Wat is het verschil tussen NIST en NIS2 Supply Chain 10?
Als MKB-directeur hoort u beide termen, maar ze betekenen iets heel anders voor uw organisatie.
NIST CSF 2.0 is een Amerikaans raamwerk — een menukaart van best practices. Het is vrijwillig, niet verplicht, en niemand in Nederland gaat u erop auditen. Het is handig als referentie voor IT-teams om te structureren wat ze doen, maar het levert geen certificaat en geen juridische bescherming op.
NIS2 Supply Chain 10 is een Nederlands certificeringsschema dat direct voortkomt uit de Cyberbeveiligingswet. Het is concreet: 17 controls, een externe audit en een erkend certificaat. Uw opdrachtgevers in sectoren als zorg, energie, transport en overheid gaan dit certificaat van u vragen — omdat zij wettelijk verplicht zijn hun leveranciers te controleren.
| NIST CSF 2.0 | NIS2 Supply Chain 10 | |
|---|---|---|
| Verplicht? | Nee, vrijwillig | Ja, via ketenverantwoordelijkheid |
| Certificaat? | Nee | Ja, na externe audit |
| Wie vraagt erom? | Voornamelijk internationale organisaties | Uw opdrachtgevers in NIS2-sectoren |
| Juridisch gevolg? | Geen | Contractverlies bij niet-voldoen, bestuurlijke aansprakelijkheid |
| Kosten niet-voldoen? | Geen directe kosten | Verlies van opdrachten + boetes tot 10 miljoen euro voor uw opdrachtgevers |
| Doorlooptijd? | Niet van toepassing | 3-6 maanden tot certificering |
| Voordelen? | Goede interne structuur voor uw IT-team | Erkend certificaat, contractzekerheid, concurrentievoordeel in de keten |
Kortom: NIST is een handboek. Supply Chain 10 is uw license to operate richting grote opdrachtgevers. Als MKB-directeur hoeft u NIST niet te kennen — u hoeft te weten dat Supply Chain 10-certificering uw contracten beschermt en dat Lupasafe het bewijs levert dat de auditor nodig heeft. Doe de NIS2 Quick Scan om te zien waar u staat.
Werkt uw IT-partner al volgens het NIST-framework? Dan ligt de technische basis er al. De NIST-structuur mapt vrijwel 1-op-1 op de 17 Supply Chain 10-controls. Certificering is dan geen nieuw project, maar het formaliseren van wat u al doet. Lupasafe maakt dat bewijs zichtbaar en rapporteerbaar zodat de auditor het kan toetsen.
Hoe verhoudt Lupasafe zich tot het NIST-framework?
Lupasafe in uw stack
| Laag | Tool | Rol |
|---|---|---|
| Compliance & Awareness | Lupasafe | Beleid, training, monitoring, bewijs, rapportage |
| Endpoint Management | RMM (Datto, NinjaOne, Intune) | Patching, configuratie, deployment |
| Threat Detection & Response | EDR/XDR (Defender, SentinelOne) | Malwaredetectie, isolatie, respons |
| Back-up & Herstel | Back-up (Veeam, Datto BCDR) | Data-bescherming, disaster recovery |
| Identity & Access | Entra ID / Google Workspace | MFA-afdwinging, conditional access |
Lupasafe past in de bovenste laag en haalt data uit de onderliggende lagen om een compliance-beeld te creeren voor NIS2, ISO 27001 en het NIST Cybersecurity Framework.
Totaaloverzicht NIST CSF 2.0
Het NIST Cybersecurity Framework 2.0 kent zes functies en 22 categorieen. Hieronder ziet u per functie hoeveel categorieen Lupasafe volledig, gedeeltelijk of niet dekt.
| NIST CSF 2.0 Functie | Volledig | Gedeeltelijk | Niet gedekt |
|---|---|---|---|
| Govern (Bestuur) | 3 | 3 | 0 |
| Identify (Identificeren) | 1 | 2 | 0 |
| Protect (Beschermen) | 1 | 3 | 1 |
| Detect (Detecteren) | 1 | 1 | 0 |
| Respond (Reageren) | 0 | 2 | 2 |
| Recover (Herstellen) | 0 | 1 | 1 |
| Totaal (22 categorieen) | 6 (27%) | 12 (55%) | 4 (18%) |
1. Govern (Bestuur)
Het vaststellen en bewaken van de cybersecuritystrategie, verwachtingen en beleid van de organisatie.
| Categorie | Status | Toelichting |
|---|---|---|
| GV.OC Organisatiecontext | Gedeeltelijk | Compliance-dashboard toont beveiligingsposture en trends, maar Lupasafe voert geen bedrijfscontext- of missieanalyse uit. U bepaalt zelf welke assets kritiek zijn. |
| GV.RM Risicomanagement | Gedeeltelijk | CVSS- en EPSS-risicoscoring per kwetsbaarheid, dark web dreigingsdata. Geen volledige risicomanagementmethodologie (zoals ISO 31000). Lupasafe levert de indicatoren; u voert de beoordeling uit. |
| GV.RR Rollen | Volledig | NIS2-rolbenoeming in het dashboard (DPO, Security Officer, Incident Manager). Eigenaar per control toewijsbaar. Audit trail van wie wat heeft goedgekeurd. |
| GV.PO Beleid | Volledig | Beleidsdocumenten uploaden met versiebeheer, goedkeuringsdatum, herzieningstermijn en eigenaar. Templates voor Information Security Policy, BCP/DRP, Backup & Recovery, Remote Working, Supplier Agreements. |
| GV.OV Toezicht | Volledig | Live compliance-dashboard met trendgrafiek, compliancepercentage, aanbevolen volgende actie. Maandelijkse branded PDF-rapporten. Rapportage voor bestuur zonder technische kennis. |
| GV.SC Leveranciersketen | Gedeeltelijk | Leveranciersrisicoclassificatie, contractuele afspraken bijhouden, jaarlijkse review-herinneringen. Geen actieve scanning van leverancierssystemen; u documenteert, Lupasafe bewaart het bewijs. |
2. Identify (Identificeren)
Het begrijpen van de huidige cybersecurityrisico’s van de organisatie.
| Categorie | Status | Toelichting |
|---|---|---|
| ID.AM Asset management | Volledig | Endpoint-agent inventariseert alle software en versies (elke 2 uur). Netwerkscanner detecteert apparaten (IP, OS, poorten). M365-audit brengt cloud-assets in kaart. Domeinscanner identificeert externe assets. Tags, prioriteit en eigenaar per asset instelbaar. |
| ID.RA Risicobeoordeling | Gedeeltelijk | CVE-matching via NVD/CISA/ExploitDB. CVSS (ernst) + EPSS (exploitkans 30 dagen) per kwetsbaarheid. Dark web monitoring op gelekte credentials. Geen formele risicobeoordelingsmethodologie; Lupasafe levert de indicatoren, u voert de beoordeling uit. |
| ID.IM Verbetering | Gedeeltelijk | Trendgrafieken over tijd, “aanbevolen volgende actie”-widget, compliance-voortgang. Geen formeel verbeterproces of PDCA-cyclus ingebouwd. |
3. Protect (Beschermen)
Het gebruik van beveiligingsmaatregelen om cybersecurityrisico’s te beheersen.
| Categorie | Status | Toelichting |
|---|---|---|
| PR.AA Identiteits- en toegangsbeheer | Gedeeltelijk | M365-audit op MFA-status per gebruiker, legacy protocollen (IMAP/POP3), rolgebaseerde toegangscontrole. SSO via Entra ID/Google/SAML/OIDC. Lupasafe monitort en rapporteert maar dwingt geen beleid af. Afdwinging is de taak van uw identity provider. |
| PR.AT Bewustwording en training | Volledig | Kernmodule. E-learning met jaarplanning (36 maanden), rolspecifieke modules (AI, Phishing, Wachtwoorden, Thuiswerken, Copilot, Incidentrespons). Phishingsimulaties (e-mail, QR-code, credential harvesting, spear phishing). Automatische inschrijving via AAD. Verplichte remediatietraining na klik. Maandelijkse branded PDF-rapporten. |
| PR.DS Databeveiliging | Niet gedekt | Lupasafe biedt geen Data Loss Prevention, encryptiebeheer, dataclassificatie of datamaskering. Hiervoor heeft u aanvullende tooling nodig (bijv. Microsoft Purview, Endpoint DLP). |
| PR.PS Platformbeveiliging | Gedeeltelijk | Endpoint-agent detecteert ontbrekende patches, kwetsbare software, antivirusstatus, schijfversleuteling en adminrechten. Lupasafe detecteert maar patcht niet. Uitrollen van updates is de taak van uw RMM-tool. |
| PR.IR Infrastructuurweerbaarheid | Gedeeltelijk | BCP/DRP-templates met versiebeheer, back-up testregistratie (type, resultaat, hersteltijd). Lupasafe voert geen back-ups uit en beheert geen redundante infrastructuur. |
4. Detect (Detecteren)
Het vinden en analyseren van mogelijke cybersecurityaanvallen en compromitteringen.
| Categorie | Status | Toelichting |
|---|---|---|
| DE.CM Continue monitoring | Volledig | Dark web monitoring (20+ miljard records, elke 7 dagen + HIBP). Domein- en IP-scanning (poort 1-65535, wekelijks). Endpoint-compliance (elke 2 uur). M365 Secure Score (wekelijks). DMARC-rapportage (continu). Netwerkscanner (continu). |
| DE.AE Analyse ongewenste gebeurtenissen | Gedeeltelijk | Prioriteitsscore per kwetsbaarheid (CVSS+EPSS), trending, filtering en drill-down. Autotask-tickets bij kritieke bevindingen. Lupasafe is geen SIEM of SOC. Geen logcorrelatie, geen gedragsanalyse, geen real-time threat hunting. |
5. Respond (Reageren)
Het ondernemen van actie bij een gedetecteerd cybersecurityincident.
| Categorie | Status | Toelichting |
|---|---|---|
| RS.MA Incidentmanagement | Gedeeltelijk | Incidentprocedure-template, incidentmanager-rol toewijsbaar, meldpunt registreren. E-learning module incidentrespons. Geen incident response platform, geen ticketworkflow, geen playbooks, geen automatische containment. |
| RS.AN Incidentanalyse | Niet gedekt | Geen forensische analyse, geen logcorrelatie, geen root cause analysis. Hiervoor heeft u een SIEM, EDR/XDR of forensisch team nodig. |
| RS.CO Incidentcommunicatie | Gedeeltelijk | Autotask-integratie maakt automatisch tickets aan. Alerting via e-mail. Geen incidentcommunicatieplatform, geen geautomatiseerde meldingen aan toezichthouders. |
| RS.MI Incidentmitigatie | Niet gedekt | Lupasafe kan geen systemen isoleren, geen malware verwijderen, geen accounts blokkeren, geen firewallregels aanpassen. Alle actieve respons via uw RMM, EDR of identity provider. |
6. Recover (Herstellen)
Het herstellen van assets en bedrijfsprocessen na een cybersecurityincident.
| Categorie | Status | Toelichting |
|---|---|---|
| RC.RP Herstelplanning | Gedeeltelijk | BCP/DRP-templates, back-up testregistratie (testdatum, resultaat, hersteltijd, scope). Lupasafe voert geen herstel uit; het documenteert uw herstelplannen en testresultaten. |
| RC.CO Herstelcommunicatie | Niet gedekt | Geen geautomatiseerde communicatie naar stakeholders na een incident. Geen post-incident rapportage-wizard. |
Waar u aanvullende tooling nodig heeft
| Gap | Wat u nodig heeft | Voorbeelden |
|---|---|---|
| Databeveiliging (PR.DS) | DLP, encryptiebeheer, dataclassificatie | Microsoft Purview, Endpoint DLP |
| Incidentanalyse (RS.AN) | SIEM, logcorrelatie, forensisch onderzoek | Microsoft Sentinel, Splunk, CrowdStrike |
| Incidentmitigatie (RS.MI) | EDR/XDR, actieve respons, isolatie | Microsoft Defender for Endpoint, SentinelOne |
| Herstelcommunicatie (RC.CO) | Incidentcommunicatieplan, stakeholdernotificatie | Handmatig proces of crisismanagement tool |
Conclusie
Sterk: Govern, Identify en Detect. Beleidsbeheer, asset-inventarisatie, continue monitoring, compliance-rapportage en awareness training zijn de kern van het platform.
Aanvullend: Protect en Respond gedeeltelijk. Lupasafe detecteert problemen (ontbrekende patches, MFA niet actief, kwetsbare software) maar lost ze niet zelf op. De MSP of IT-afdeling voert de remediatie uit.
Gaps: Databeveiliging, incidentanalyse, actieve respons en herstelcommunicatie. Hier heeft u aanvullende tooling nodig.
Lupasafe is geen all-in-one cybersecurity oplossing. Het is het compliance- en monitoringplatform dat de zichtbaarheid en het bewijs levert die een MSP, auditor of bestuurder nodig heeft. Het vervangt niet uw RMM, EDR, SIEM of back-up oplossing; het vult deze aan door de compliance-laag en het menselijke bewustzijn te automatiseren.
Wilt u weten hoe uw organisatie scoort?
Doe de gratis NIS2 Quick Scan en ontdek binnen 5 minuten waar uw organisatie staat. U ontvangt direct een persoonlijk rapport met concrete verbeterpunten.
Start de NIS2 Quick Scan →