Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

NIS2-compliance checklist voor Google Workspace-beheerders

Vertaal de NIS2-verplichtingen naar concrete instellingen en processen in Google Workspace, van risicobeheer en toegangscontrole tot de 24-uurs meldplicht en leveranciersbeveiliging.

schedule5 min lezen event1 Jun 2026 updateBijgewerkt 16 wkn open_in_new data_object

De NIS2-compliance checklist voor Google Workspace-beheerders helpt je de Europese NIS2-richtlijn te vertalen naar concrete acties in je Workspace-omgeving. NIS2 verving de oude NIS-richtlijn en breidt het bereik fors uit: veel meer organisaties vallen er nu onder, en de eisen zijn strenger geworden. Belangrijk om te weten: bij NIS2 zijn bestuurders persoonlijk aansprakelijk voor het beveiligingsbeleid.

Stand van zaken in Nederland (juni 2026)

NIS2 is een Europese richtlijn die elke lidstaat in nationale wetgeving omzet. In Nederland gebeurt dat via de Cyberbeveiligingswet. De Tweede Kamer nam dit wetsvoorstel in april 2026 aan en op het moment van schrijven ligt het bij de Eerste Kamer. De verwachte inwerkingtreding ligt rond 1 juli 2026. Houd er rekening mee dat exacte data en details nog kunnen schuiven; raadpleeg voor de actuele status de toezichthouder en het NCSC.

info

Waarom dit nu urgent is

De definitieve handhavingsdatum komt snel dichterbij. Organisaties die niet voldoen riskeren forse boetes en bestuurdersaansprakelijkheid. Wachten tot de handhaving begint is geen strategie: de technische en organisatorische maatregelen hieronder kosten maanden om goed in te richten.

Valt mijn organisatie onder NIS2

NIS2 onderscheidt essentiele en belangrijke entiteiten in sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur, overheid en meer. De omvangdrempel ligt globaal bij 50 medewerkers of 10 miljoen euro omzet voor belangrijke entiteiten, met een hogere drempel (vanaf 250 medewerkers of meer dan 50 miljoen euro omzet) voor essentiele entiteiten. Sommige kritieke sectoren vallen er ongeacht hun omvang onder. Twijfel je of je eronder valt, ga er dan vanuit dat het kan en richt je beveiliging zo in dat je voorbereid bent.

Pijler 1: risicobeheer en toegangscontrole

NIS2 verplicht een risicogebaseerde aanpak. Dat begint met weten wat je beschermt en wie er toegang heeft.

Toegangscontrole inrichten

  1. Zet verplichte 2-staps-verificatie aan voor alle gebruikers, met security keys voor beheerders.
  2. Pas least privilege toe via organisatie-eenheden en groepen.
  3. Beperk en log beheerdersrechten en gebruik aparte admin-accounts.
  4. Schakel context-aware access in voor gevoelige apps.
  5. Review elk kwartaal wie welke toegang heeft en verwijder overbodige rechten.

Documenteer je risicoanalyse. NIS2 vraagt niet alleen om maatregelen maar ook om aantoonbaarheid. Houd bij welke risico's je hebt geidentificeerd en welke maatregelen daartegen staan.

Pijler 2: incidentdetectie en meldplicht

Dit is waar veel organisaties tekortschieten. NIS2 kent een getrapte meldplicht: een vroege waarschuwing binnen 24 uur na ontdekking van een significant incident, een uitgebreidere incidentmelding binnen 72 uur en een eindrapport binnen een maand.

warning

Zonder detectie haal je de termijn niet

Zonder werkende incidentdetectie haal je de 24-uurstermijn nooit. Als je nu niet weet hoe je binnen een dag een datalek detecteert en wie er moet melden, heb je een acuut compliance-gat. Richt eerst detectie en escalatie in voordat je aan de papierwinkel begint.

Koppel je Workspace-audit-logs aan monitoring en stel waarschuwingsregels in voor verdachte activiteiten zoals massale downloads, login vanaf onbekende locaties en wijzigingen in beheerdersrechten. Zie logs koppelen aan een SIEM en het incidentresponsplan.

Pijler 3: leveranciersbeveiliging en continuiteit

NIS2 kijkt nadrukkelijk naar de toeleveringsketen. Je bent medeverantwoordelijk voor de beveiliging van je leveranciers, inclusief Google als clouddienst. Vraag en bewaar de verwerkersovereenkomst en de relevante certificeringen.

Werk de toeleveringsketen stap voor stap af:

  1. Leveranciers in kaart: bepaal welke partijen je data verwerken en hoe kritiek ze zijn.
  2. Contractuele eisen: leg beveiligingsafspraken en een meldplicht vast in de verwerkersovereenkomst.
  3. Certificeringen toetsen: vraag ISO 27001 en SOC 2-rapportages op en beoordeel ze.
  4. Periodieke review: herbeoordeel leveranciers minimaal jaarlijks of bij wijzigingen.

Voor continuiteit moet je een back-up- en herstelstrategie hebben. Workspace bewaart veel zelf, maar voor compliance is een onafhankelijke back-up vaak verstandig. Zie disaster recovery en business continuity.

De volledige checklist

Splits de checklist in technische maatregelen en organisatorische maatregelen. Beide moeten op orde zijn; alleen techniek of alleen beleid is niet genoeg.

Technisch

  • Verplichte 2-staps-verificatie met phishing-resistente methoden zoals security keys of passkeys
  • DLP-regels tegen ongewenste datalekkage
  • Audit-logging actief en gekoppeld aan monitoring
  • Versleuteling van data in rust en transit (standaard in Workspace)
  • Endpoint management voor apparaten
  • Context-aware access voor gevoelige toegang

Organisatorisch

  • Gedocumenteerd informatiebeveiligingsbeleid
  • Risicoanalyse en behandelplan
  • Incidentresponsplan met een helder meldproces
  • Awareness-training voor medewerkers
  • Leveranciersbeoordeling en verwerkersovereenkomsten
  • Bestuurlijke betrokkenheid en goedkeuring
lightbulb

Begin bij detectie en bewijslast

De twee onderdelen die organisaties het vaakst missen zijn werkende incidentdetectie en aantoonbaarheid. Zet eerst monitoring op je audit-logs en leg vanaf dag een vast wat je doet en waarom. Bij een audit telt het bewijs net zo zwaar als de maatregel zelf.

Maakt Google Workspace mij automatisch NIS2-compliant?

Nee. Google levert een veilig platform met certificeringen, maar compliance hangt af van hoe jij het configureert en welke processen je inricht. De verantwoordelijkheid ligt bij jou als entiteit.

Hoe snel moet ik een incident melden?

Een vroege waarschuwing binnen 24 uur, een uitgebreidere melding binnen 72 uur en een eindrapport binnen een maand. De exacte invulling en het meldloket volgen uit de nationale toezichthouder en de Cyberbeveiligingswet.

Geldt NIS2 ook voor kleine bedrijven?

In principe gelden de verplichtingen vanaf de middelgrote drempel, ongeveer 50 medewerkers of 10 miljoen euro omzet. Sommige kritieke sectoren vallen er echter ongeacht omvang onder. Controleer je sector en omvang zorgvuldig.

Wie is aansprakelijk bij overtreding?

Onder NIS2 kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Beveiliging is daarmee een directieverantwoordelijkheid, geen puur IT-onderwerp.

Wanneer treedt NIS2 in Nederland in werking?

De Nederlandse uitwerking is de Cyberbeveiligingswet. Op het moment van schrijven (juni 2026) ligt het wetsvoorstel bij de Eerste Kamer en wordt inwerkingtreding rond 1 juli 2026 verwacht. Controleer de actuele status bij het NCSC en de toezichthouder.

Welke Workspace-edities ondersteunen deze maatregelen?

Basismaatregelen zoals 2-staps-verificatie en audit-logs zijn breed beschikbaar, maar geavanceerde DLP, context-aware access en uitgebreide logexport vragen doorgaans een hogere editie zoals Enterprise. Controleer per maatregel of je editie de functie ondersteunt.

Werk deze checklist systematisch af en leg alles vast. Bij NIS2 telt niet alleen wat je doet maar ook dat je kunt aantonen dat je het doet.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Security awareness-training voor Google Workspace-gebruikers

Security awareness-training leert Workspace-gebruikers veilig gedrag: phishing herkennen, veilig delen in Drive, 2FA gebruiken en datalekken melden via een doorlopend, concreet programma dat aantoonbaar gedrag verandert.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

Waarom wordt een Google Workspace-account automatisch gesuspendeerd?

Google suspendeert een Workspace-account automatisch bij verdachte activiteit zoals een gehackt account, een spamuitbraak of ongebruikelijke aanmeldingen. Onderzoek eerst de oorzaak via de Onderzoekstool, anders volgt vaak meteen opnieuw een suspensie.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Wat te doen bij een suspicious login melding in Google Workspace

Bij een suspicious login melding controleer je de aanmeldactiviteit, reset je wachtwoord en 2SV als de aanmelding niet legitiem is, log je alle sessies uit, trek je app-toegang in en verwijder je verdachte Gmail-regels.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Adminactiviteiten controleren en auditen in Google Workspace

Controleer adminactiviteiten via het beheerderslogboek in de Admin Console onder Rapportage, Audit en onderzoek: zie wie welke beheeractie deed, filter, exporteer en stel waarschuwingen in voor gevoelige acties.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

ISO 27001 en Google Workspace: wat moet je regelen?

Google Workspace is zelf ISO 27001-gecertificeerd, maar voor jouw certificering richt je een eigen ISMS in: scope, risicobeoordeling, Annex A-maatregelen en een Statement of Applicability.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward