Hoe digitaal weerbaar
is jouw organisatie?
Ontdek in 10 minuten waar je staat op het gebied van cybersecurity, gebaseerd op de 10 NIS2 maatregelen. Je ontvangt direct een persoonlijk rapport met concrete verbeterpunten.
Vul de vragenlijst in
40 toegankelijke vragen over 10 NIS2 beveiligingsmaatregelen. Geen technische voorkennis nodig.
Ontvang je score
Direct inzicht in je Digiweerbaar Score, per maatregel en als totaal. Vergelijk met de NIS2 norm.
Concreet actieplan
Geprioriteerde aanbevelingen die je direct kunt toepassen, met ondersteuning van Digiweerbaar.
Over jouw organisatie
We beginnen met een paar basisvragen zodat we het advies kunnen afstemmen op jouw situatie.
Risicoanalyse en beveiligingsbeleid
NIS2 Artikel 21(a): Heeft jouw organisatie inzicht in de risico's en een gedocumenteerd informatiebeveiligingsbeleid?
Heeft je organisatie een formeel, goedgekeurd informatiebeveiligingsbeleid?
Denk aan een document dat beschrijft hoe je omgaat met digitale beveiliging, goedgekeurd door het management.
Voert je organisatie periodiek een risicoanalyse uit op IT-systemen en data?
Een risicoanalyse brengt in kaart welke dreigingen er zijn, hoe waarschijnlijk ze zijn en wat de impact zou zijn.
Is er een actueel overzicht van alle IT-systemen, applicaties en data die je organisatie gebruikt?
Een zogenaamde asset inventaris, zodat je weet wat je moet beschermen.
Wordt het beveiligingsbeleid minimaal jaarlijks gereviewed en bijgewerkt?
Beleid dat niet wordt bijgehouden raakt snel verouderd en verliest zijn waarde.
Incidentafhandeling
NIS2 Artikel 21(b): Hoe gaat je organisatie om met beveiligingsincidenten? Van detectie tot herstel.
Heeft je organisatie een vastgelegd incidentresponsplan?
Een plan dat beschrijft wie wat doet als er een cyberincident plaatsvindt, met contactpersonen en escalatielijnen.
Worden beveiligingsincidenten gedetecteerd door monitoring of alarmsystemen?
Denk aan logging, SIEM, antivirus meldingen of andere detectiesystemen die afwijkingen signaleren.
Weet je organisatie dat beveiligingsincidenten binnen 24 uur gemeld moeten worden bij de toezichthouder?
NIS2 vereist een vroegtijdige waarschuwing binnen 24 uur, een melding binnen 72 uur en een eindrapport binnen een maand.
Wordt er na een incident een evaluatie uitgevoerd om herhaling te voorkomen?
Lessons learned, zodat dezelfde fout niet twee keer wordt gemaakt.
Bedrijfscontinuiteit en crisisbeheer
NIS2 Artikel 21(c): Kan je organisatie blijven functioneren na een cyberaanval? Backups, herstelplannen en crisismanagement.
Worden er regelmatig backups gemaakt van belangrijke systemen en data?
Automatische, regelmatige backups die op een aparte locatie worden bewaard.
Worden backups periodiek getest door daadwerkelijk een herstel uit te voeren?
Een backup die niet is getest, is geen betrouwbare backup. Testen bewijst dat het werkt.
Heeft je organisatie een noodplan (business continuity plan) voor als systemen langdurig uitvallen?
Een plan dat beschrijft hoe je bedrijfsprocessen doorlopen als IT niet beschikbaar is.
Is er een crisisteam aangewezen dat weet wat het moet doen bij een groot incident?
Duidelijke rollen, een bellijst en beslissingsbevoegdheid in crisissituaties.
Beveiliging toeleveringsketen
NIS2 Artikel 21(d): Hoe zeker ben je van de cybersecurity van je leveranciers en partners?
Heb je inzicht in welke leveranciers toegang hebben tot jouw systemen of data?
Denk aan IT-leveranciers, cloud providers, salarisadministratie of andere partijen met digitale toegang.
Staan er beveiligingseisen in de contracten met je IT-leveranciers?
Afspraken over incidentmelding, beveiligingsniveaus, audit recht en verantwoordelijkheden.
Beoordeel je de cybersecurity van leveranciers voordat je met hen in zee gaat?
Bijvoorbeeld door te vragen naar certificeringen, beveiligingsmaatregelen of een security assessment.
Monitor je regelmatig of leveranciers hun beveiligingsafspraken nakomen?
Jaarlijkse review, audit rapporten opvragen of beveiligingsincidenten bij leveranciers volgen.
Beveiliging bij aankoop, ontwikkeling en onderhoud
NIS2 Artikel 21(e): Worden nieuwe systemen veilig ingekocht, gebouwd en onderhouden? Inclusief kwetsbaarheden en updates.
Worden beveiligingsupdates en patches tijdig geinstalleerd op alle systemen?
Kritieke patches binnen dagen, reguliere updates binnen weken.
Worden er kwetsbaarheidsscans of pentests uitgevoerd op je systemen?
Regelmatig testen of systemen kwetsbaar zijn voor bekende aanvalstechnieken.
Wordt bij de aanschaf van nieuwe software of hardware beveiliging meegewogen?
Security als eis in het inkoopproces, niet alleen functionaliteit en prijs.
Is er een procedure voor het veilig doorvoeren van wijzigingen aan IT-systemen?
Change management, zodat aanpassingen niet onbedoeld kwetsbaarheden introduceren.
Effectiviteit van beveiligingsmaatregelen
NIS2 Artikel 21(f): Meet je of je beveiligingsmaatregelen daadwerkelijk werken?
Wordt er periodiek getoetst of beveiligingsmaatregelen effectief zijn?
Denk aan audits, security assessments of reviews door een externe partij.
Rapporteert het management regelmatig over de status van informatiebeveiliging?
Management review, boardroom presentaties of periodieke rapportages over beveiligingsrisico's.
Worden verbeterpunten uit audits of assessments daadwerkelijk opgepakt?
Een actieplan met deadlines en verantwoordelijken voor gevonden tekortkomingen.
Zijn er meetbare doelstellingen (KPI's) voor cybersecurity binnen je organisatie?
Bijvoorbeeld het percentage systemen dat up to date is, of de gemiddelde tijd om een incident te detecteren.
Cyberhygiene en training
NIS2 Artikel 21(g): Zijn je medewerkers bewust van digitale dreigingen en getraind om veilig te werken?
Krijgen alle medewerkers regelmatig security awareness training?
Minimaal jaarlijks, over onderwerpen als phishing, wachtwoorden en veilig omgaan met data.
Worden er phishing simulaties uitgevoerd om medewerkers te testen?
Gecontroleerde nep phishing mails om te meten hoe alert medewerkers zijn.
Heeft het bestuur of de directie zelf ook cybersecurity training gevolgd?
NIS2 Artikel 20 vereist dat het management aantoonbaar getraind is in cybersecurity.
Gelden er basisregels voor veilig werken, zoals een wachtwoordbeleid en schermvergrendeling?
Vastgelegd beleid over sterke wachtwoorden, automatische vergrendeling en veilig thuiswerken.
Cryptografie en versleuteling
NIS2 Artikel 21(h): Wordt gevoelige data beschermd met versleuteling, zowel bij opslag als bij verzending?
Wordt dataverkeer versleuteld verzonden (HTTPS, VPN, versleutelde e-mail)?
Alle externe communicatie via beveiligde verbindingen, geen onversleuteld verkeer.
Wordt gevoelige data versleuteld opgeslagen (laptops, servers, cloud)?
Schijfversleuteling op laptops, encryptie op databases met persoonsgegevens of bedrijfskritische data.
Is er beleid voor het beheren van encryptiesleutels en certificaten?
Wie beheert de sleutels, hoe worden ze bewaard en wanneer worden ze vernieuwd.
Worden er moderne, sterke encryptiestandaarden gebruikt (geen verouderde protocollen)?
TLS 1.2/1.3, AES-256 en vergelijkbare actuele standaarden. Geen SSL 3.0 of verouderde algoritmen.
Personeel, toegangscontrole en assetbeheer
NIS2 Artikel 21(i): Wie heeft toegang tot wat? Hoe ga je om met in- en uitdiensttreding en apparatuurbeheer?
Krijgen medewerkers alleen toegang tot systemen en data die ze nodig hebben voor hun functie?
Het least privilege principe, niet iedereen admin of toegang tot alles.
Worden accounts en toegangen direct ingetrokken als iemand uit dienst gaat?
Een offboarding procedure zodat vertrokken medewerkers geen toegang meer hebben.
Worden toegangsrechten periodiek gereviewed en opgeschoond?
Minimaal jaarlijks controleren of iedereen nog de juiste rechten heeft.
Is er een actueel overzicht van alle bedrijfsapparatuur (laptops, telefoons, servers)?
Asset register met eigenaar, locatie en status van elk apparaat.
Multi-factor authenticatie en beveiligde communicatie
NIS2 Artikel 21(j): Gebruik je MFA en zijn je communicatiemiddelen beveiligd? Inclusief noodcommunicatie.
Is multi-factor authenticatie (MFA) ingeschakeld voor alle kritieke systemen en accounts?
Naast een wachtwoord ook een tweede verificatie (app, SMS, hardware token) voor e-mail, VPN, admin panels.
Gebruiken medewerkers een wachtwoordmanager voor het beheren van inloggegevens?
Een veilige kluis voor al je wachtwoorden, zoals MindYourPass.
Wordt er gebruikgemaakt van beveiligde communicatiekanalen voor gevoelige informatie?
Versleutelde e-mail, beveiligde bestandsuitwisseling of vergaderplatformen met encryptie.
Is er een noodcommunicatieplan voor als reguliere systemen (e-mail, telefoon) niet werken?
Een alternatief kanaal waarmee je in crisissituaties toch kunt communiceren met het team.
Je resultaat
Even geduld...
NIS2 toepasselijkheid
Wordt berekend op basis van je sector en organisatiegrootte.
Score per NIS2 maatregel
Aanbevolen prioriteiten
Klaar om je score te verbeteren?
Digiweerbaar helpt je van nulmeting naar NIS2 compliance. Onze experts begeleiden je stap voor stap met een plan op maat.
Disclaimer: Deze scan geeft een indicatief beeld van je digitale weerbaarheid op basis van zelfrapportage. Het is geen formele NIS2 audit of certificering. Voor een volledige beoordeling raden wij een professionele nulmeting aan. De resultaten zijn vertrouwelijk en worden niet opgeslagen zonder jouw toestemming.