IT-partner? Ontdek hoe je NIS2 audit-readiness levert

Bekijk partneraanbod →

Hoe Scope Je een NIS2 Audit-Readiness Traject

Een klant vraagt je een offerte voor NIS2-compliance. Je weet dat het platformwerk een dag of twee kost. Je weet ook dat het echte werk niet het platform is. Waar verbind je je concreet toe, en hoe prijs je het zodat je geen implementatie-uren opeet? Dit is een scoping-gids, geschreven door operators voor operators.

De Scoping-vraag Die Je Moet Beantwoorden

Een klant stuurt een aankoopverzoek, of zijn verzekeraar vraagt om bewijs, of een grotere klant eist CyFun Basic-evidence. Je krijgt de vraag: "Hoelang duurt dit en wat kost het?" Die vraag goed beantwoorden betekent drie heel verschillende werkstromen uit elkaar trekken die een generieke "compliance"-offerte op een hoop gooit.

Platform setup (1 tot 2 dagen)

Integraties aansluiten, policy wizards draaien, estate-data inladen. Vast en snel.

Policy-validatie en registers invullen (weken)

Draft-policies afstemmen op hoe de klant echt werkt, risico-, leveranciers-, incident- en training-registers invullen, handtekeningen van het management jagen.

Ontbrekende beveiligingsmaatregelen (maanden, variabel)

MFA uitrollen, EDR deployen, onveranderbare back-up opzetten, logging-retentie implementeren. Dit is engineeringwerk, geen compliance-papierwerk.

Wat Het Platform Doet vs Wat Jij Doet vs Wat De Klant Doet

Duidelijkheid over deze split tijdens scoping voorkomt de verwachtingsmismatch die trajecten doodt in maand drie. Het platform is snel. Het engagement eromheen is waar de uren in gaan zitten.

Platformwerk (onzichtbaar, automatisch)

  • Framework-provisioning en wiki-scaffolding na intake-assessment
  • Integratiesync voor technische evidence (M365 Graph, EDR, back-up, firewall)
  • Policy-drafts genereren via wizards, context-aware per klant
  • Cascade-engine (één control goedkeuren pre-populeert afhankelijke controls)
  • Evidence-expiry tracking, punch-list updates, gap-analyse
  • Exports: CCB-werkboek, CAB-share link, branded rapport, ZIP-bundel

MSP-werk (jouw factureerbare uren)

  • Klantrelatie, commerciële voorwaarden, facturatie naar de eindklant
  • Fase 2-sessie: één keer met de klant samenzitten om integraties aan te sluiten en wizards te draaien
  • Policy-drafts valideren en aanpassen aan de echte werking van de klant
  • De 10 registers invullen met echte klantdata (risico, leveranciers, incident, training, phishing-test, back-up-test, wijziging, policy-review, onboarding, reviews)
  • Management-handtekeningen jagen, cluster per cluster
  • Ontbrekende beveiligingsmaatregelen implementeren: MFA-rollout, EDR-deployment, back-up hardenen, logging-retentie. Dit drijft vaak de tijdlijn en wordt bijna altijd ondergeschat
  • Kwartaalreviews, incident-coördinatie, audit-voorbereiding

Klantwerk (de overdrachten die je nodig hebt)

  • Policies goedkeuren op managementniveau
  • Estate-data aanleveren: headcount, software-inventaris, leveranciers
  • Deelnemen aan training en phishing-tests wanneer getriggerd
  • Beschikbaar zijn voor de CAB-audit op de geplande datum

Drie Klantprofielen, Drie Tijdlijnen

De 1 tot 2 dagen platform setup ligt vast. Wat varieert is Fase 3, de validatie- en implementatiestrook. Loop tijdens het eerste scopinggesprek met de klant door welk profiel hij matcht. Zo kalibreer je verwachtingen voordat je een deadline offreert.

Goed uitgeruste klant

1 tot 3 maanden

Startpositie: M365 met MFA enforced, EDR aanwezig, onveranderbare back-up, een vorm van centrale logging, geschreven acceptable use policy, jaarlijkse awareness-training loopt

Wat de tijdlijn drijft: Beleid doornemen, management-handtekeningen, registers invullen. De techniek staat er al, het papierwerk loopt bij.

Tip: Deze trajecten zijn direct winstgevend. Platformwerk sluit ongeveer 70% van de controls op dag één. Jouw uren gaan in valideren en handtekeningen krijgen.

Klant met gaps

4 tot 6 maanden

Startpositie: Enkele tech aanwezig, maar meetbare gaps: geen MFA-enforcement, consumer-grade back-up, geen centrale logging, of geen EDR op elk toestel

Wat de tijdlijn drijft: Ontbrekende-maatregelen implementatie loopt parallel met beleidswerk. Elke gap is een eigen miniproject: MFA-rollout, back-up vervangen, EDR-deployment.

Tip: Offreer de platform-subscription maandelijks en het ontbrekende-maatregelen werk als aparte eenmalige post. Bundel ze niet of je uurtarief verdampt.

Greenfield KMO

6 tot 9 maanden of langer

Startpositie: Consumer-grade back-up, geen EDR, geen MFA-enforcement, geen logging-retentie, waarschijnlijk geen geschreven beleid

Wat de tijdlijn drijft: Het grootste deel van de tijdlijn is jouw implementatieproject. Compliance-papierwerk loopt mee in de laatste 2 maanden.

Tip: Beloof geen audit-ready op een korte deadline. Onderscopen van een greenfield klant creëert een deadline-stressor rond het CCB-indieningsvenster en beschadigt de relatie.

Deze ranges gelden per CyFun-niveau dat je bereikt, meestal Basic. Als de bestemming van de klant Important of Essential is, zie de volgende sectie: dan is het een meerjarig traject, geen langer enkelvoudig venster.

Als de Bestemming Important of Essential Is: Plan een Meerjarig Traject

De 1-tot-9-maanden tijdlijnen hierboven veronderstellen dat de klant in dit traject één CyFun-niveau bereikt, meestal Basic. CCB vereist een audit-gevalideerde Basic-readiness vóór Important, en een audit-gevalideerde Important vóór Essential — geen shortcut, geen overslaan. Dus als de bestemming van de klant Important of Essential is, is de realistische schets meerjarig, niet meermaandelijks. Elk auditcyclus brengt bovendien remediatiewerk aan het licht dat enkele maanden nodig heeft om af te sluiten vóór het volgende niveau opent.

Jaar 1

Basic-readiness en audit

Bouw de governance, evidence-engine, control-implementatie en audit-readiness-discipline op. Het 12-maanden traject geeft hiervoor het scaffolding. Reken na de audit op 2-3 maanden remediatie vóór Jaar 2 start.

Jaar 2

Important-readiness en audit

Zelfde lus als Jaar 1 maar op het Important-niveau (132 controls vs 34 voor Basic). De discipline staat er nu, de controls verdiepen. Nog een auditcyclus, nog een remediatievenster.

Jaar 3+

Essential-readiness en audit

Essential voegt de operationele-volwassenheidslaag toe: continue monitoring, geavanceerde incident response, supply-chain-attestatie. Realistisch pas nadat twee auditcycli hebben bewezen dat de discipline standhoudt. Echte data zijn sterk contextafhankelijk.

Hoe Run Je de Fase 2 Platform-sessie

Fase 2 is de 1 tot 2 dagen platform setup. Je doet ze één keer per klant, meestal remote. De output is een klant-org met auto-verified technische evidence, eerste draft-policies, en een volledige punch-list die exact toont wat vandaag door een audit zou zakken. Doe het in deze volgorde.

1

Sluit eerst M365 Graph aan

GDAP-consent, 30 minuten. Deze ene integratie auto-verifieert ongeveer de helft van de CyFun Basic-controls. Doe dit eerst zodat de rest van de sessie met echte data werkt.

2

Sluit de EDR aan

Sophos, Bitdefender, SentinelOne of Defender for Endpoint. 1 tot 2 uur. Dit tilt de auto-verified dekking voorbij 70% op Basic en geeft je accurate device-counts voor populatie-gap detectie.

3

Sluit back-up en firewall aan waar connectoren bestaan

Als de klant een ondersteunde back-up-vendor of firewall draait, sluit nu aan. Zo niet, noteer de gap; die wordt later manuele evidence.

4

Vul de declared estate in

Headcount, device-count, workplace-count, software-inventaris. Het platform gebruikt dit om populatie-gaps te detecteren (declareer 83 toestellen, Graph ziet er 12 = echte auditbevinding). Doe dit goed in Fase 2 of je bent de volgende drie maanden aan het poetsen.

5

Draai de policy-wizards in cascade-volgorde

Prioriteer de 5 trigger-controls eerst; elke wizard pre-populeert via de cascade-engine tot 3 afhankelijke controls. Tegen het einde van de sessie heb je draft-policies over het hele framework, geen stapel lege sjablonen.

6

Neem de eerste punch-list snapshot

De Audit Punch List toont nu Zakt-zeker, At-risk en Klaar. Dit is je backlog voor Fase 3. Loop hem op het einde van de sessie met de klant door; dit is waar het scopinggesprek voor het implementatiewerk concreet wordt.

Hoe Prijs Je het Traject

Het commerciële model heeft twee delen. Houd ze gescheiden in je offerte, je contract en je facturatie. Klanten die niet weten waarvoor ze betalen zijn klanten die elke factuur bediscussiëren.

Deel 1: Maandelijkse compliance-subscription

Dit dekt doorlopende platformtoegang, kwartaalreviews, evidence-refresh, punch-list monitoring en branded rapporten. ECP rekent je een flat 25 euro per klant per maand aan. Jij rekent de klant tussen 50 en 250 euro per maand aan afhankelijk van grootte, sector en service-niveau. Met VLAIO-subsidie recupereert een klant die 100 euro per maand betaalt tot 45 euro, netto dus rond 55 euro per maand. Hier zit je recurrente marge. Let op: dit is launch-prijszetting — klanten die vandaag worden onboarded blijven op dit tarief voor huidige functionaliteit naarmate het prijsmodel evolueert.

Volumekortingen: 10% vanaf 26 tot 50 klanten, 15% vanaf 51 tot 100, 20% vanaf 100.

Deel 2: Eenmalig implementatiewerk

Ontbrekende-maatregelen engineering (MFA-enforcement, EDR-deployment, back-up hardenen, logging-retentie, policy-afstemmingsworkshops) factureer je op je standaard MSP-tarieven. Dit is projectwerk, geen subscription-werk. Schat het in op basis van de Fase 2 punch-list en offreer het apart.

  • MFA-enforcement project: typisch 3 tot 8 uur per tenant afhankelijk van grootte en of je een gefaseerde rollout nodig hebt
  • EDR-deployment: vendor-afhankelijk, meestal 0,5 tot 1 uur per endpoint voor een mid-size estate
  • Onveranderbare back-up setup: hangt af van huidige vendor; vaak een vervangproject
  • Policy-afstemming en management-workshop: 4 tot 8 uur voor een volle pas over de 34 Basic-controls

Scope-waarschuwingen: Doe Dit Niet

Een korte lijst scopingfouten die ontevreden klanten en onrendabele trajecten creëren.

Beloof geen audit-ready in 1 tot 2 dagen

Dat is platform-setup tijd, geen engagement-tijd. De twee verwarren is de meest voorkomende oorzaak van gebroken verwachtingen. Platform setup levert auto-verified evidence en draft-policies op. Audit-ready betekent dat die policies zijn afgestemd, goedgekeurd, en onderbouwd door ingevulde registers en geïmplementeerde controls.

Beloof geen Important of Essential in een venster van 12 maanden

CCB laat je de ladder beklimmen: audit-gevalideerde Basic vóór Important, audit-gevalideerde Important vóór Essential. Een klant met Essential als bestemming is een meerjarig traject (Jaar 1 Basic, Jaar 2 Important, Jaar 3+ Essential). De 12-maanden offerte geeft scaffolding aan Jaar 1 en maakt de rest mogelijk — benoem dat expliciet aan de VP op offerte-moment, niet in maand zeven.

Sla de ontbrekende-maatregelen scoping niet over

Als de klant geen MFA-enforcement heeft en jij zegt "2 tot 3 maanden tot audit-ready," heb je net een gratis MFA-rollout afgesproken. Loop de Fase 2 punch-list met de klant door. Elke Zakt-zeker item dat een implementatiegap is krijgt een eigen lijn in de offerte.

Behandel registers niet als papierwerk

Ingevulde registers leveren automatisch virtuele evidence aan controls. Een leeg leveranciersregister of leeg risicoregister = auditbevindingen, zelfs als elk beleid perfect is. Plan dedicated register-invul sessies in de tijdlijn.

Vergeet de populatie-scope niet

Integraties dekken de declared estate. Als de klant 83 toestellen declareert maar Graph ziet er 12, markeert de punch-list Populatie-gap. Een echte audit zou hierop falen. Scope een opruim-sprint in Fase 3 waar de declared estate wordt verzoend met wat integraties daadwerkelijk rapporteren.

Offreer niet voor je de intake-assessment hebt gedraaid

Framework-tier (Small, Basic, Important, Essential) verandert scope significant. Draai eerst de intake-assessment, bevestig de tier, en offreer dan pas. Een Basic-klant (34 controls) en een Important-klant zijn heel verschillende trajecten.

Trigger-momenten voor het Scopinggesprek

Je hoeft compliance niet koud te verkopen. Je bestaande klanten hebben triggers die dit gesprek natuurlijk maken. Gebruik ze als opener.

Verzekeringsverlenging

"Je cyberverzekeraar gaat bij verlenging vragen naar NIS2-compliance. Laat ons erop anticiperen voor ze de premie optrekken of dekking uitsluiten."

Supply chain-vraag van een grotere klant

"Je grootste klant vraagt CyFun Basic-bewijs. We kunnen een branded Supply Chain Compliance-rapport genereren in dagen, niet maanden."

NIS2-deadline komt eraan

"Het CCB-indieningsvenster komt dichterbij. Organisaties die nu starten worden als eerste geaudit; de auditor-wachtrij vormt zich al."

Vraag van het bestuur of management

"Je bestuur stelt de juiste vraag. Hier een helder antwoord: waar je vandaag staat, wat ontbreekt, en wat het kost om de gap te dichten."

Aankoopvereiste in een tender

"Deze tender vraagt cybersecurity-bewijs. We kunnen de artefacten produceren die ze willen in weken, niet maanden."

VLAIO-subsidie aangekondigd of verlengd

"VLAIO dekt tot 45% van cybersecurity-advies. Na subsidie daalt je nettokost merkbaar. Dit is het beste venster om te starten."

Kwartaalritme en Verlengingseconomie

NIS2-audit-readiness is geen project, het is een dienst. Nadat de klant audit-ready is, loopt het traject verder op een lagere cadans maar stopt het nooit. Bouw dit vanaf dag één in de offerte.

  • Kwartaalreview-meeting, 30 tot 60 minuten, door jou geleid. Draai de punch-list opnieuw, ververs verlopende evidence, update registers, bespreek nieuwe risico's. Hier toon je doorlopende waarde en hier verlengt de klant zonder wrijving.
  • Technische evidence blijft automatisch vers via integraties. Wat verloopt zijn manuele artefacten: trainingsbewijzen, phishing-test resultaten, back-up-test logs. Het platform markeert ze in Stale; jij plant de refresh met de klant.
  • Jaarlijkse compliance-refresh: herdoe de intake-assessment als de klant groeide of van sector wijzigde, herkalibreer het actieplan, ververs management-handtekeningen.
  • Verzekeringsverlengings-ondersteuning: genereer het evidence-pakket wanneer de klant de cyberverzekering verlengt. Dit is een factureerbaar contactmoment dat de waarde van de subscription herbevestigt.
  • Framework-upgrades: wanneer het CCB een nieuwe CyFun-werkboekversie publiceert, release ECP een migratie; jij her-exporteert en de klant heeft de nieuwe versie. Communiceer dit proactief naar de klant zodat hij de onderhoudswaarde ziet.

Wat ECP Je Geeft voor Scoping

Easy Cyber Protection is de engine achter het traject. Je krijgt een multi-tenant platform met assessmenttools, integratiesync, policy wizards, evidence-verzameling, branded rapporten en audit-ready exports voor 25 euro per klant per maand. Jouw branding op alles wat de klant ziet. Geen compliance-expertise vereist van jou; het framework zit in de motor. Jij scoped het traject, wij maken de platformkant voorspelbaar.

Veelgestelde Scopingvragen

Hoelang duurt het hele traject van begin tot eind?

Per CyFun-niveau dat je bereikt is platform setup (Fase 2) 1 tot 2 dagen en loopt Fase 3 1 tot 9 maanden afhankelijk van de startpositie van de klant: goed uitgerust 1 tot 3 maanden, met gaps 4 tot 6 maanden, greenfield 6 tot 9 maanden of langer — meestal naar CyFun Basic. Als de bestemming Important of Essential is, dan is dat een meerjarig traject (Jaar 1 Basic, Jaar 2 Important, Jaar 3+ Essential) omdat CCB elk niveau audit-gevalideerd vereist vóór het volgende opent. Loop tijdens scoping beide lagen met de klant door: de per-niveau schatting uit de Fase 2 punch-list, plus de meerjarige tier-progressie als zijn bestemming hoger dan Basic ligt.

Hoe prijs ik dit zodat ik geen gratis implementatie doe?

Splits de commerciële kant in twee stromen. De maandelijkse compliance-subscription (50 tot 250 euro per klant) dekt platformtoegang, kwartaalreviews, evidence-refresh en rapportage. Ontbrekende-maatregelen engineering (MFA, EDR, back-up, logging) factureer je apart op je standaard MSP-tarieven als eenmalig projectwerk. Beide kunnen in aanmerking komen voor VLAIO-subsidie als je geregistreerd bent als cybersecurity-adviseur. Bundel nooit engineering-uren in het subscription-tarief.

Wat moet ik weten voor het eerste scopinggesprek?

Zorg dat de intake-assessment klaar is om te draaien (die bepaalt de CyFun-tier). Vraag naar: huidige MFA-dekking, back-up-vendor en onveranderlijkheid, EDR-aanwezigheid en dekking, logging-retentie, bestaand geschreven beleid, gedeclareerde headcount en device-count, eventuele regelgevende triggers (verzekeraar-vraag, supply chain-vraag, tender). Die vijf antwoorden classificeren de klant in één van de drie profielen en drijven de hele offerte.

Heb ik compliance- of auditkwalificaties nodig om dit te leveren?

Nee. MSP's bereiden klanten voor om audit-ready te zijn. De certificeringsaudit wordt gedaan door een BELAC-geaccrediteerde CAB-auditor, niet door jou. Het platform regelt framework-mapping en evidence-structurering; jij regelt klantrelatie, afstemming en implementatie. Zie het zo: de MSP is de boekhouder, de CAB-auditor is de externe accountant.

Wat als de klant het CAB-auditvenster mist?

Onderscopen is de hoofdoorzaak van gemiste vensters, vooral bij greenfield klanten. Zet de verwachting eerlijk bij de scoping: een greenfield klant is 6 maanden plus. Als de klant een korter venster eist, krimpt ofwel de scope naar het documenteren van controls zonder volledige implementatie, ofwel verschuift de deadline. Beloof nooit een 2-maanden audit-ready datum aan een klant zonder MFA en zonder EDR.

Hoe ga ik om met de klant die zegt "geef me gewoon de totale prijs"?

Antwoord in twee lijnen. Maandelijkse subscription: X euro per maand, start meteen, inclusief platform, kwartaalreviews, rapportage, branded exports. Eenmalige implementatie: geschatte Y euro op basis van de gaps die we in Fase 2 vinden, gefactureerd als projectwerk aan onze standaardtarieven. Je komt op beide in aanmerking voor tot 45% VLAIO-subsidie. Deze framing sluit deals sneller dan één vermengd getal.

Gerelateerde Artikelen

TARS AI