2LRN4 security awareness platform
NL · EN

NIS2 Checklist

NIS2 awareness checklist — wat moet aantoonbaar zijn?

NIS2 verplicht organisaties niet alleen om security awareness te organiseren, maar ook om het aantoonbaar te maken. In Nederland is de NIS2-richtlijn uitgewerkt in de Cyberbeveiligingswet (Cbw), die deze eisen juridisch bindend maakt. Deze checklist helpt om te toetsen of jouw programma voldoet aan artikel 20 en 21 en klaar is voor audit of managementrapportage.

Plan een demo NIS2 awareness platform

Deze checklist is gebaseerd op de NIS2-richtlijn — in Nederland uitgewerkt als de Cyberbeveiligingswet (Cbw) — artikel 20 (bestuurlijke opleiding en bewustmaking) en artikel 21 (maatregelen voor risicobeheer, inclusief opleiding van personeel). Gebruik hem als intern toetsinstrument, niet als juridisch advies.

A. Bestuurlijke verantwoordelijkheid (art. 20)

  • Het bestuur is aantoonbaar op de hoogte van de NIS2-verplichtingen rond bewustmaking.
  • Bestuurders volgen of hebben gevolgd een opleiding in cyberbeveiliging conform artikel 20.
  • Er is een vastgesteld eigenaarschap voor het awareness-programma op bestuurlijk niveau.
  • Boardrapportage over awareness wordt minimaal kwartaalsgewijs opgesteld en bewaard.
  • De organisatie kan aantonen dat management actief betrokken is bij risicobeoordeling.

B. Medewerkerstraining en bewustmaking (art. 21)

  • Alle medewerkers in scope ontvangen jaarlijks minimaal één security awareness training.
  • Trainingen dekken NIS2-relevante thema's: phishing, ransomware, toegangsbeheer, meldplicht, derde partijen.
  • Completion per medewerker en afdeling is traceerbaar en exporteerbaar.
  • Onboarding bevat een security awareness component voor nieuwe medewerkers.
  • Er is aantoonbaar verschil in training per risicogroep of functie (segmentatie).
  • Er is een herhaalstructuur: awareness wordt niet eenmalig maar periodiek aangeboden.

C. Phishing simulatie als gedragsmaatregel (art. 21 lid f)

  • De organisatie voert phishing simulaties uit als onderdeel van risicobeheer.
  • Resultaten worden bijgehouden: click rate, report rate, gedrag na simulatie.
  • Medewerkers die klikken worden begeleid, niet gesanctioneerd (blame-free cultuur).
  • Phishing-opvolging is gekoppeld aan gerichte training of uitleg.
  • Er is een minimum simulatiefrequentie van 4 tot 6 keer per jaar.

D. Rapportage en auditbewijs

  • Rapportages zijn beschikbaar per periode, afdeling, entiteit of doelgroep.
  • Er zijn exporteerbare overzichten van deelname, voortgang en gedragsontwikkeling.
  • Het programma heeft een gedocumenteerde jaarplanning met thema's en momenten.
  • Er zijn vastgelegde KPI's voor awareness (completion, click rate, report rate).
  • Auditbewijs is beschikbaar voor externe toetsing of interne reviews.

E. Procesintegratie

  • Gebruikersbeheer is gekoppeld aan HR of Active Directory (geen handmatige lijsten).
  • Vertrek van medewerkers trekt automatisch licenties in of verhindert toegang.
  • Er zijn interne communicatiemomenten rondom awareness-thema's (nieuwsbrief, intranet, leidersvideo).
  • Het programma wordt minimaal jaarlijks geëvalueerd op effectiviteit en bijgesteld.
  • Er is een escalatiepad wanneer doelgroepen achterblijven op completion of gedrag.
Wat nu?

Wil je zien hoe 2LRN4 elke stap op deze checklist ondersteunt? Plan een demo en we lopen hem samen door op basis van jouw organisatiesituatie.

Plan een demo
Gerelateerde pagina's
NIS2 awareness platform Security awareness programma opzetten Board reporting voor awareness Phishing simulatie als maatregel