Scannen is geen NIS2-compliance — maar wel een noodzakelijke bouwsteen
Gepubliceerd op 26 mei 2026
Er bestaat een aantrekkelijke belofte in de markt: koop een scanner, draai een rapport, en je bent "NIS2-compliant". Het klinkt geruststellend, maar het klopt niet. Wij vinden dat je dat moet weten — juist omdat we zelf scans aanbieden. Een leverancier die overclaimt, ondermijnt precies het vertrouwen dat hij zou moeten opbouwen. Dit artikel legt eerlijk uit wat scannen wél en niet doet voor je NIS2-positie.
Wat NIS2 méér vraagt dan techniek
NIS2 en de Nederlandse Cyberbeveiligingswet gaan over veel meer dan het opsporen van kwetsbaarheden. De wet vraagt om een samenhangend stelsel van maatregelen, waaronder:
- Governance en bestuurlijke verantwoordelijkheid: het bestuur is aansprakelijk voor cyberveiligheid en moet er aantoonbaar op sturen.
- Risicomanagement: een doorlopend proces om risico's te identificeren, te wegen en te behandelen.
- Incidentmelding: significante incidenten moeten binnen strakke termijnen worden gemeld bij de toezichthouder.
- Beleid, processen en mensen: van toegangsbeheer en back-ups tot bewustwording en oefeningen.
- Ketenzorgplicht: het beoordelen en borgen van de veiligheid van je leveranciers.
Een scanner raakt geen van deze onderdelen volledig. Een rapport vol bevindingen vervangt geen risicoanalyse, geen meldproces en geen bestuurlijk besluit. Scannen alleen maakt je dus niet NIS2-compliant, en iedereen die dat belooft, verkoopt je een illusie. Welke claims rond NIS2 nog meer niet kloppen — van "de officiële verplichte tool" tot vaste deadlines — lees je in wat is écht verplicht onder de NIS2-ketenzorgplicht.
Waarom scannen toch onmisbaar is
Tegelijk geldt het omgekeerde net zo hard: NIS2 noemt het beheersen van kwetsbaarheden expliciet als verplichte maatregel. Je kúnt geen geloofwaardig risicomanagement voeren zonder te weten welke kwetsbaarheden je daadwerkelijk hebt. Scannen is daarmee een noodzakelijke bouwsteen: niet het hele bouwwerk, maar wel een fundament waar de rest op rust.
Het levert bovendien iets wat toezichthouders en grote klanten expliciet willen zien: verdedigbare evidence voor vulnerability management en de ketenzorgplicht. In plaats van "wij letten op beveiliging" leg je een gedateerd, herleidbaar overzicht op tafel van wat er gevonden is en wat ermee is gedaan. Lever je aan een NIS2-plichtige organisatie, dan is dat precies het bewijs dat zij voor hun eigen ketenzorgplicht nodig hebben.
Van scanresultaat naar compliance-bewijs: zo organiseer je het
De interessantere vraag is dus niet wat een scan niet doet, maar hoe je de data uit een scan organiseert tot bewijs dat in je NIS2-dossier past. Daarvoor zijn vier elementen nodig per bevinding:
- Datum en herkomst: wanneer is dit gevonden, en hoe?
- Eigenaar en besluit: wie pakt het op — of waarom accepteren we dit risico bewust?
- Hersteltermijn: binnen welke afgesproken termijn moet het zijn opgelost?
- Hercontrole: is na herstel opnieuw gemeten dat de bevinding daadwerkelijk weg is?
Hier wordt ook het verschil tussen een ad-hoc kwetsbaarheidsscan en continuous monitoring zichtbaar. Een losse scan levert een momentopname: bruikbaar als nulmeting, maar volgende maand verouderd. Doorlopende monitoring levert een reeks gedateerde metingen — en daarmee precies wat een auditor wil zien: niet dat het op één dag goed was, maar dat je het structureel in de gaten houdt en aantoonbaar opvolgt. Hoe je die reeks vervolgens vertaalt naar een rapportage waarop het bestuur kan sturen, lees je in van CVE-lijst tot directierapportage.
Evidence-first: hoe een bevinding tot stand kwam
Hier maakt de aanpak van Exposentry het verschil. We draaien niet zomaar een lijst kwetsbaarheden uit. Onze scans zijn gebouwd op OpenKAT, de open-source scanner uit de Nederlandse overheid, die per bevinding vastlegt hoe die is verkregen: welke module keek, naar welk doelwit, op welk moment, en welke onderliggende observatie tot de conclusie leidde. Wat OpenKAT precies is — en wat het níét is, zoals een verplicht of "officieel" platform — lees je in wat OpenKAT is — en wat het níét is.
Dat levert forensisch onderbouwd bewijs op, vergelijkbaar met een chain of custody: een keten van observaties die je kunt navertellen en verdedigen. Voor een CISO of inkoper is dat het verschil tussen een rapport dat je móet geloven en een rapport dat je kunt controleren. Wil je begrijpen welke observaties daaronder zitten, lees dan wat een aanvaller van je domein ziet.
Vertrouwen door niet te overclaimen
Het lijkt contra-intuïtief om als leverancier te zeggen wat je product niet doet. Toch is dat precies wat de geloofwaardigheid opbouwt die in security telt. Een onderbouwd, eerlijk rapport dat zijn eigen grenzen kent, is op de lange termijn meer waard dan een compliance-stempel dat bij de eerste kritische vraag uit elkaar valt.
Zie scannen daarom als wat het is: een sterke, aantoonbare bouwsteen in je bredere NIS2-aanpak. Combineer het met je eigen governance, risicomanagement en processen, en je staat er stevig op.
Aan de slag
Wil je beginnen met die bouwsteen? Bekijk de pakketten en tarieven of start met een eerste scan. Geen loze beloftes — wel nuchtere, forensisch onderbouwde bevindingen die je richting toezicht en klanten kunt verdedigen.
Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert EU-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.