Voor directeuren en bestuurders in MKB en zorg die NIS-2 compliant moeten zijn vanwege ketenverantwoordelijkheid

Als directeur van een MKB-bedrijf of zorginstelling krijg je te maken met NIS-2 compliance – vaak niet omdat je organisatie zelf onder de richtlijn valt, maar omdat je ketenpartner dit van je eist. Je klanten in de zorg, overheid of industrie moeten NIS-2 compliant zijn, en daarom moet jij aantonen dat hun data bij jou veilig is.

Het probleem: compliance zonder context

De uitdaging is dat je als directeur antwoord moet geven op vragen als:

• “Zijn jullie NIS-2 compliant?”
• “Hebben jullie security awareness training?”
• “Hoe is jullie toegangsbeheer geregeld?”
• “Wat is jullie back-up strategie?”

En eerlijk? Je weet het vaak niet precies. Je IT-leverancier zegt “ja hoor, dat regelen wij”, maar je hebt geen inzicht. Geen dashboard. Geen objectieve status. Je moet het op hun woord geloven. Dat voelt niet comfortabel – en terecht.

Wat je als directeur nodig hebt

Je hoeft geen cybersecurity expert te worden. Maar je hebt wel behoefte aan:

1. Inzicht in je beveiligingsstatus “Waar staan we nu? Zijn we compliant of niet?”

2. Objectieve data. Niet: “We hebben dat geregeld” Maar: “94% van onze werkplekken heeft disk encryptie actief”

3. Eenvoudige rapportage. Naar je ketenpartner: “Hier is ons compliance dashboard” Naar je bestuur: “Dit is onze status, dit zijn de risico’s”

4. Waarde voor je investering. Is dit geld goed besteed? Krijg je er daadwerkelijk meer veiligheid voor?

5. Geen gedoe met tijdslijnen. Je hebt geen tijd voor maandenlange implementatietrajecten

De traditionele aanpak: duur en ondoorzichtig

Scenario: je belt een security consultant

• Week 1-2: Intakegesprekken, documenten verzamelen
• Week 3-4: Gap-analyse (€5.000-€10.000)
• Week 5-8: Implementatieplan opstellen
• Week 9-12: Trainingen organiseren
• Week 13-16: Audits en rapportage

Kosten: €15.000 – €30.000. Resultaat: Een rapport van 50 pagina’s en een certificaat. Probleem: Over 6 maanden is de informatie alweer verouderd en vanwege het uurloon is het verzamelen van data zeer kostbaar.

En je belangrijkste vraag blijft onbeantwoord: “Zijn we NU veilig?”

De Lupasafe aanpak: inzicht in uren, niet maanden

Wat je krijgt (concreet)

Als directeur log je in en ziet:

📊 Dashboard met compliance score

NIS-2 QM-10 BASIC Status: 87%

🟢 Compliant (8 van 17 controles)

🟡 In uitvoering (9 controles)

🔴 Aandacht nodig (1 controle)

Per control groep:

• Organisatorisch: 85% – Beleid akkoord, rollen benoemd ✅
• Personeel: 78% – Training: 39/50 medewerkers voltooid 🟡
• Technisch: 94% – Encryption, firewall, back-ups op orde ✅

Wat dit voor jou betekent

1. Je bent in control Je kunt op elk moment laten zien waar je staat. Geen verassingen bij audits.

2. Je hebt waarde voor je geld

• Zichtbaar: Exact welke medewerkers training nog moeten doen
• Meetbaar: Compliance score gaat van 78% naar 94%
• Actionable: “Deze 3 acties brengen ons naar 95%”

3. Je kunt sturen Je ziet: “Training compliance: 78%” Je vraagt HR: “Kunnen we die 11 medewerkers deze maand nog laten trainen?” Volgende week zie je: “Training compliance: 96%”

4. Je kunt rapporteren

• Naar ketenpartner: “Hier is onze NIS-2 status” (1 link naar dashboard)
• Naar bestuur: “We scoren 87%, branche gemiddelde is 72%”
• Naar IT-leverancier: “Computers zijn niet op orde”

Praktijkvoorbeeld: Directeur zorginstelling

Situatie: Martijn is directeur van een thuiszorgorganisatie met 45 medewerkers. Zijn grootste klant (ziekenhuis) eist NIS-2 compliance voor hun samenwerking.

Geen gedoe met tijdslijnen – het proces

Dag 1: Account openen

• Je IT-manager of leverancier koppelt je systemen
• Entra ID (Microsoft 365) verbinding
• Duur: 30 minuten

Dag 2: Eerste data

• Platform begint automatisch data te verzamelen
• Endpoints worden gescand
• Cloud configuratie geanalyseerd
• Duur: Gebeurt automatisch

Dag 3-7: Dashboard beschikbaar

• Je ziet je eerste compliance score
• Trainingen worden uitgerold
• Je hebt je eerste management rapportage

Geen maanden wachten. Geen dure consultants nodig.

De bestuurlijke controles – waar jij op let

Als directeur ben je verantwoordelijk voor het “waarom” en het “wat”, niet het “hoe”. Een voorbeeld van een aantal QM controls die jou grip geven:

1. Informatiebeveiligingsbeleid (1.2)

Wat je moet weten: Is er een goedgekeurd beleid? Wat Lupasafe laat zien: ✅ Beleid aanwezig, goedgekeurd op 15-03-2024 Jouw actie: Beleid jaarlijks accorderen

2. Verantwoordelijkheden cybersecurity (1.3)

Wat je moet weten: wie is waarvoor verantwoordelijk? 

Wat Lupasafe laat zien:

• Directeur: J. Smit (jij)
• IT-manager: P. de Vries
• DPO: M. Janssen Jouw actie: Bevestigen dat rollen correct zijn

3. Security awareness Training (2.2)

Wat je moet weten: Zijn medewerkers opgeleid?

Wat Lupasafe laat zien:

Training status: 78%

• Management: 5/5 voltooid ✅
• Zorgpersoneel: 28/35 voltooid 🟡
• Ondersteunend: 6/10 voltooid 🟡
• Gemiddelde score: 8.1/10
• Laatste phishing test: 12% click rate (branche: 18%)

Jouw actie: HR opdracht geven achterblijvers te benaderen

Waarde voor je geld: de ROI

Een korte vergelijking tussen traditioneel en met Lupasafe

Besparing: €17.160 per jaar

Maar belangrijker dan de kosten: Je krijgt ook daadwerkelijk meer veiligheid

Voorbeeld risk reductie:

Voor Lupasafe: “Volgens IT-leverancier hebben alle laptops disk encryptie”

Met Lupasafe: “Alle laptops zijn compliant, ook de thuiswerk apparaten”

Verschil: Je weet het ZEKER. En als het niet klopt, zie je dat direct.

De business case voor je bestuur

Investering

€3.000 – €5.000 per jaar (afhankelijk van aantal gebruikers)

Baten

Harde baten:

• Compliance aan ketenverplichtingen → contracten behouden
• Voorkom non-compliance boetes (tot €10M)
• Reductie consultant kosten: €10.000-€15.000/jaar
• Reductie audit-voorbereidingstijd: 80%

Zachte baten:

• Transparantie naar bestuur en toezichthouders
• Competitief voordeel bij aanbestedingen
• Vertrouwen bij klanten en partners
• Reputatiebescherming bij incidenten
• Geen verrassingen bij vragen, snel reageren op verzoeken van klanten

Terugverdientijd

3-6 maanden (door consultancy en audit-besparingen)

Praktische stappen

Stap 1: Oriëntatie (Deze week)

• Demo aanvragen bij Lupasafe
• Bespreek met IT-manager/leverancier
• Bekijk voorbeelddashboard

Stap 2: Besluit (Volgende week)

• Business case voorleggen aan bestuur indien nodig
• Budget vrijmaken (€3-5K/jaar)
• Akkoord geven voor implementatie
• Jij benoemt verantwoordelijken

Stap 3: Implementatie door IT / leverancier (Week 3)

• Na tekenen offerte kan IT-manager/leverancier account openen op Lupasafe
  • Koppelen van systemen (Lupasafe werkt op basis van enkel leesrechten, geen wijzig)
  • Uitrol van endpoints
  • Starten van netwerk scan
  • Koppelen van Microsoft 365 voor security checks
  • Monitoren van email verkeer
• Medewerkers krijgen trainingsuitnodiging (30+ talen)
• Phishing wordt gestart

Stap 4: In bedrijf (Week 4)

• Jij bekijkt eerste dashboard met IT
• Jij deelt link met ketenpartner
• Jij rapporteert status aan bestuur

Veelgestelde vragen van directeuren

“Moet ik nu zelf IT-expert worden?” Nee. Je krijgt management-informatie, geen technische details. Zoals je ook winstcijfers bekijkt zonder boekhouder te zijn.

“Kan mijn IT-leverancier dit niet gewoon regelen?” Kan, maar dan heb jij geen inzicht. Lupasafe geeft jou de regie. Je IT-leverancier kan ook toegang krijgen om te implementeren.

“Wat als we al compliant zijn?” Dan bevestigt Lupasafe dat objectief. Je hebt dan bewijsmateriaal voor audits en ketenpartners.

“Hoeveel tijd kost dit mij als directeur?”

• Opstartfase: max 1 uur (rollen benoemen, beleid accorderen)
• Lopend: 15 minuten per maand (dashboard bekijken)
• Rapportage: Automatisch gegenereerd

“Wat als we te veel non-compliante zaken vinden?” Het dashboard geeft prioriteiten. Je lost niet alles in één keer op. Je maakt een plan: eerst kritieke zaken (rode items), dan verbeterpunten (gele items).

“Kunnen we dit stapsgewijs doen?” Ja. Start met basis (QM-10), breid later uit naar QM-20 of QM-30 indien nodig voor je sector.

De ketenpartner rapportage

Wat je ketenpartner wil zien, kun je direct delen via volgende opties:

Optie 1: Delen van de detail (PDF, excel) rapportages

Je geeft toegang tot de compliance reports.

Optie 2: Dashboard toegang

Jij of IT geeft de auditor toegang tot jullie Lupasafe dashboard (portal user).

Optie 3: Certificaat

Na externe audit: NIS-2 QM-10 of QM-20 certificaat.

Wat ketenpartners waarderen:

• Transparantie (geen vage antwoorden)
• Objectiviteit (data, geen meningen)
• Actualiteit (geen jaaroud rapport)
• Traceerbaarheid (welke versie, wanneer)

Conclusie: van verplichting naar kans

NIS-2 ketenverantwoordelijkheid voelt als een last. Met Lupasafe wordt het een strategisch instrument:

✅ Je bent in control – Je weet waar je staat
✅ Je kunt sturen – Je ziet wat er moet gebeuren
✅ Je kunt rapporteren– Transparant naar alle stakeholders
✅ Je hebt waarde – Daadwerkelijk betere beveiliging, niet alleen papier
✅ Je bent efficiënt – Geen maanden implementatie, geen dure consultants

Volgende Stap

Direct inzicht in jouw situatie? Start met onze gratis NIS-2 Quick Scan (10 minuten) en ontdek waar je organisatie staat.

Vragen? Persoonlijk adviesgesprek? Plan een 30-minuten kennismaking met één van onze adviseurs. Geen verplichtingen, wel concrete antwoorden op jouw specifieke situatie.

Demo van het platform? Bekijk het dashboard zoals jij dat zou zien voor jouw organisatie.

Over de auteur: Dit artikel is geschreven voor directeuren en bestuurders in MKB en zorg die te maken krijgen met NIS-2 compliance vanwege ketenverantwoordelijkheid. Voor technische implementatiedetails, zie ons artikel voor IT-managers.