Terug naar kennisbank

Scannen is geen NIS2-compliance — maar wel een noodzakelijke bouwsteen

Gepubliceerd op 26 mei 2026

Er bestaat een aantrekkelijke belofte in de markt: koop een scanner, draai een rapport, en je bent "NIS2-compliant". Het klinkt geruststellend, maar het klopt niet. Wij vinden dat je dat moet weten — juist omdat we zelf scans aanbieden. Een leverancier die overclaimt, ondermijnt precies het vertrouwen dat hij zou moeten opbouwen. Dit artikel legt eerlijk uit wat scannen wél en niet doet voor je NIS2-positie.

Wat NIS2 méér vraagt dan techniek

NIS2 en de Nederlandse Cyberbeveiligingswet gaan over veel meer dan het opsporen van kwetsbaarheden. De wet vraagt om een samenhangend stelsel van maatregelen, waaronder:

• Governance en bestuurlijke verantwoordelijkheid: het bestuur is aansprakelijk voor cyberveiligheid en moet er aantoonbaar op sturen.
• Risicomanagement: een doorlopend proces om risico's te identificeren, te wegen en te behandelen.
• Incidentmelding: significante incidenten moeten binnen strakke termijnen worden gemeld bij de toezichthouder.
• Beleid, processen en mensen: van toegangsbeheer en back-ups tot bewustwording en oefeningen.
• Ketenzorgplicht: het beoordelen en borgen van de veiligheid van je leveranciers.

Een scanner raakt geen van deze onderdelen volledig. Een rapport vol bevindingen vervangt geen risicoanalyse, geen meldproces en geen bestuurlijk besluit. Scannen alleen maakt je dus niet NIS2-compliant, en iedereen die dat belooft, verkoopt je een illusie.

Waarom scannen toch onmisbaar is

Tegelijk geldt het omgekeerde net zo hard: NIS2 noemt het beheersen van kwetsbaarheden expliciet als verplichte maatregel. Je kúnt geen geloofwaardig risicomanagement voeren zonder te weten welke kwetsbaarheden je daadwerkelijk hebt. Scannen is daarmee een noodzakelijke bouwsteen: niet het hele bouwwerk, maar wel een fundament waar de rest op rust.

Het levert bovendien iets wat toezichthouders en grote klanten expliciet willen zien: verdedigbare evidence voor vulnerability management en de ketenzorgplicht. In plaats van "wij letten op beveiliging" leg je een gedateerd, herleidbaar overzicht op tafel van wat er gevonden is en wat ermee is gedaan. Lever je aan een NIS2-plichtige organisatie, dan is dat precies het bewijs dat zij voor hun eigen ketenzorgplicht nodig hebben.

Evidence-first: hoe een bevinding tot stand kwam

Hier maakt de aanpak van Exposentry het verschil. We draaien niet zomaar een lijst kwetsbaarheden uit. Onze scans zijn gebouwd op OpenKAT, de open-source scanner uit de Nederlandse overheid, die per bevinding vastlegt hoe die is verkregen: welke module keek, naar welk doelwit, op welk moment, en welke onderliggende observatie tot de conclusie leidde.

Dat levert forensisch onderbouwd bewijs op, vergelijkbaar met een chain of custody: een keten van observaties die je kunt navertellen en verdedigen. Voor een CISO of inkoper is dat het verschil tussen een rapport dat je móet geloven en een rapport dat je kunt controleren. Wil je begrijpen welke observaties daaronder zitten, lees dan wat een aanvaller van je domein ziet.

Vertrouwen door niet te overclaimen

Het lijkt contra-intuïtief om als leverancier te zeggen wat je product niet doet. Toch is dat precies wat de geloofwaardigheid opbouwt die in security telt. Een onderbouwd, eerlijk rapport dat zijn eigen grenzen kent, is op de lange termijn meer waard dan een compliance-stempel dat bij de eerste kritische vraag uit elkaar valt.

Zie scannen daarom als wat het is: een sterke, aantoonbare bouwsteen in je bredere NIS2-aanpak. Combineer het met je eigen governance, risicomanagement en processen, en je staat er stevig op.

Aan de slag

Wil je beginnen met die bouwsteen? Bekijk de pakketten en tarieven of start met een eerste scan. Geen loze beloftes — wel nuchtere, forensisch onderbouwde bevindingen die je richting toezicht en klanten kunt verdedigen.