Nieuws

Fendix gaat van start met NIS2 Quality Mark implementaties

Fendix gaat van start met NIS2 Quality Mark implementaties
Bij Fendix zijn we gestart met de eerste trajecten voor het implementeren van de NIS2 Quality Mark. De NIS2 Quality Mark (QM) is een keurmerk dat is ontwikkeld naar aanleiding van de Europese NIS2-richtlijn. We zijn in gesprek gegaan met onze collega Jelle, Senior Consultant bij Fendix, om te bespreken hoe hij het ervaart.
Dit artikel is voor het laatst bijgewerkt op
8/10/2025

Wat is de NIS2 Quality Mark?

De NIS2-richtlijn richtlijn legt de nadruk op digitale veiligheid en ketenverantwoordelijkheid. Ben je een NIS2-organisatie? Dan moet niet alleen jouw organisatie veilig zijn, maar ook alle organisaties binnen jouw keten. Met het NIS2 Quality Mark kunnen de leveranciers van NIS2-plichtige organisaties aantonen dat ze hun cybersecurity op orde hebben.

 

Het keurmerk werkt met drie niveaus:

 

  • QM10 (Basic) – de basismaatregelen voor organisaties met een lager risicoprofiel
  • QM20 (Substantial) – voor organisaties met meer risico’s, waar ook Operational Technology (OT) wordt meegenomen
  • QM30 (High) – het hoogste niveau, voor organisaties in kritieke ketens of waar de impact van incidenten groot kan zijn

 

Hoe verloopt zo'n implementatie?

Jelle vertelde hoe we zo’n traject aanpakken bij Fendix. Het proces lijkt sterk op een ISO 27001-traject, maar met OT als belangrijke toevoeging bij QM20 en QM30.

 

“We starten altijd met een GAP-analyse. Daarmee brengen we in kaart waar de organisatie nu staat en waar nog hiaten zitten", zegt Jelle.

Bij de organisatie waar Jelle nu actief is, was er nog geen ISO 27001-gecertificeerd ISMS geïmplementeerd. Er is iemand aangenomen om alle documentatie op te zetten, terwijl we vanuit de GAP-analyse de pijnpunten inzichtelijk maken en prioriteren.

 

“Nadat de risicoanalyse is voltooid, gaan we aan de slag met het opstellen en implementeren van beleid en maatregelen. Denk aan technische oplossingen, processen en duidelijke verantwoordelijkheden", geeft Jelle aan.

Volgens het NIS2 Quality Mark High (30) dienen organisaties bijvoorbeeld:

 

  • met behulp van een procedure en een checklist, te zorgen dat medewerkers en inhuurkrachten bedrijfsmiddelen (zoals laptops, telefoons, keycards en sleutels) inleveren na het aflopen of aanpassen van hun arbeidsovereenkomst (1.8);
  • een procedure te implementeren die ervoor moet zorgen dat toegangsrechten op de juiste wijze worden verstrekt, aangepast en verwijderd (1.14);
  • ervoor te zorgen dat medewerkers en inhuurkrachten een geheimhoudingsovereenkomst ondertekenen, waarin wordt vastgelegd dat vertrouwelijke informatie die tijdens de samenwerking wordt uitgewisseld, niet openbaar mag worden gemaakt aan derden (2.5);
  • logbestanden van relevante gebeurtenissen te registreren en te analyseren (4.11);
  • op basis van een risicobeoordeling regels op te stellen en toe te passen die duidelijk maken in welke gevallen opgeslagen en verzonden informatie beveiligd moet worden met een specifieke vorm van cryptografie (4.12).

 

Bij OT-onderdelen komt vaak veel extra aandacht kijken, omdat die systemen direct verweven zijn met bedrijfsprocessen. Daarnaast is een belangrijk onderdeel bewustwording en draagvlak. Digitale veiligheid is namelijk niet alleen een kwestie van IT, maar van de hele organisatie. “Medewerkers moeten weten wat hun rol is en waarom bepaalde maatregelen nodig zijn", vertelt Jelle.

 

Nog een uitdaging

De implementatie van de Nederlandse NIS2-richtlijn (Cyberbeveiligingswet) is uitgesteld naar Q2 van 2026. Doordat de invoering van NIS2 is vertraagd, wachten veel organisaties af. “Dat is riskant”, vindt Jelle. “Zo ontstaat er niet snel genoeg urgentie bij de organisaties. De implementatie van de wet gaat er hoe dan ook komen. Wie nu al begint met het Quality Mark, loopt voorop en voorkomt dat het traject straks in tijdsdruk komt."

 

Waarom is dit belangrijk?

Een NIS2 Quality Mark laat zien dat je serieus werk maakt van digitale veiligheid. Steeds vaker wordt er door klanten, partners en toezichthouders gevraagd om aantoonbare zekerheid. Zonder plan B of exitstrategie ben je afhankelijk, en als het misgaat zijn de gevolgen niet alleen technisch, maar ook operationeel en reputatiegericht.

Het keurmerk helpt je daarom om stap-voor-stap-grip te krijgen op die verantwoordelijkheid, met een niveau dat past bij jouw organisatie.

 

De eerste trajecten zijn gestart

Bij Fendix zijn we inmiddels begonnen met de eerste NIS2 Quality Mark implementaties. Onze consultants begeleiden organisaties van GAP-analyse tot en met beleid en implementatie. We zien dat ook organisaties zonder ISO 27001-certificering grote stappen kunnen zetten wanneer er duidelijke handvatten zijn en goede begeleiding.

 

Meer weten?

Wil je weten welk niveau (QM10, QM20 of QM30) bij jouw organisatie past? Of waar je nu staat en wat er nodig is om te starten? We helpen je graag.

 

Neem gerust contact met ons op voor een vrijblijvend gesprek. Samen kijken we wat de beste aanpak is voor jouw organisatie.

Mathijs Oppelaar
Operationeel Manager
085 773 60 05
Naar nieuwsoverzicht

Gerelateerde artikelen

Nieuws
Check in tijdens de Fendix Babbel: hoe gaat het met je?
lees meer
Klantcase
Klantcase: Hoe zorgorganisatie Stap & Care Groep ISO 27001 & NEN 7510 is gecertificeerd met ClickUp
lees meer
KAM Certificeringen is nu Fendix

Wij zijn partner van

SGS
BSI
TUV
DEKRA
KIWA
Brand Compliance
LRQA
DNV
Digitrust