Welke NIS2 documenten heb je nodig? Complete checklist Art. 21

Waarom documentatie essentieel is voor NIS2

NIS2 compliance draait niet alleen om technische maatregelen. De richtlijn vereist dat je kunt aantonen dat je passende maatregelen hebt genomen. Dat bewijs bestaat voor een groot deel uit documentatie: beleidsdocumenten, procedures, plannen en registers.

Bij een NIS2 audit of toezichtcontrole is het eerste dat een auditor vraagt: "Laat uw documenten zien." Zonder gedocumenteerd beleid kun je niet bewijzen dat je compliant bent, ook al heb je technisch alles op orde.

De 13 essentiële NIS2 documenten

Op basis van de 10 domeinen uit NIS2 Artikel 21 hebben wij een lijst opgesteld van de 13 documenten die elke organisatie nodig heeft:

Domein 1: Informatiebeveiligingsbeleid

1. 1Information Security Management System (ISMS) beleid — Het overkoepelende security-beleid van je organisatie
2. 2Risicobeoordeling en -behandelplan — Documentatie van geïdentificeerde risico's en gekozen maatregelen

Domein 2: Incidentbehandeling

1. 1Incident Response Plan — Stap-voor-stap procedures voor het detecteren, melden en afhandelen van incidenten

Domein 3: Bedrijfscontinuïteit

1. 1Business Continuity Plan (BCP) — Hoe je de bedrijfscontinuïteit waarborgt bij een verstoring
2. 2Disaster Recovery Plan (DRP) — Technische procedures voor het herstellen van systemen en data

Domein 4: Supply chain security

1. 1Leveranciersbeoordelingsbeleid — Hoe je de security van leveranciers beoordeelt en monitort

Domein 5: Beveiliging bij ontwikkeling en onderhoud

1. 1Secure Development & Change Management beleid — Procedures voor veilige ontwikkeling en wijzigingsbeheer

Domein 6: Effectiviteitsbeoordeling

1. 1Audit- en reviewkalender — Planning van interne audits, penetratietesten en beleidsreviews

Domein 7: Cyberhygiëne en training

1. 1Security Awareness Programma — Beschrijving van trainingen, frequentie en doelgroepen

Domein 8: Cryptografie

1. 1Encryptie- en cryptografiebeleid — Beleid voor het gebruik van versleuteling

Domein 9: Toegangsbeheer en assets

1. 1Toegangsbeheerbeleid — Wie heeft toegang tot wat, op basis van welke criteria
2. 2Asset Management Register — Inventaris van alle IT-assets en hun classificatie

Domein 10: MFA en communicatie

1. 1MFA- en communicatiebeleid — Beleid voor multi-factor authenticatie en beveiligde communicatie

Veelgemaakte fouten bij NIS2-documentatie

• Te generiek — Copy-paste templates die niet zijn afgestemd op je organisatie overtuigen geen auditor
• Niet bijgehouden — Een document uit 2023 zonder updates is waardeloos in 2026
• Niet geïmplementeerd — Een prachtig beleid dat niemand kent of volgt, is papieren compliance
• Verspreid opgeslagen — Documenten verspreid over SharePoint, e-mails en lokale schijven zijn onvindbaar bij een audit

PeopleRock's aanpak: 13 conceptdocumenten kant-en-klaar

Bij PeopleRock leveren we als onderdeel van het NIS2 compliance traject alle 13 conceptdocumenten kant-en-klaar aan. Deze zijn:

• Professioneel opgesteld door NIS2-specialisten
• Aanpasbaar aan jouw organisatie, sector en bestaande processen
• Versiebeheerd in het klantenportaal
• Gekoppeld aan de relevante controls zodat je kunt zien bij welk domein elk document hoort

Je hoeft niet vanaf nul te beginnen. Onze conceptdocumenten geven je een enorme voorsprong en zorgen ervoor dat je snel audit-ready bent.

Lees ook

• Cyberbeveiligingswet uitgelegd
• Wat is een NIS2 gap analyse?
• NIS2 security awareness training: verplicht of niet?

Vraag de NIS2 documenten-checklist aan →