van leveranciersbeheer.

De documentatie moet minimaal bevatten:

  • Leveranciersbeoordelingen: criteria en resultaten van beveiligingsbeoordelingen van leveranciers
  • Contractuele beveiligingseisen: afspraken over beveiliging in leverancierscontracten
  • Leveranciersrisicoregister: overzicht van leveranciers met hun risicoclassificatie
  • Monitoringprocedures: hoe je toezicht houdt op beveiligingsprestaties van leveranciers

In de praktijk betekent dit dat je leveranciers moet beoordelen op hun beveiligingsniveau en dit periodiek moet herzien. Vraag bijvoorbeeld om ISAE-verklaringen of SOC 2-rapporten van kritieke leveranciers.

Welke governancedocumenten zijn verplicht onder NIS2?

NIS2 legt expliciet verantwoordelijkheid bij het bestuur van organisaties. Dit vertaalt zich naar specifieke governancedocumentatie die de betrokkenheid en aansprakelijkheid van bestuurders vastlegt. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor non-compliance.

Verplichte governancedocumenten omvatten:

  • Rollen en verantwoordelijkheden: wie waarvoor verantwoordelijk is op het gebied van cybersecurity
  • Bestuursgoedkeuringen: bewijs dat het bestuur beveiligingsbeleid heeft vastgesteld en periodiek herziet
  • Trainingsregistraties: bewijs dat bestuurders en medewerkers cybersecuritytraining hebben gevolgd
  • Rapportagelijnen: documentatie van periodiek overleg en rapportage aan het bestuur

Bestuurders moeten aantonen dat zij voldoende kennis en vaardigheden hebben om cyberbeveiligingsrisico’s te beoordelen. Het inrichten van een rapportagelijn en periodiek overleg is hierbij essentieel. Zo weet het bestuur wat er speelt en kan het bijsturen waar nodig.

Hoe houd je NIS2-documentatie actueel en audit-proof?

NIS2-documentatie is geen eenmalige exercitie. Toezichthouders verwachten dat documenten actueel zijn en dat je kunt aantonen dat ze in de praktijk worden toegepast. Goed documentbeheer is daarom cruciaal voor compliance.

Praktische richtlijnen voor audit-proof documentatie:

  • Versiebeheer: houd bij welke versie geldig is en wat er is gewijzigd
  • Periodieke reviews: plan jaarlijkse of halfjaarlijkse herzieningen van alle documenten
  • Toegangscontrole: bepaal wie documenten mag inzien en wijzigen
  • Bewaartermijnen: bewaar documentatie minimaal drie tot vijf jaar voor auditdoeleinden
  • Bewijs van toepassing: leg vast dat procedures daadwerkelijk worden gevolgd

Zie NIS2-compliance als een verandertraject dat continu aandacht verdient, niet als een afgebakend project. Met elke kleine stap verbeter je de beveiliging en documentatie van jouw organisatie.

Hoe helpt Hoek en Blok IT bij NIS2-documentatie?

Hoek en Blok IT ondersteunt organisaties bij het opstellen en onderhouden van NIS2-conforme documentatie. Met NOREA-gecertificeerde EDP-auditors en praktijkervaring in IT-audits bieden we pragmatische ondersteuning die past bij middelgrote organisaties.

Onze dienstverlening omvat:

  • Gapanalyse: inventarisatie van ontbrekende documentatie ten opzichte van NIS2-vereisten
  • Documentatietemplates: praktische sjablonen voor risicoanalyses, incidentresponseplannen en beleidsdocumenten
  • Begeleiding bij opstellen: ondersteuning bij het schrijven van organisatiespecifieke documenten
  • Auditondersteuning: voorbereiding op inspecties door toezichthouders
  • IT Security Officer as a Service: doorlopend documentatiebeheer en compliance-monitoring

Wil je weten waar jouw organisatie staat op het gebied van NIS2-documentatie? Neem contact op voor een vrijblijvend gesprek over de mogelijkheden.