Terug naar kennisbank

Het NIS2-stappenplan voor overheidsbesturen: van zorgplicht naar aantoonbare naleving

Gepubliceerd op 12 juni 2026

Let op: dit artikel is bedoeld als algemene kennisbankinformatie en is geen juridisch advies.

Inleiding

In ons artikel over NIS2 en hoofdelijke aansprakelijkheid legden we uit dat publieke bestuurders niet hoeven te vrezen voor automatische persoonlijke aansprakelijkheid — maar wél aantoonbaar invulling moeten geven aan hun bestuurlijke cyberzorgplicht. De logische vervolgvraag is: hoe dan?

Dit stappenplan geeft het antwoord. Geen abstracte beleidstaal, maar vijf concrete stappen waarmee een gemeente, provincie, waterschap of rijksorganisatie van papieren zorgplicht naar aantoonbare naleving komt. De rode draad: bij iedere stap hoort bewijs. Niet omdat de toezichthouder morgen op de stoep staat, maar omdat een bestuur dat zijn keuzes niet kan onderbouwen, bestuurlijk kwetsbaar is — bij een incident, bij een audit en in de politieke verantwoording.

Waarom de zorgplicht vraagt om een cultuurverandering

De NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet behandelen cyberbeveiliging niet als een IT-dossier, maar als een bestuurlijke verantwoordelijkheid. De Nationaal Coördinator Terrorismebestrijding en Veiligheid formuleert het scherp: het bestuur is verantwoordelijk voor beleid en naleving, moet aantoonbare kennis hebben van cyberrisico's en kan die eindverantwoordelijkheid niet overdragen aan de CISO.

Voor veel overheidsorganisaties betekent dat een cultuurverandering. Cyberbeveiliging verschuift van "een paragraaf in de P&C-cyclus" naar een vast onderwerp op de bestuurstafel, met dezelfde discipline als financiën: een actueel beeld, periodieke rapportage, expliciete besluiten en een controleerbaar spoor. Het goede nieuws: overheden hoeven niet bij nul te beginnen. Bestaande structuren zoals BIO en ENSIA vormen een fundament waarop NIS2-naleving kan voortbouwen — Digitale Overheid geeft aan dat het toezicht zoveel mogelijk aansluit op bestaande verantwoordingsinformatie.

In 5 stappen naar een NIS2-proof overheidsbestuur

Stap 1: Bepaal de kritikaliteit en scope van uw assets

U kunt geen toezicht houden op wat u niet kent. De eerste stap is daarom een actueel en volledig beeld van de digitale assets: domeinen, subdomeinen, systemen, koppelingen met landelijke voorzieningen, leveranciersportalen en cloudomgevingen. Bepaal per asset de kritikaliteit: welke systemen raken essentiële dienstverlening, gevoelige gegevens of ketenpartners?

In de praktijk blijkt het formele assetregister vrijwel altijd onvolledig. Testomgevingen, vergeten subdomeinen en schaduw-IT staan er niet in — maar zijn voor een aanvaller net zo zichtbaar als de hoofdsystemen. Begin daarom van buiten naar binnen: breng eerst in kaart wat een aanvaller van uw domein ziet en leg dat naast het interne register. Het verschil tussen die twee lijsten is uw eerste bestuurlijke bevinding.

Bewijs bij deze stap: een gedateerd assetoverzicht, kritikaliteitsclassificatie en een vastgesteld proces om het beeld actueel te houden.

Stap 2: Richt de verplichte cybersecurity-trainingen in voor het bestuur

NIS2 verplicht bestuurders om kennis en vaardigheden op te bouwen waarmee zij cyberrisico's en beheersmaatregelen kunnen beoordelen. Dat is geen formaliteit: een bestuur dat de juiste vragen niet kan stellen, kan zijn toezichtsrol niet vervullen.

Praktische invulling: een jaarlijkse bestuurstraining, aangevuld met periodieke dreigingsupdates en een vast kwartaalgesprek met de CISO. Het NCSC publiceert concrete vragen die bestuurders aan hun CISO kunnen stellen — een bruikbaar startpunt voor dat gesprek.

Bewijs bij deze stap: trainingscertificaten, agenda's en verslagen van CISO-gesprekken, en aantoonbare opvolging van actiepunten.

Stap 3: Implementeer continue monitoring in plaats van ad-hoc audits

Een jaarlijkse audit of pentest geeft een momentopname; cyberrisico verandert dagelijks. Nieuwe kwetsbaarheden worden gepubliceerd, leveranciers wijzigen configuraties en collega's zetten nieuwe diensten online. De Rijksinspectie Digitale Infrastructuur benadrukt dat risicomanagement onder de Cyberbeveiligingswet een doorlopende cyclus is: identificeren, analyseren, evalueren en beheersen.

Continue monitoring van het externe aanvalsoppervlak maakt die cyclus concreet. Iedere nieuwe bevinding krijgt een eigenaar, een prioriteit en een hersteltermijn — en iedere herstelactie wordt hercontroleerd. Zo ontstaat vanzelf het dossier dat stap 5 nodig heeft. Waarom een losse scan daarvoor niet volstaat, leest u in scannen is geen NIS2-compliance.

Bewijs bij deze stap: doorlopende scanrapportages met datum en bevinding, herstel-SLA's en hercontroles.

Stap 4: Leg incidentrespons-protocollen formeel vast

NIS2 stelt strakke meldtermijnen voor significante incidenten: een vroege waarschuwing binnen 24 uur en een incidentmelding binnen 72 uur. Die termijnen haalt u alleen met een vooraf vastgesteld en geoefend protocol: wie beslist, wie meldt, wie communiceert, en waar staat de contactinformatie van de toezichthouder en het CSIRT?

Leg het protocol bestuurlijk vast en oefen het minimaal jaarlijks, inclusief de bestuurlijke rol. Een incident om drie uur 's nachts is niet het moment om te ontdekken dat de escalatielijn onduidelijk is.

Bewijs bij deze stap: een vastgesteld incidentresponsplan, oefenverslagen en een geteste meldprocedure.

Stap 5: Richt het interne audit-spoor in voor de toezichthouder

De laatste stap bindt alles samen: zorg dat ieder besluit, iedere bevinding en iedere herstelactie herleidbaar is vastgelegd. Niet als bureaucratische ballast, maar als doorlopend bijproduct van de stappen 1 tot en met 4. Wie het audit-spoor pas opbouwt wanneer de toezichthouder erom vraagt, moet reconstrueren; wie het tijdens het proces opbouwt, hoeft alleen te tonen.

Hoe bereidt u zich voor op de formele NIS2-audit?

Toezicht op overheidsorganisaties sluit zoveel mogelijk aan op bestaande verantwoordingsstructuren zoals ENSIA. Maar de onderliggende vraag van iedere audit blijft gelijk: kunt u aantonen dat u uw risico's kent, passende maatregelen heeft gekozen en de opvolging controleert?

Drie acties waarmee u vandaag kunt beginnen:

1. Leg het verschil bloot tussen uw assetregister en de werkelijkheid. Een externe scan van uw domeinen laat binnen dagen zien wat er werkelijk online staat.
2. Agendeer cyberbeveiliging als vast bestuurspunt, met een kwartaalrapportage volgens een vaste indeling: aanvalsoppervlak, kritieke bevindingen, herstelstatus, risicoacceptatie, ketenrisico's.
3. Begin met het dossier, niet met het beleidsstuk. Een map met gedateerde rapportages, besluiten en hercontroles is bij een audit meer waard dan een beleidsdocument zonder bewijs van uitvoering.

Conclusie

NIS2-naleving voor overheidsbesturen is geen juridische sprint maar een bestuurlijke routine: ken uw assets, train het bestuur, monitor doorlopend, oefen de respons en bouw het bewijs op terwijl u werkt. Wie deze vijf stappen volgt, beantwoordt de kernvraag van iedere toezichthouder — kunt u het aantonen? — met een simpel: ja.

Exposentry ondersteunt stap 1 en 3 met evidence-first monitoring van het externe aanvalsoppervlak: doorlopend, gedateerd en herleidbaar. Bekijk de pakketten en tarieven of start met een eerste scan om het verschil tussen uw register en de werkelijkheid zichtbaar te maken.

Bronnen

1. NCTV, "Bestuurlijke verantwoordelijkheid en trainingsplicht voor bestuurders" — nctv.nl
2. Digitale Overheid, "Veelgestelde vragen Cyberbeveiligingswet" — digitaleoverheid.nl
3. Rijksinspectie Digitale Infrastructuur, "Risicomanagement en cyberbeveiliging" — rdi.nl
4. NCSC, "Vragen die je als bestuurder kunt stellen aan de CISO" — ncsc.nl
5. EUR-Lex, Directive (EU) 2022/2555, Articles 20, 21 & 23 — eur-lex.europa.eu

Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert NL-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.