Wat Mag Je Verwachten van het NIS2-Audit-Readiness Programma van Je MSP
Je MSP heeft je verteld dat ze je bedrijf audit-klaar kunnen maken voor NIS2 en CyberFundamentals. Goed nieuws, maar hoe ziet dat er concreet uit aan jouw kant van de tafel? Deze gids loopt met je door de vier fases, wat je zelf moet doen (niet veel), wat je MSP afhandelt (het meeste) en hoe lang elke stap realistisch duurt, afhankelijk van waar je vertrekt.
Wat "Audit-Klaar" Eigenlijk Betekent
Er is een belangrijk onderscheid dat je vanaf dag één helder moet hebben. Je MSP bereidt, met het ECP-platform, je bedrijf voor op een NIS2- of CyberFundamentals-audit. De audit zelf wordt uitgevoerd door een onafhankelijke Conformity Assessment Body (CAB), niet door je MSP en niet door ons. Wij kennen geen certificaten toe. Wat wij leveren is vertrouwen: wanneer de CAB-auditor aankomt, zijn je policies goedgekeurd, je bewijs verzameld, je registers ingevuld en het officiële CCB-exportpakket klaar. Geen paniekwerk de week ervoor.
- Je MSP is de quarterback. Zij bezitten de relatie en de uitvoering.
- Het platform (ECP) draait stil op de achtergrond en verzamelt automatisch bewijs uit je Microsoft 365, endpointbescherming en backup-tools.
- Jij blijft gefocust op je bedrijf. Je eigen tijdsinvestering is in uren uit te drukken, niet in weken.
- De CAB-auditor beoordeelt het resultaat. Wij zorgen dat die beoordeling de juiste input krijgt.
De Vier Fases van Je Traject
Dit is het volledige plaatje, vanuit jouw perspectief. Elke fase heeft een duidelijk doel, een realistisch tijdsinvestering en een korte lijst van wat er gebeurt.
Onboarding en Intake
1 tot 2 uur, jouw tijd
Je MSP maakt je account aan en loopt met je (of simpelweg namens jou) door de CyFun-niveau-vragenlijst. Deze korte intake bepaalt of je organisatie het Basic-, Important- of Essential-niveau van CyberFundamentals nodig heeft. Zodra het niveau bevestigd is, bouwt het platform automatisch alle beleidspagina's, registers en controlestructuren voor dat niveau op. Je eindigt deze fase met een volledige, leeg-maar-gestructureerde compliance-werkruimte.
Wat jij doet
Beantwoord een aantal vragen over je bedrijf: sector, aantal werknemers, kritieke diensten en eventuele specifieke regulatoire blootstelling.
Wat je MSP doet
De intake uitvoeren, het niveau bevestigen en je werkruimte configureren.
Platformopzet
1 tot 2 dagen, je MSP doet dit
Dit is het snelle stuk, en hier verdient het platform zich echt terug. In één werksessie verbindt je MSP je Microsoft 365-tenant, je endpointbescherming (zoals Sophos, Bitdefender, SentinelOne of Microsoft Defender) en je backup-oplossing. Het platform begint onmiddellijk technisch bewijs automatisch op te halen. Tegelijk doorloopt je MSP acht beleidswizards die eerste drafts opleveren, afgestemd op je bedrijfscontext. Aan het einde van deze fase heb je een dashboard dat exact toont wat zou slagen, wat een risico is en wat vandaag een audit zou buizen.
Wat jij doet
Geef je MSP de beheerderstoestemming die ze nodig hebben om Microsoft 365 te verbinden (goedkeuring van 30 minuten), en stap dan opzij.
Wat je MSP doet
Alle integraties verbinden, de wizards doorlopen, je aangegeven IT-omvang invullen (werknemers, aantal toestellen, software-inventaris) en het eerste eerlijke gap-beeld opleveren.
Valideren en Implementeren
1 tot 6 maanden, soms langer
Dit is het variabele stuk, en eerlijkheid hierover is belangrijk. Het platform heeft je een punch list gegeven met elk item dat ontbreekt, zwak is of een risico vormt. Je MSP werkt die lijst nu met jou af. Voor elke control valideren ze of het bewijs klopt met de realiteit, passen de concept-policy aan zoals jouw bedrijf echt werkt, en halen vervolgens de goedkeuring bij het management. Registers voor leveranciers, risico's, incidenten, training en backup-tests worden ingevuld met je echte bedrijfsdata. Waar echte beveiligingsmaatregelen ontbreken, zoals multi-factor authenticatie, onveranderbare backups, centrale logging of endpointbescherming, voert je MSP die uit. Dit is echt technisch werk, geen papierwerk, en is meestal de grootste driver van de timeline.
Wat jij doet
Keur beleid goed op managementniveau, lever bedrijfsdata aan die je MSP vraagt (werknemerslijst, leverancierslijst, kernsoftware) en sluit aan bij een handvol korte werksessies.
Wat je MSP doet
Elke policy op maat maken, elk register invullen, de ontbrekende beveiligingsmaatregelen implementeren en de goedkeuringen najagen die bovenaan in je organisatie moeten gebeuren.
Audit-overdracht
1 tot 2 weken
Je MSP voert een interne droogtest uit met de officiële CCB self-assessment export, hetzelfde Excel-werkboek dat je CAB-auditor zal gebruiken. Laatste gaten worden gedicht. Vervolgens genereert het platform ofwel een beveiligde share-link die je CAB-auditor alleen-lezen toegang geeft tot je bewijs, ofwel een volledig ZIP-pakket met elke policy, registervermelding en gelinkte bijlage voor een offline review. Jij en je MSP ontmoeten de CAB-auditor. De CAB-auditor bepaalt de uitkomst.
Wat jij doet
Beschikbaar zijn voor vragen van de auditor als die opkomen. Het eindpakket ondertekenen.
Wat je MSP doet
De droogtest uitvoeren, de export genereren en met de CAB-auditor afstemmen rond praktische afspraken.
Hoe Lang Gaat Dit Echt Duren?
De platformopzet staat vast op 1 tot 2 dagen. De variabele is Fase 3, en het eerlijke antwoord hangt af van waar je beveiliging vandaag staat. Te weinig beloven leidt tot een gemiste audit-deadline, dus het loont om de verwachtingen vanaf het begin realistisch te zetten.
Goed uitgerust
1 tot 3 maandenJe hebt al Microsoft 365 met MFA afgedwongen, een degelijk endpointbeschermingsproduct, onveranderbare backups en redelijk patchbeheer. Fase 3 is vooral policy-review, managementgoedkeuring en registers vullen met data die je al hebt.
Enkele gaten
4 tot 6 maandenDe techniek is er grotendeels, maar met gaten: MFA is lapwerk, backups zijn niet onveranderbaar, logging is niet gecentraliseerd of endpointbescherming is van consumentenklasse. Je MSP werkt het beleidswerk parallel af met het technisch project om die gaten te sluiten. Het technisch werk is de echte timeline-driver.
Vanaf nul
6 tot 9 maanden of meerJe gebruikt een backup van consumentenklasse, hebt geen afgedwongen MFA, geen endpointbescherming en geen log-retentie. Het grootste deel van de timeline is je MSP die de beveiligingsfundering bouwt. De compliance-papierwinkel rolt dan gratis mee, maar sla het gesprek over die fundering zelf niet over.
Hoe het Platform Je MSP (en Jou) Maanden Bespaart
Een traditioneel NIS2-readiness-project betekent beleidsteksten vanaf nul schrijven, technisch bewijs via e-mail najagen en hopen dat niets over het hoofd is gezien wanneer de auditor aankomt. Het platform vervangt het grootste deel daarvan door automatisering:
Controleert technische controls automatisch
Je Microsoft 365 en endpointbeschermingstools worden één keer verbonden. Vanaf dan controleert het platform zaken zoals MFA-afdwinging, wachtwoordbeleid, apparaatversleuteling en patchstatus automatisch. Geen schermafbeeldingen, geen spreadsheets.
Stelt je beleid op
Acht begeleide wizards produceren eerste drafts van beleid en procedures die aansluiten bij je bedrijfscontext. Je MSP werkt ze op maat af. Jij keurt de finale versie goed. Niet meer staren naar een leeg Word-document.
Volgt bewijs dat verloopt
Trainingsrecords, phishingtest-resultaten en backup-testlogs hebben allemaal geldigheidsperiodes. Het platform signaleert ze voor ze verouderd raken, zodat de volgende audit je niet verrast.
Genereert de CCB-export
Wanneer de CAB-auditor vraagt om het officiële Belgische CyberFundamentals-zelfevaluatiebestand, produceert je MSP dat met één klik. Al het bewijs gelinkt, alle antwoorden ingevuld, klaar om te delen.
Toont de punch list eerlijk
Je weet altijd precies wat klaar is, wat een risico is en wat vandaag een audit zou buizen. Geen verrassingen, geen verborgen gaten.
Wat Je Echt Moet Doen
Je totale tijdsinvestering over het hele traject is meestal in uren uit te drukken, niet in dagen. Dit is de realistische lijst:
- Keur de niveau-keuze goed na de intake (één kort gesprek).
- Geef je MSP de beheerderstoestemming om Microsoft 365 en je endpointbeschermingstools te verbinden.
- Lever basisbedrijfsdata aan wanneer ernaar gevraagd wordt: werknemerslijst, belangrijke leveranciers, kritieke software, fysieke locaties.
- Teken elke gefinaliseerde policy af. Je MSP schrijft; jij bevestigt dat het klopt met hoe je bedrijf echt werkt.
- Sluit aan bij de kwartaalreview (60 tot 90 minuten) om de voortgang te zien, de punch list te herdraaien en het volgende kwartaal te plannen.
- Meld materiële veranderingen: nieuw kantoor, nieuwe kritieke leverancier, significante wijziging in werknemersaantal, elk beveiligingsincident.
Na de Audit: Klaar Blijven
NIS2-compliance is geen eenmalig project. Dreigingen evolueren, bewijs verloopt, je bedrijf verandert en het CCB publiceert periodiek nieuwe versies van het CyberFundamentals-werkboek. Je MSP houdt je continu audit-klaar. Integraties houden technisch bewijs automatisch vers. Manueel bewijs, zoals trainingsafronding en backup-testlogs, wordt op zijn eigen schema opnieuw opgehaald. Eén keer per kwartaal bekijken jij en je MSP alles samen. Wanneer het CCB een framework-update uitbrengt, genereert je MSP de export opnieuw. De volgende audit is gewoon een dinsdag, geen crisis.
Werk met een MSP Die de Juiste Tools Gebruikt
Als je MSP al ECP gebruikt, zit je goed. Als ze dat nog niet doen, deel dan deze pagina met hen. Hoe dan ook: audit-klaar zijn moet voelen als een rustige wandeling, niet als een sprint in de maand vóór de auditor binnenstapt.
Bekijk Hoe ECP MSPs HelptVeelgestelde Vragen
Krijg ik aan het einde een NIS2-certificaat?
Je MSP en het ECP-platform geven geen certificaten uit. Dat is de rol van een onafhankelijke Conformity Assessment Body (CAB). Wat je MSP levert, is alles wat die auditor nodig heeft om je gunstig te beoordelen: goedgekeurde policies, gelinkt bewijs, ingevulde registers en de officiële CCB-export. De CAB-auditor voert vervolgens de audit uit en, als die tevreden is, geeft het certificaat uit.
Hoeveel van mijn eigen tijd gaat dit wekelijks kosten?
Tijdens Fase 2 (platformopzet) ongeveer één ochtend om Microsoft 365-beheerderstoestemming te geven en context-vragen te beantwoorden. Tijdens Fase 3 mag je rekenen op twee tot vier uur per maand aan korte review-sessies, plus wat nodig is om policies af te tekenen. Eenmaal audit-klaar zakt het tot een kwartaalreview van 60 tot 90 minuten. Je MSP absorbeert de rest.
Wat als mijn MSP zegt dat het zes weken duurt om volledig klaar te zijn?
Vraag ze om eerst samen de punch list door te lopen. Zes weken is alleen realistisch als je beveiligingsfundering al uitstekend is: afgedwongen MFA overal, onveranderbare backups, een degelijk endpointbeschermingsproduct en centrale logging al op hun plaats. Ontbreekt iets, dan moet de timeline het technische werk omvatten om dat in te regelen. Een eerlijke MSP toont je de punch list en zet samen met jou een realistische datum.
Moet ik de technische details van elke control begrijpen?
Nee. Je moet je bedrijf, je processen en de policies die die weerspiegelen begrijpen. Je MSP vertaalt de technische controls naar zakelijke beslissingen wanneer ze jouw input nodig hebben. De rest wordt op de achtergrond afgehandeld.
Wat gebeurt er als ik later van MSP verander?
Het platform exporteert je volledige compliance-staat, inclusief policies, bewijs en registers, als een draagbaar ZIP-pakket. Je volgende MSP kan het direct importeren. Je begint niet vanaf nul.
Ziet de CAB-auditor het ECP-platform?
Alleen als jij of je MSP ervoor kiest om het te delen. Je MSP kan een alleen-lezen share-link maken die de CAB-auditor toegang geeft tot je bewijs en punch list, of een volledig ZIP-pakket voor offline review. De meeste audits accepteren beide. Het hangt af van de voorkeur van de CAB-auditor.