Alle
NIS2
nieuws items
NIS2, bestuurstraining
3 min

RDI-quickscan: hoe ver zijn organisaties met NIS2?

De Rijksdienst Digitale Infrastructuur (RDI) heeft NIS2-quickscan resultaten voor alle 9 sectoren waarvoor zij toezichthouder wordt gepubliceerd. NIS2 bestuurderstraining staat bovenaan de lijst van aandachtspunten. Wat zijn de uitkomsten voor uw sector?
Gepubliceerd op
22/5/26

De Rijksinspectie Digitale Infrastructuur (RDI) heeft de resultaten gepubliceerd van de NIS2-quickscan voor alle negen sectoren waarvoor zij straks toezichthouder wordt. In de periode van februari 2024 tot en met september 2025 werd de zelfbeoordeling 3.389 keer anoniem ingevuld. De uitkomsten geven voor het eerst een breed beeld van waar Nederlandse organisaties staan in de voorbereiding op de Cyberbeveiligingswet (Cbw). De CBW is op 15 april aangenomen in de tweede kamer en wordt binnenkort in de eerste kamer behandeld.

RDI-toezicht

De RDI wordt toezichthouder op de Cbw voor negen sectoren. Er is een onderscheid tussen essentiële en belangrijke organisaties.

Essentiële organisaties vallen onder proactief toezicht — de RDI controleert naleving ook zonder dat er incidenten zijn:

  • Energie
  • Digitale infrastructuur
  • Beheer van ICT-diensten
  • Overheid (behalve waterschappen)
  • Ruimtevaart

Belangrijke organisaties vallen onder reactief toezicht — toezicht vindt voornamelijk achteraf plaats, bijvoorbeeld na een incident:

  • Post- en koeriersdiensten
  • Vervaardiging
  • Digitale aanbieders
  • Onderzoek (voor organisaties onder het ministerie van Economische Zaken en Klimaat)

Vijf aandachtspunten

Organisaties uit alle negen sectoren geven zelf aan dat zij nog werk te verzetten hebben op vijf gebieden:

  1. Trainen van alle leden van het bestuur. Dit is een nieuwe verplichting onder de Cbw. Uitvoerende bestuurders moeten aantoonbaar beschikken over kennis van cybersecurity — via een certificaat. Zij zijn eindverantwoordelijk voor governance en risicobeheersing, ook op het gebied van digitale veiligheid.
  2. Beveiliging van de toeleveringsketen. Organisaties moeten beleid ontwikkelen voor het verminderen van risico’s bij bestaande en nieuwe leveranciers, zowel digitaal als fysiek.
  3. Meldingsprocedure voor significante incidenten. Er moet een formeel proces zijn voor het melden van incidenten bij het sectorale CSIRT, bij voorkeur vastgelegd in een incident response plan.
  4. Beoordelen van de effectiviteit van maatregelen. Organisaties moeten periodiek en onafhankelijk toetsen of hun cyberbeveiligingsmaatregelen daadwerkelijk werken.
  5. Beleid over cryptografie en encryptie. Een formeel cryptografiebeleid beschrijft waar en hoe encryptie wordt toegepast — bij opgeslagen gegevens én bij gegevensoverdracht.

Bestuurderstraining: grootste aandachtspunt

Dat de training van bestuurders bovenaan de lijst staat, is veelzeggend. De Cbw maakt bestuurstraining een wettelijke verplichting. Uitvoerende bestuurders moeten na inwerkingtreding van de wet kunnen aantonen dat zij de risico’s voor hun organisatie kennen en kunnen beoordelen. Toezichthoudende bestuurders (commissarissen) en niet-uitvoerende bestuurders zijn uitgezonderd van deze verplichting. Onze ervaring is dat deelname aan de boardtraining door RvT / RvC en eventuele senior functies zoals hoofd IT, Legal, Risk of CISO tot goede gesprekken en discussies leiden.

Onze NIS2 Boardroom Training is specifiek ontwikkeld voor bestuurders van NIS2 organisaties. De training sluit aan op de eisen van de Cyberbeveiligingswet en -besluit en levert een certificaat op als bewijs van actuele kennis.

Vijf gebieden waar het al goed gaat

De quickscan laat ook positief nieuws zien. Organisaties zijn al goed op weg op deze vijf punten:

  • Incidentbehandeling: processen voor registratie, beoordeling, afhandeling en rapportage van incidenten zijn op orde.
  • Authenticatie en communicatiebeveiliging: multifactorauthenticatie en beveiligde communicatiesystemen zijn breed geïmplementeerd.
  • Rapportageverplichtingen: organisaties hebben procedures om klanten snel te informeren bij een incident.
  • Governance en bestuurlijke goedkeuring: verantwoordelijkheden voor informatiebeveiliging zijn belegd en het bestuur keurt maatregelen goed.
  • Beveiliging van netwerk- en informatiesystemen: organisaties hebben informatiebeveiligingsbeleid en monitoren hun systemen op kwetsbaarheden.

Wat kunt u nu doen?

De quickscan van de RDI is een nuttig startpunt, maar geen garantie voor compliance. Wilt u weten hoe ver uw organisatie is? Doe de NIS2-Quickscan zelf, en zorg dat uw bestuurders de juiste kennis hebben. Bekijk onze NIS2 Boardroom Training — specifiek ontwikkeld voor bestuurders met een wettelijke trainingsverplichting.

Nieuwsbrief
Ontvang 1 x per maand een korte update over digitale weerbaarheid.
Lees onze privacy policy.
Bedankt voor uw inschrijving!
Oops! er ging iets mis bij het versturen.
Alle nieuwsitems

Neem contact op

Heeft u vragen? Wij staan u graag te woord en nemen snel contact op.
Bedankt, uw bericht is ontvangen!
Oeps, er is iets mis gegaan. Probeer het a.u.b. nog een keer.