NIS2 Audit: Voorbereidingsgids & Checklist
Een NIS2 audit verifieert dat je beveiligingsmaatregelen daadwerkelijk aan de eisen voldoen. Of je nu een verplichte externe audit of een zelfbeoordeling moet doen, voorbereiding is cruciaal. Deze gids leidt je door wat je kunt verwachten, wat de CCB CyberFundamentals-workbook verwacht te zien, en hoe je audit-ready wordt.
Wat Is een NIS2 Audit?
Een NIS2 audit is een externe verificatie door een Conformity Assessment Body (CAB) dat de beveiligingsmaatregelen van je organisatie voldoen aan de eisen van de NIS2-richtlijn. In Belgie betekent dit het aantonen van naleving van het CyberFundamentals-raamwerk ontwikkeld door het Centrum voor Cybersecurity Belgie (CCB).
- CAB-auditors zijn geaccrediteerd door BELAC (Belgisch Accreditatie-orgaan)
- De audit dekt je beleidslijnen, procedures, technische controles en bewijs van implementatie
- Het is geen eenmalige gebeurtenis — doorlopende naleving wordt verwacht
- De audit bevestigt dat je "audit-ready" bent, niet dat je 100% risicovrij bent
Meer over het NIS2-raamwerk: NIS2 overzicht.
Wanneer Heb Je een Audit Nodig?
Essentiele Entiteiten
Verplichte externe audit door een geaccrediteerde CAB. Je moet CyFun Important of Essential tier-certificering behalen. Hier is geen weg omheen — externe verificatie is vereist.
Belangrijke Entiteiten
Zelfbeoordeling volstaat voor CyFun Basic tier. Toch wordt een externe audit sterk aanbevolen. Het geeft je geloofwaardigheid bij klanten, partners en toezichthouders. Veel organisaties kiezen vrijwillig voor een audit.
Supply Chain Druk
Zelfs als je wettelijk niet verplicht bent tot een audit, kunnen je klanten bewijs eisen. Grote ondernemingen eisen steeds vaker NIS2-compliance bewijs van hun leveranciers. Een auditcertificaat maakt dit eenvoudig.
Niet zeker welke categorie je bent? Controleer wie moet voldoen.
Wat de CyberFundamentals-workbook Verwacht
De CCB CyberFundamentals-workbook bevat een bewijskolom naast elk control. Hieronder staat waar die kolom voor elk hoofdgebied naar verwijst, plus patronen die het CCB in gepubliceerde richtlijnen heeft aangemerkt als veelvoorkomende tekortkomingen.
Documentatie & Beleid
Geschreven beveiligingsbeleid goedgekeurd op managementniveau, met een gedocumenteerde reviewcyclus. De workbook verwijst naar "gedocumenteerd en goedgekeurd beleid" als bewijs — templates zonder organisatorische aanpassing voldoen niet aan de GV-PO controls.
Risicobeoordeling
Een gestructureerde risicobeoordelingsmethodologie met gedocumenteerde resultaten. De GV-RM control family verwijst expliciet naar "gedocumenteerde risicobeoordeling" in zijn bewijskolom, met elk geidentificeerd risico gekoppeld aan een of meer mitigerende controls.
Incidentrespons
Een incidentresponsplan dat is getest. De workbook verwacht bewijs van tabletop-oefeningen met benoemde deelnemers, simulatieresultaten en lessons-learned documentatie per de RS-IR control family.
Bedrijfscontinuiteit
Backup-procedures, disaster recovery-plannen en bewijs van regelmatige restore-tests. RC-BA control bewijs verwijst naar "geteste" backups, niet alleen "backups bestaan". Recovery time objectives moeten gedefinieerd en realistisch zijn.
Supply Chain Beveiliging
Contracten met beveiligingsclausules, leveranciersbeoordelingen en een lijst van kritieke leveranciers met hun risicoclassificatie. De GV-SC control family is verplicht onder NIS2 Artikel 21(2)(d) en verwacht geclassificeerde leverancierscategorisering, geen platte leverancierslijst.
Trainingsregistraties Personeel
Bewijs dat medewerkers security awareness training hebben gekregen. De PR-AT control bewijskolom verwijst naar "per medewerker" voltooiingsregistraties — data, aanwezigheidslijsten en behandelde inhoud.
Zelfbeoordeling vs Externe Audit
Beide hebben hun plaats. De juiste keuze hangt af van je NIS2-classificatie.
| Zelfbeoordeling | Externe Audit | |
|---|---|---|
| Wie voert het uit | Je eigen team | Geaccrediteerde CAB-auditor |
| Wanneer vereist | Belangrijke entiteiten (CyFun Basic) | Essentiele entiteiten (CyFun Important/Essential) |
| Kosten | Alleen interne tijd | Auditkosten (varieert) |
| Geloofwaardigheid | Beperkt — zelf gerapporteerd | Hoog — onafhankelijk geverifieerd |
| Klantvertrouwen | Matig | Sterk — certificaat als bewijs |
| Voorbereiding nodig | Matig | Grondige documentatie vereist |
Hoe Bereid Je Je Voor op een NIS2 Audit?
Stap 1: Gap-analyse Tegen CyberFundamentals
Begin met het in kaart brengen van je huidige beveiligingsniveau tegen de CyberFundamentals-controles. Identificeer wat je hebt, wat ontbreekt en wat verbetering nodig heeft. Dit geeft je een helder beeld van het werk dat voor je ligt.
Stap 2: Documenteer Alles
Auditors hebben bewijs nodig. Schrijf je beleid, procedures en processen op. Documenteer wie waarvoor verantwoordelijk is. Houd logs bij van beveiligingsactiviteiten. Als het niet gedocumenteerd is, is het niet gebeurd.
Stap 3: Test Je Incidentrespons
Voer een tabletop-oefening uit. Simuleer een beveiligingsincident en loop je responsplan door. Documenteer de resultaten en eventuele verbeteringen. De RS-IR control bewijskolom verwacht een getest plan, geen geschreven plan.
Stap 4: Beoordeel Supply Chain Contracten
Controleer of je leverancierscontracten beveiligingseisen bevatten. Zorg dat je je kritieke leveranciers hebt beoordeeld. Documenteer de resultaten en eventuele vervolgacties.
Stap 5: Brief Je Team
Iedereen moet de basis kennen: je beveiligingsbeleid, hoe incidenten te melden en hun individuele verantwoordelijkheden. Trainingsregistraties bewijzen dat je team voorbereid is.
Gebruik onze NIS2 compliance checklist om je gap-analyse te structureren, en volg de implementatiestappen voor een gedetailleerd plan.
Hoe MSPs Klanten Helpen bij Auditvoorbereiding
Managed Service Providers spelen een cruciale rol bij NIS2-auditvoorbereiding. De meeste KMO's hebben geen dedicated beveiligingspersoneel. Een MSP vult die leegte.
Beheerde Compliance
MSPs handelen het doorlopende werk af: monitoring, patching, backup-testen en documentatie. Dit houdt klanten altijd audit-ready, niet alleen voor de audit.
Bewijsverzameling
De juiste tools loggen automatisch beveiligingsactiviteiten — patches toegepast, backups geverifieerd, incidenten afgehandeld. Dit bewijs is precies wat auditors nodig hebben.
Doorlopende Monitoring
Beveiliging is geen eenmalig project. MSPs bieden doorlopende monitoring die voortdurende naleving aantoont, een sleutelvereiste voor NIS2.
Easy Cyber Protection geeft MSPs de tools om elke klant audit-ready te maken. Geautomatiseerde bewijsverzameling, gestructureerde compliance-tracking en duidelijke auditrapporten.
NIS2 Audit Tijdlijn
Belangrijke data voor Belgische organisaties:
Zie alle NIS2 deadlines.
Word Vandaag Nog Audit-Ready
Easy Cyber Protection begeleidt je door elke stap van NIS2-auditvoorbereiding. Van gap-analyse tot bewijsverzameling, wij maken compliance beheersbaar.
Veelgestelde Vragen
Wat is een NIS2 audit en wie voert deze uit?
Een NIS2 audit is een formele beoordeling van je cybersecuritymaatregelen tegen het CyberFundamentals-raamwerk. Het wordt uitgevoerd door een Conformity Assessment Body (CAB) geaccrediteerd door BELAC. De audit verifieert dat je beleid, procedures en technische controles voldoen aan de eisen van de NIS2-richtlijn.
Hoe controleer ik of mijn organisatie een NIS2 audit nodig heeft?
Essentiele entiteiten (grote organisaties in kritieke sectoren) hebben een verplichte externe audit nodig. Belangrijke entiteiten kunnen zelfbeoordeling gebruiken voor CyFun Basic tier. Gebruik de online tool van het CCB of controleer de NIS2-scopecriteria om je classificatie te bepalen. Bij twijfel, raadpleeg het CCB of een gekwalificeerde adviseur.
Wat is het verschil tussen een NIS2 zelfbeoordeling en een volledige audit?
Een zelfbeoordeling is een interne review waarbij je organisatie haar eigen naleving van CyberFundamentals-controles evalueert. Een volledige audit omvat een onafhankelijke, geaccrediteerde CAB-auditor die je naleving extern verifieert. Essentiele entiteiten moeten de externe audit ondergaan; belangrijke entiteiten kunnen zelf beoordelen.
Hoe lang duurt het om je voor te bereiden op een NIS2 audit?
Voor CyFun Basic, 1 tot 9 maanden afhankelijk van startpositie — goed uitgeruste organisaties 1-3 maanden, met gaps 4-6 maanden, greenfield 6-9 maanden of langer. CCB vereist audit-gevalideerde Basic vóór Important opent, dus een Important-audit is een Jaar 2-uitkomst en Essential is Jaar 3 of later (elk niveau vereist zijn eigen auditcyclus plus 2-3 maanden post-audit remediatie vóór het volgende niveau opent). De sleutel is vroeg beginnen — last-minute voorbereiding creëert gaten die auditors zullen vinden.
Hoeveel kost een NIS2 audit?
Kosten varieren op basis van organisatiegrootte, complexiteit en CyFun-tier. Zelfbeoordelingskosten zijn voornamelijk interne tijd. Externe CAB-audits varieren doorgaans van enkele duizenden tot tienduizenden euro's. De kosten van niet-naleving (boetes tot 10 miljoen euro of 2% van de wereldwijde omzet) overtreffen de auditkosten ruimschoots.