BIO 5.01 ISO A.5.1

NIS2 Handhaving En Toezicht: Compliance-verificatie En Auditvoorbereiding

📅 2025-01-27
⏱️ 28 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

De NIS2-richtlijn introduceert strengere handhavingsmechanismen en toezicht voor essentiële en belangrijke entiteiten. Nederlandse overheidsorganisaties en vitale aanbieders moeten niet alleen voldoen aan de technische en organisatorische eisen, maar ook kunnen aantonen dat zij structureel werken aan cybersecurity en dat zij in staat zijn om incidenten tijdig te detecteren, te melden en te verwerken.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
220u (tech: 100u)
Van toepassing op:
Rijksoverheid
Gemeenten
Zorginstellingen
Vitale aanbieders
Energiebedrijven
Verkeer en vervoer

De NIS2-richtlijn verhoogt de verantwoordingsplicht aanzienlijk ten opzichte van de oorspronkelijke NIS-richtlijn. Toezichthouders zoals de Autoriteit Digitale Overheid (ADG) en het Nationaal Cyber Security Centrum (NCSC) krijgen meer bevoegdheden om naleving te controleren, informatie op te vragen en bij tekortkomingen sancties op te leggen. Deze sancties kunnen oplopen tot maximaal tien miljoen euro of twee procent van de wereldwijde jaaromzet, wat voor publieke organisaties kan resulteren in aanzienlijke budgettaire en reputatieschade. Bovendien kunnen toezichthouders tijdelijke activiteiten stopzetten of specifieke maatregelen opleggen wanneer de beveiliging ernstig tekortschiet. Zonder een gestructureerde aanpak voor compliance-verificatie, auditvoorbereiding en continue monitoring is het vrijwel onmogelijk om tijdens toezichtbezoeken of na een incident overtuigend aan te tonen dat de organisatie voldoet aan de NIS2-vereisten.

PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Azure Portal, Compliance- en auditregistratiesystemen
Connection: PowerShell, Azure CLI, REST API's
Required Modules: Microsoft.PowerShell.Management

Implementatie

Dit artikel beschrijft hoe Nederlandse publieke organisaties zich voorbereiden op NIS2-handhaving en toezicht. We behandelen de juridische kaders rondom toezicht en sancties, de praktische inrichting van compliance-verificatieprocessen, de voorbereiding op audits en inspecties, en de wijze waarop organisaties kunnen aantonen dat zij voldoen aan de NIS2-vereisten. Daarnaast wordt uitgelegd hoe u rapportages opstelt voor toezichthouders, hoe u omgaat met bevindingen en hoe u een cultuur van continue compliance ontwikkelt. Tot slot laten we zien hoe geautomatiseerde controles en monitoringtools kunnen worden ingezet om compliance aantoonbaar te maken en tijdig afwijkingen te signaleren.

De NIS2-richtlijn versterkt de bevoegdheden van toezichthouders aanzienlijk ten opzichte van de oorspronkelijke NIS-richtlijn. In Nederland is de Autoriteit Digitale Overheid (ADG) aangewezen als toezichthouder voor essentiële en belangrijke entiteiten in de publieke sector, terwijl het NCSC een ondersteunende rol vervult bij technische advisering en incidentrespons. De ADG heeft de bevoegdheid om organisaties te verplichten informatie te verstrekken over hun cybersecurity-maatregelen, om toegang te krijgen tot locaties en systemen voor inspecties, en om bij ernstige tekortkomingen bindende aanwijzingen te geven of activiteiten tijdelijk te stilleggen. Deze bevoegdheden maken dat organisaties structureel moeten kunnen aantonen dat zij voldoen aan de NIS2-vereisten, in plaats van alleen te reageren wanneer zich een incident voordoet.

Sancties onder NIS2 kunnen aanzienlijk zijn. Artikel 33 van de richtlijn stelt dat toezichthouders administratieve boetes kunnen opleggen tot maximaal tien miljoen euro of, indien hoger, twee procent van de totale wereldwijde jaaromzet van de onderneming in het voorgaande boekjaar. Voor publieke organisaties zonder commerciële omzet kan dit worden vertaald naar een percentage van het totale budget. Daarnaast kunnen toezichthouders specifieke maatregelen opleggen, zoals verplichte externe audits, het aanstellen van een externe beveiligingsadviseur, of het tijdelijk stopzetten van bepaalde activiteiten totdat beveiligingsmaatregelen zijn verbeterd. Deze sancties worden niet alleen opgelegd bij ernstige incidenten, maar ook wanneer organisaties structureel tekortschieten in hun compliance, bijvoorbeeld door het ontbreken van essentiële beveiligingsmaatregelen, het niet naleven van meldplichten, of het niet opvolgen van eerdere aanwijzingen.

Een belangrijk aspect van de handhaving is de verantwoordingsplicht. Organisaties moeten niet alleen kunnen aantonen dat zij technische en organisatorische maatregelen hebben geïmplementeerd, maar ook dat deze maatregelen daadwerkelijk effectief zijn en dat er een proces is voor continue verbetering. Dit betekent dat documentatie, rapportages, auditresultaten en verbeterplannen niet alleen moeten bestaan, maar ook actueel moeten zijn en moeten aansluiten bij de werkelijke situatie. Toezichthouders kunnen vragen om specifieke bewijsstukken, zoals logs van security monitoring, resultaten van penetratietests, verslagen van security awareness trainingen, of documentatie van incidentresponsprocessen. Organisaties die niet in staat zijn om deze informatie tijdig en volledig te verstrekken, lopen een verhoogd risico op negatieve bevindingen en mogelijke sancties.

Naast de formele handhaving door toezichthouders speelt ook de meldplicht een cruciale rol. Artikel 23 van NIS2 verplicht organisaties om binnen 24 uur na het detecteren van een significant incident een eerste melding te doen bij de toezichthouder, gevolgd door een gedetailleerde rapportage binnen 72 uur. Het niet naleven van deze meldplicht kan op zichzelf al leiden tot sancties, onafhankelijk van de ernst van het incident. Organisaties moeten daarom beschikken over robuuste processen voor incidentdetectie, classificatie en melding, waarbij duidelijk is wie verantwoordelijk is voor het doen van meldingen en welke informatie moet worden verstrekt. Dit artikel helpt organisaties om deze juridische kaders te vertalen naar concrete processen en controles die compliance aantoonbaar maken.

Inrichting van compliance-verificatie en zelfevaluatieprocessen

Een effectieve voorbereiding op NIS2-handhaving begint met het inrichten van structurele compliance-verificatieprocessen. Organisaties moeten regelmatig, bijvoorbeeld per kwartaal of halfjaar, een zelfevaluatie uitvoeren waarin wordt getoetst of alle NIS2-vereisten zijn ingevuld en of de geïmplementeerde maatregelen nog steeds effectief zijn. Deze zelfevaluatie moet gebaseerd zijn op een gestructureerd framework dat alle relevante artikelen uit NIS2 dekt, zoals governance en risicomanagement (Artikel 20), technische en organisatorische maatregelen (Artikel 21), incidentmelding (Artikel 23), en supply chain security (Artikel 21, lid 2, onderdeel i). Door gebruik te maken van een gestandaardiseerde checklist of maturity model kunnen organisaties systematisch door alle vereisten heen en ontstaat een helder beeld van waar sterktes en zwaktes liggen.

De zelfevaluatie moet niet alleen focussen op het bestaan van documenten en processen, maar ook op de daadwerkelijke implementatie en effectiviteit. Bijvoorbeeld: het hebben van een securitybeleid is niet voldoende; de organisatie moet kunnen aantonen dat dit beleid daadwerkelijk wordt nageleefd, dat medewerkers op de hoogte zijn van de belangrijkste bepalingen, en dat er een proces is voor periodieke actualisatie. Evenzo is het hebben van logging en monitoring niet voldoende; de organisatie moet kunnen aantonen dat logs daadwerkelijk worden geanalyseerd, dat afwijkingen worden gedetecteerd en opgevolgd, en dat er een verband is tussen monitoring en incidentrespons. Door deze diepere toetsing uit te voeren, ontstaat een realistischer beeld van de compliance-status en kunnen hiaten tijdig worden geïdentificeerd en opgelost voordat een toezichthouder langskomt.

Een belangrijk onderdeel van compliance-verificatie is het verzamelen en beheren van auditbewijzen. Organisaties moeten structureel documenteren welke maatregelen zijn genomen, wanneer deze zijn geïmplementeerd, wie verantwoordelijk is voor beheer, en hoe de effectiviteit wordt gemonitord. Dit omvat zowel technische bewijsstukken, zoals configuraties, logs en rapportages uit security tools, als organisatorische bewijsstukken, zoals beleidsdocumenten, procedures, trainingrecords en verslagen van overleggen. Door deze bewijsstukken centraal te beheren in een compliance- of auditregistratiesysteem, wordt het eenvoudiger om tijdens een toezichtbezoek snel en volledig te kunnen reageren op informatieverzoeken. Het helpt om bewijsstukken te koppelen aan specifieke NIS2-artikelen, zodat direct duidelijk is welk bewijsstuk welk vereiste ondersteunt.

Tot slot moet compliance-verificatie worden gekoppeld aan een cyclus van continue verbetering. Bevindingen uit zelfevaluaties moeten worden vertaald naar concrete verbeteracties met eigenaars, deadlines en prioriteiten. Deze acties moeten worden gemonitord en regelmatig worden besproken in managementoverleggen, zodat bestuur en directie zicht hebben op de compliance-status en kunnen sturen op benodigde investeringen of wijzigingen in processen. Door compliance-verificatie te benaderen als een continu proces in plaats van een eenmalige oefening, ontwikkelt de organisatie een volwassen compliance-cultuur die bestand is tegen externe toetsing en die proactief risico's identificeert en adresseert.

Auditvoorbereiding en omgang met toezichtbezoeken

Wanneer een toezichthouder aankondigt dat er een audit of inspectie plaatsvindt, is het cruciaal dat de organisatie goed voorbereid is. Dit begint met het benoemen van een centrale contactpersoon of auditcoördinator die verantwoordelijk is voor de coördinatie van het toezichtbezoek, het verzamelen van gevraagde informatie, en de communicatie met de toezichthouder. Deze persoon moet beschikken over een goed overzicht van de organisatie, de beveiligingsarchitectuur, en de compliance-status, zodat vragen snel en accuraat kunnen worden beantwoord. Daarnaast moet er een team worden samengesteld met vertegenwoordigers uit verschillende disciplines, zoals CISO, privacy officer, IT-beheer, compliance, juridische zaken en lijnmanagement, zodat alle aspecten van NIS2-compliance kunnen worden behandeld.

Voorafgaand aan het toezichtbezoek moet de organisatie een voorbereidingsplan opstellen waarin wordt beschreven welke documenten en bewijsstukken beschikbaar zijn, wie verantwoordelijk is voor welke onderwerpen, en hoe wordt omgegaan met vragen waarop het antwoord niet direct beschikbaar is. Het helpt om een zogenaamde 'audit readiness map' te maken waarin alle relevante documenten, configuraties, logs en rapportages zijn georganiseerd per NIS2-artikel of thema. Door deze voorbereiding tijdig uit te voeren, bijvoorbeeld enkele weken voor het bezoek, kan de organisatie eventuele hiaten nog opvullen en kan worden geoefend met het presenteren van bewijsstukken. Tijdens het bezoek zelf is het belangrijk om transparant en open te zijn, zonder defensief te worden wanneer bevindingen worden geconstateerd. Toezichthouders waarderen organisaties die proactief werken aan compliance en die openstaan voor feedback en verbetering.

Een belangrijk aspect van auditvoorbereiding is het kunnen demonstreren van de werking van beveiligingsmaatregelen. Toezichthouders willen niet alleen documentatie zien, maar ook bewijs dat maatregelen daadwerkelijk functioneren. Dit kan bijvoorbeeld door het tonen van live dashboards van security monitoring, het demonstreren van incidentresponsprocessen, of het presenteren van resultaten van recente penetratietests of security assessments. Organisaties moeten daarom beschikken over up-to-date demonstratiemateriaal en moeten in staat zijn om technische systemen en processen te laten zien zonder de operationele beveiliging in gevaar te brengen. Het helpt om vooraf te oefenen met deze demonstraties, zodat tijdens het bezoek alles soepel verloopt en de organisatie een professionele indruk maakt.

Na het toezichtbezoek moet de organisatie een gestructureerd proces hebben voor het opvolgen van bevindingen. Wanneer de toezichthouder een rapport of aanwijzing uitbrengt, moet dit worden geanalyseerd, moeten verbeteracties worden geformuleerd, en moet een plan worden opgesteld voor implementatie en follow-up. Het is verstandig om periodiek, bijvoorbeeld per kwartaal, de status van openstaande acties te bespreken met management en om te rapporteren over voortgang richting de toezichthouder. Door proactief te communiceren over genomen maatregelen en behaalde resultaten, toont de organisatie aan dat zij serieus omgaat met compliance en dat zij werkt aan continue verbetering. Dit kan het vertrouwen van de toezichthouder vergroten en kan leiden tot een meer constructieve samenwerking in plaats van een puur controlerende relatie.

Monitoring, rapportage en aantoonbare compliance

Gebruik PowerShell-script nis2-enforcement-index.ps1 (functie Invoke-ComplianceVerification) – Voert een gestructureerde controle uit op de aanwezigheid en actualiteit van kernstukken voor NIS2-compliance, zoals beleid, procedures, auditbewijzen en verbeterplannen..

Onder NIS2 is het niet voldoende om eenmalig te voldoen aan de vereisten; organisaties moeten kunnen aantonen dat zij structureel werken aan cybersecurity en dat compliance een continu proces is. Dit vereist een combinatie van technische monitoring, organisatorische controles en periodieke rapportage. Technische monitoring richt zich op het continu volgen van de effectiviteit van beveiligingsmaatregelen, bijvoorbeeld door het monitoren van security events, het analyseren van logs op afwijkingen, het volgen van patchstatus en kwetsbaarheden, en het meten van compliance-scores in security tools zoals Microsoft Defender voor Cloud of Microsoft Purview. Door deze monitoring te automatiseren waar mogelijk en door dashboards in te richten die real-time inzicht geven in de compliance-status, kunnen organisaties proactief afwijkingen signaleren en tijdig corrigerende maatregelen nemen.

Organisatorische controles richten zich op het periodiek toetsen van processen, procedures en documentatie. Dit omvat bijvoorbeeld het controleren of securitybeleid nog actueel is en wordt nageleefd, of trainingen en awareness-activiteiten daadwerkelijk worden uitgevoerd, of incidentresponsprocessen regelmatig worden getest, en of verbeteracties uit eerdere audits of assessments worden opgevolgd. Door deze controles te koppelen aan de planning- en controlcyclus, bijvoorbeeld via kwartaalrapportages of jaarverslagen over informatiebeveiliging, ontstaat een structurele dialoog met management over compliance en kunnen benodigde investeringen of wijzigingen tijdig worden geïdentificeerd. Het helpt om een compliance- of maturity scorecard te ontwikkelen die periodiek wordt bijgewerkt en die inzichtelijk maakt hoe de organisatie presteert op verschillende NIS2-domeinen.

Gebruik PowerShell-script nis2-enforcement-index.ps1 (functie Invoke-ComplianceReport) – Genereert een beknopt compliance-rapport voor management en toezichthouders op basis van uitgevoerde verificaties, geschikt voor kwartaal- of jaarrapportages..

Rapportage speelt een cruciale rol in het aantoonbaar maken van compliance. Organisaties moeten regelmatig, bijvoorbeeld per kwartaal of halfjaar, een compliance-rapport opstellen dat inzicht geeft in de status van NIS2-naleving, belangrijke ontwikkelingen, openstaande acties en trends. Dit rapport moet geschikt zijn voor zowel intern management als voor externe toezichthouders, en moet daarom een balans vinden tussen technische details en bestuurlijke samenvattingen. Het rapport moet duidelijk maken welke maatregelen zijn geïmplementeerd, hoe de effectiviteit wordt gemonitord, welke risico's zijn geïdentificeerd en hoe deze worden beheerst, en welke verbeteracties zijn gepland of in uitvoering. Door deze rapportages structureel op te stellen en te archiveren, bouwt de organisatie een audittrail op die aantoont dat compliance een doorlopend aandachtspunt is en niet alleen wordt opgepakt wanneer er een toezichtbezoek plaatsvindt.

Tot slot moet monitoring en rapportage worden gekoppeld aan een cultuur van continue verbetering. Bevindingen uit monitoring en rapportages moeten worden gebruikt om prioriteiten te stellen, verbeteracties te formuleren en investeringen te rechtvaardigen. Door regelmatig, bijvoorbeeld per kwartaal, de compliance-status te bespreken in managementoverleggen en door bestuur en directie te betrekken bij belangrijke beslissingen rond cybersecurity, ontstaat een organisatiebreed bewustzijn van het belang van compliance en wordt voorkomen dat cybersecurity wordt gezien als een puur technisch of IT-onderwerp. Dit draagt bij aan een volwassen compliance-cultuur die bestand is tegen externe toetsing en die proactief werkt aan het verbeteren van cybersecurity en het verminderen van risico's.

Remediatie, verbeterplannen en continue ontwikkeling

Gebruik PowerShell-script nis2-enforcement-index.ps1 (functie Invoke-ImprovementPlan) – Genereert gestructureerde verbeterplannen op basis van compliance-verificatieresultaten en helpt bij het prioriteren en monitoren van verbeteracties..

Wanneer uit compliance-verificaties, audits of toezichtbezoeken blijkt dat de organisatie tekortschiet in NIS2-naleving, moet er een gestructureerd proces zijn voor remediatie en verbetering. Dit begint met een grondige analyse van de bevindingen, waarbij wordt gekeken naar de onderliggende oorzaken, de impact op beveiliging en continuïteit, en de urgentie van herstel. Op basis van deze analyse worden concrete verbetermaatregelen geformuleerd, met duidelijke eigenaars, deadlines en successcriteria. Deze maatregelen worden vastgelegd in een verbeterplan of action tracker, dat regelmatig wordt besproken in managementoverleggen en dat wordt gemonitord op voortgang. Door verbeteracties te prioriteren op basis van risico en impact, kan de organisatie gefocust werken aan de belangrijkste tekortkomingen en kan worden voorkomen dat acties blijven liggen of dat de aandacht versnippert over te veel initiatieven tegelijk.

Een belangrijk aspect van remediatie is het adresseren van zowel technische als organisatorische tekortkomingen. Technische maatregelen, zoals het implementeren van ontbrekende security controls, het verbeteren van logging en monitoring, of het patchen van kwetsbaarheden, zijn vaak relatief snel uit te voeren maar vereisen wel zorgvuldige planning en testing om te voorkomen dat de operationele stabiliteit wordt aangetast. Organisatorische maatregelen, zoals het actualiseren van beleid, het verbeteren van processen, of het verhogen van security awareness, vergen vaak meer tijd en betrokkenheid van verschillende partijen, maar zijn minstens zo belangrijk voor duurzame compliance. Door beide typen maatregelen in samenhang op te pakken, ontstaat een robuustere beveiligingspositie die niet alleen voldoet aan formele vereisten, maar ook daadwerkelijk bescherming biedt tegen dreigingen.

Remediatie moet worden benaderd als een continu proces, niet als een eenmalige oefening. Organisaties doen er goed aan om periodiek, bijvoorbeeld per halfjaar, een diepgaande compliance-assessment uit te voeren waarin wordt geëvalueerd of eerder geïmplementeerde maatregelen nog steeds effectief zijn, of nieuwe risico's zijn ontstaan, en of de organisatie nog steeds voldoet aan alle NIS2-vereisten. Deze assessments kunnen worden uitgevoerd door interne teams, maar het kan ook waardevol zijn om periodiek externe expertise in te schakelen, bijvoorbeeld via een externe audit of security assessment, om een onafhankelijk beeld te krijgen van de compliance-status en om blinde vlekken te identificeren. Door deze cyclus van assessment, remediatie en herbeoordeling structureel in te bedden, ontwikkelt de organisatie een volwassen compliance-cultuur die proactief werkt aan verbetering en die bestand is tegen externe toetsing.

Tot slot is het belangrijk om lessen uit remediatietrajecten structureel terug te koppelen naar beleid, processen en governance. Als blijkt dat bepaalde typen tekortkomingen regelmatig voorkomen, kan dit wijzen op structurele problemen in de organisatie, zoals onvoldoende budget, gebrek aan expertise, of onduidelijke verantwoordelijkheden. Door deze onderliggende oorzaken te adresseren, kan worden voorkomen dat dezelfde problemen telkens opnieuw optreden en kan de organisatie stap voor stap werken aan een hoger niveau van compliance en beveiliging. Dit vraagt om betrokkenheid van bestuur en directie, die moeten zorgen voor voldoende middelen, duidelijke prioriteiten en een cultuur waarin cybersecurity en compliance worden gewaardeerd en ondersteund. Door remediatie te benaderen als een strategisch verbeterproces in plaats van een reactieve oefening, bouwt de organisatie aan een duurzame en veerkrachtige beveiligingspositie die voldoet aan NIS2-vereisten en die bestand is tegen toekomstige uitdagingen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS NIS2 Handhaving en Compliance-verificatie: Monitoring en Auditvoorbereiding .DESCRIPTION Ondersteunt Nederlandse overheidsorganisaties en vitale aanbieders bij het monitoren en verbeteren van NIS2-compliance in lijn met handhavingsvereisten. Het script controleert de aanwezigheid van kernstukken zoals compliance-documentatie, auditbewijzen, verbeterplannen en rapportages, en kan sjablonen genereren voor ontbrekende documentatie. .NOTES Filename: nis2-enforcement-index.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-27 Last Modified: 2025-01-27 Version: 1.0 Related JSON: content/compliance/nis2-enforcement-index.json .EXAMPLE .\nis2-enforcement-index.ps1 -ComplianceVerification Controleert of kernstukken voor NIS2-compliance aanwezig zijn. .EXAMPLE .\nis2-enforcement-index.ps1 -ComplianceReport -OutputPath .\nis2-compliance-rapport.txt Genereert een compliance-rapport voor management en toezichthouders. .EXAMPLE .\nis2-enforcement-index.ps1 -ImprovementPlan Genereert een verbeterplan op basis van compliance-verificatieresultaten. #> #Requires -Version 5.1 [CmdletBinding()] param( [Parameter(HelpMessage = "Voer compliance-verificatie uit op aanwezigheid van kernstukken")] [switch]$ComplianceVerification, [Parameter(HelpMessage = "Genereer een compliance-rapport op basis van verificatieresultaten")] [switch]$ComplianceReport, [Parameter(HelpMessage = "Genereer een verbeterplan op basis van verificatieresultaten")] [switch]$ImprovementPlan, [Parameter(HelpMessage = "Pad naar het rapportbestand dat moet worden aangemaakt (alleen bij -ComplianceReport)")] [string]$OutputPath, [Parameter(HelpMessage = "Voer een veilige lokale test uit met voorbeelddata, zonder bestanden te lezen of te schrijven")] [switch]$DebugMode ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' function Get-RepositoryRoot { <# .SYNOPSIS Bepaalt de rootmap van de repository op basis van de locatie van dit script. #> [CmdletBinding()] param() $root = Resolve-Path (Join-Path $PSScriptRoot "..\..") -ErrorAction SilentlyContinue if (-not $root) { throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot" } return $root.Path } function Get-CompliancePaths { <# .SYNOPSIS Bepaalt de paden voor NIS2-compliance documentatie en auditbewijzen. .OUTPUTS PSCustomObject met padinformatie. #> [CmdletBinding()] param() $repoRoot = Get-RepositoryRoot $docsRoot = Join-Path $repoRoot "documentatie\nis2-compliance" $policyPath = Join-Path $docsRoot "nis2-compliance-beleid.md" $selfAssessmentPath = Join-Path $docsRoot "zelfevaluatie-nis2-compliance.md" $auditEvidencePath = Join-Path $docsRoot "audit-bewijsstukken" $complianceReportsPath = Join-Path $docsRoot "compliance-rapportages" $improvementPlansPath = Join-Path $docsRoot "verbeterplannen" $incidentReportsPath = Join-Path $docsRoot "incident-meldingen" [PSCustomObject]@{ RepositoryRoot = $repoRoot DocsRoot = $docsRoot PolicyPath = $policyPath SelfAssessmentPath = $selfAssessmentPath AuditEvidenceDirectory = $auditEvidencePath ComplianceReportsDirectory = $complianceReportsPath ImprovementPlansDirectory = $improvementPlansPath IncidentReportsDirectory = $incidentReportsPath } } function Invoke-ComplianceVerification { <# .SYNOPSIS Controleert de aanwezigheid en basiskwaliteit van NIS2-compliance documentatie en auditbewijzen. .OUTPUTS PSCustomObject met een samenvatting van de status. #> [CmdletBinding()] param() Write-Host "" Write-Host "NIS2 Compliance-verificatie" -ForegroundColor Cyan Write-Host "==========================" -ForegroundColor Cyan if ($DebugMode) { Write-Host "DebugMode ingeschakeld: er worden geen bestanden gelezen of geschreven." -ForegroundColor Yellow $summary = [PSCustomObject]@{ DocsRootExists = $true PolicyExists = $true SelfAssessmentExists = $true AuditEvidenceCount = 5 ComplianceReportsCount = 3 ImprovementPlansCount = 2 IncidentReportsCount = 1 Timestamp = Get-Date } Write-Host "" Write-Host "Voorbeeldsamenvatting (debug):" -ForegroundColor Cyan $summary return $summary } $paths = Get-CompliancePaths Write-Verbose "Repository root: $($paths.RepositoryRoot)" Write-Verbose "Documentatiepad: $($paths.DocsRoot)" $summary = [PSCustomObject]@{ DocsRootExists = $false PolicyExists = $false SelfAssessmentExists = $false AuditEvidenceCount = 0 ComplianceReportsCount = 0 ImprovementPlansCount = 0 IncidentReportsCount = 0 Timestamp = Get-Date } if (Test-Path -Path $paths.DocsRoot) { $summary.DocsRootExists = $true } else { Write-Host "Documentatiemap voor NIS2-compliance bestaat nog niet: $($paths.DocsRoot)" -ForegroundColor Yellow } if (Test-Path -Path $paths.PolicyPath) { $summary.PolicyExists = $true } else { Write-Host "NIS2-compliance beleidsdocument ontbreekt: $($paths.PolicyPath)" -ForegroundColor Yellow } if (Test-Path -Path $paths.SelfAssessmentPath) { $summary.SelfAssessmentExists = $true } else { Write-Host "Zelfevaluatie NIS2-compliance ontbreekt: $($paths.SelfAssessmentPath)" -ForegroundColor Yellow } if (Test-Path -Path $paths.AuditEvidenceDirectory) { $evidenceFiles = Get-ChildItem -Path $paths.AuditEvidenceDirectory -File -Recurse -ErrorAction SilentlyContinue $summary.AuditEvidenceCount = $evidenceFiles.Count } else { Write-Host "Map voor auditbewijsstukken ontbreekt: $($paths.AuditEvidenceDirectory)" -ForegroundColor Yellow } if (Test-Path -Path $paths.ComplianceReportsDirectory) { $reportFiles = Get-ChildItem -Path $paths.ComplianceReportsDirectory -File -ErrorAction SilentlyContinue $summary.ComplianceReportsCount = $reportFiles.Count } else { Write-Host "Map voor compliance-rapportages ontbreekt: $($paths.ComplianceReportsDirectory)" -ForegroundColor Yellow } if (Test-Path -Path $paths.ImprovementPlansDirectory) { $improvementFiles = Get-ChildItem -Path $paths.ImprovementPlansDirectory -File -ErrorAction SilentlyContinue $summary.ImprovementPlansCount = $improvementFiles.Count } else { Write-Host "Map voor verbeterplannen ontbreekt: $($paths.ImprovementPlansDirectory)" -ForegroundColor Yellow } if (Test-Path -Path $paths.IncidentReportsPath) { $incidentFiles = Get-ChildItem -Path $paths.IncidentReportsPath -File -ErrorAction SilentlyContinue $summary.IncidentReportsCount = $incidentFiles.Count } else { Write-Host "Map voor incidentmeldingen ontbreekt: $($paths.IncidentReportsPath)" -ForegroundColor Yellow } Write-Host "" Write-Host "Samenvatting:" -ForegroundColor Cyan Write-Host (" Documentatiemap aanwezig : {0}" -f ($summary.DocsRootExists)) -ForegroundColor Cyan Write-Host (" Compliance-beleidsdocument aanwezig : {0}" -f ($summary.PolicyExists)) -ForegroundColor Cyan Write-Host (" Zelfevaluatie aanwezig : {0}" -f ($summary.SelfAssessmentExists)) -ForegroundColor Cyan Write-Host (" Aantal auditbewijsstukken : {0}" -f ($summary.AuditEvidenceCount)) -ForegroundColor Cyan Write-Host (" Aantal compliance-rapportages : {0}" -f ($summary.ComplianceReportsCount)) -ForegroundColor Cyan Write-Host (" Aantal verbeterplannen : {0}" -f ($summary.ImprovementPlansCount)) -ForegroundColor Cyan Write-Host (" Aantal incidentmeldingen : {0}" -f ($summary.IncidentReportsCount)) -ForegroundColor Cyan return $summary } function Invoke-ComplianceReport { <# .SYNOPSIS Genereert een beknopt compliance-rapport op basis van verificatieresultaten. .PARAMETER Result Het resultaatobject dat is teruggegeven door Invoke-ComplianceVerification. .PARAMETER OutputPath Pad naar het tekstbestand waarin het rapport wordt opgeslagen. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [pscustomobject]$Result, [Parameter(Mandatory = $true)] [string]$OutputPath ) $folder = Split-Path -Path $OutputPath -Parent if (-not [string]::IsNullOrWhiteSpace($folder) -and -not (Test-Path -Path $folder)) { New-Item -Path $folder -ItemType Directory -Force | Out-Null } $lines = @() $lines += "NIS2 Compliance-rapport" $lines += "Nederlandse Baseline voor Veilige Cloud" $lines += ("Datum: {0}" -f (Get-Date -Format "yyyy-MM-dd HH:mm")) $lines += "" $lines += "1. Samenvatting van de compliance-verificatie" $lines += (" Documentatiemap aanwezig : {0}" -f $Result.DocsRootExists) $lines += (" Compliance-beleidsdocument aanwezig : {0}" -f $Result.PolicyExists) $lines += (" Zelfevaluatie aanwezig : {0}" -f $Result.SelfAssessmentExists) $lines += (" Aantal auditbewijsstukken : {0}" -f $Result.AuditEvidenceCount) $lines += (" Aantal compliance-rapportages : {0}" -f $Result.ComplianceReportsCount) $lines += (" Aantal verbeterplannen : {0}" -f $Result.ImprovementPlansCount) $lines += (" Aantal incidentmeldingen : {0}" -f $Result.IncidentReportsCount) $lines += "" $lines += "2. Interpretatie" $lines += " Dit rapport geeft een eerste indicatie of de belangrijkste bouwstenen van" $lines += " NIS2-compliance zoals beschreven in de Nederlandse Baseline voor Veilige Cloud" $lines += " aanwezig zijn. Het vervangt geen volledige audit, maar kan worden gebruikt om" $lines += " verbeteracties te prioriteren en voortgang richting bestuur, directie en" $lines += " toezichthouders te rapporteren." $lines += "" $lines += "3. Aanbevelingen" if (-not $Result.DocsRootExists) { $lines += " - Richt de documentatiemap voor NIS2-compliance in" } if (-not $Result.PolicyExists) { $lines += " - Stel een NIS2-compliance beleidsdocument op" } if (-not $Result.SelfAssessmentExists) { $lines += " - Voer een periodieke zelfevaluatie uit en documenteer de resultaten" } if ($Result.AuditEvidenceCount -eq 0) { $lines += " - Verzamel en organiseer auditbewijsstukken per NIS2-artikel" } if ($Result.ComplianceReportsCount -eq 0) { $lines += " - Stel periodieke compliance-rapportages op voor management en toezichthouders" } if ($Result.ImprovementPlansCount -eq 0) { $lines += " - Formuleer verbeterplannen op basis van bevindingen uit verificaties en audits" } $lines | Out-File -FilePath $OutputPath -Encoding UTF8 -Force Write-Host "Compliance-rapport aangemaakt: $OutputPath" -ForegroundColor Green } function Invoke-ImprovementPlan { <# .SYNOPSIS Genereert een verbeterplan-sjabloon op basis van compliance-verificatieresultaten. .PARAMETER Result Het resultaatobject dat is teruggegeven door Invoke-ComplianceVerification. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [pscustomobject]$Result ) $paths = Get-CompliancePaths if (-not (Test-Path -Path $paths.ImprovementPlansDirectory)) { New-Item -Path $paths.ImprovementPlansDirectory -ItemType Directory -Force | Out-Null } $improvementFile = Join-Path $paths.ImprovementPlansDirectory "verbeterplan-nis2-compliance-$(Get-Date -Format 'yyyy-MM-dd').md" $template = @" # Verbeterplan NIS2 Compliance Laatst bijgewerkt: $(Get-Date -Format "yyyy-MM-dd") Eigenaar verbeterplan: [Naam / functie] ## 1. Aanleiding Dit verbeterplan is opgesteld op basis van de NIS2 compliance-verificatie uitgevoerd op $(Get-Date -Format "yyyy-MM-dd HH:mm"). Het plan beschrijft concrete acties om tekortkomingen in NIS2-compliance te adresseren en de compliance-status te verbeteren. ## 2. Bevindingen uit verificatie - Documentatiemap aanwezig: $($Result.DocsRootExists) - Compliance-beleidsdocument aanwezig: $($Result.PolicyExists) - Zelfevaluatie aanwezig: $($Result.SelfAssessmentExists) - Aantal auditbewijsstukken: $($Result.AuditEvidenceCount) - Aantal compliance-rapportages: $($Result.ComplianceReportsCount) - Aantal verbeterplannen: $($Result.ImprovementPlansCount) - Aantal incidentmeldingen: $($Result.IncidentReportsCount) ## 3. Verbeteracties | Prioriteit | Actie | Eigenaar | Streefdatum | Status | Opmerkingen | |-----------|-------|----------|-------------|--------|-------------| | Hoog | [Beschrijf de belangrijkste verbeteractie] | [Naam] | [Datum] | Open | | | | | | | | | ## 4. Planning en voortgang Beschrijf hier de planning voor implementatie van verbeteracties en hoe voortgang wordt gemonitord. ## 5. Follow-up Beschrijf hier hoe dit verbeterplan wordt opgevolgd en wanneer een herbeoordeling plaatsvindt. "@ $template | Out-File -FilePath $improvementFile -Encoding UTF8 -Force Write-Host "Verbeterplan aangemaakt: $improvementFile" -ForegroundColor Green } try { Write-Host "" Write-Host "========================================" -ForegroundColor Cyan Write-Host "NIS2 Handhaving en Compliance" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $result = $null if ($ComplianceVerification) { $result = Invoke-ComplianceVerification if ($DebugMode) { return $result } } if ($ComplianceReport) { if (-not $result) { $result = Invoke-ComplianceVerification } if ([string]::IsNullOrWhiteSpace($OutputPath)) { throw "Parameter -OutputPath is verplicht bij gebruik van -ComplianceReport." } Invoke-ComplianceReport -Result $result -OutputPath $OutputPath } if ($ImprovementPlan) { if (-not $result) { $result = Invoke-ComplianceVerification } Invoke-ImprovementPlan -Result $result } if (-not $ComplianceVerification -and -not $ComplianceReport -and -not $ImprovementPlan) { Write-Host "" Write-Host "Geen modus opgegeven. Gebruik een van de volgende opties:" -ForegroundColor Yellow Write-Host " -ComplianceVerification Controleer de aanwezigheid van kernstukken voor NIS2-compliance." -ForegroundColor Yellow Write-Host " -ComplianceReport Genereer een compliance-rapport op basis van verificatieresultaten (vereist -OutputPath)." -ForegroundColor Yellow Write-Host " -ImprovementPlan Genereer een verbeterplan op basis van verificatieresultaten." -ForegroundColor Yellow Write-Host " -DebugMode Gebruik voorbeelddata voor een veilige lokale test (alleen in combinatie met -ComplianceVerification)." -ForegroundColor Yellow } } catch { Write-Error "Fout in nis2-enforcement-index.ps1: $_" throw } finally { Write-Host "" Write-Host "========================================" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Critical: Zonder gestructureerde aanpak voor NIS2-handhaving en compliance-verificatie blijft onduidelijk of de organisatie voldoet aan alle vereisten. Dit vergroot het risico op aanzienlijke sancties, reputatieschade en mogelijke stopzetting van activiteiten bij toezichtbezoeken of na incidenten.

Management Samenvatting

Richt een integraal compliance-verificatie- en auditvoorbereidingsraamwerk in met periodieke zelfevaluaties, gestructureerd beheer van auditbewijzen, voorbereiding op toezichtbezoeken en continue monitoring en rapportage. Koppel bevindingen aan verbeterplannen en governance, zodat NIS2-compliance aantoonbaar wordt beheerst en de organisatie proactief werkt aan continue verbetering.