Gids Compliance Cyberbeveiliging

NIS2-handhaving is hier: wat toezichthouders controleren en wat er gebeurt als u er niet klaar voor bent

De NIS2-deadline is verstreken. Nationale toezichthoudende autoriteiten voeren in heel Europa nu actief audits uit. Deze gids behandelt wat toezichthouders controleren, hoe de boetestructuur werkt en waar u als eerste op moet inzetten als uw organisatie nog niet heeft gehandeld.

CE
Cyvra Redactieteam
IT & Compliance Praktijk
28 juni 2026
7 min lezen
Belangrijkste punten
  • NIS2-handhaving is actief. Nationale autoriteiten zijn in meerdere EU-lidstaten overgegaan van zelfbeoordelingsvragenlijsten naar formele inspecties
  • Essentiële entiteiten vallen onder proactief toezicht. Toezichthouders hoeven geen incident af te wachten om een audit te starten
  • Boetes lopen op tot €10 miljoen of 2% van de wereldwijde omzet voor essentiële entiteiten en tot €7 miljoen of 1,4% voor belangrijke entiteiten
  • Incidentmelding vereist een vroegtijdige waarschuwing binnen 24 uur, een melding binnen 72 uur en een eindrapport binnen een maand. Het missen van een fase levert een aparte bevinding op
  • Als u nog niet begonnen bent: een risicoregister, een incidentresponsplan en een leveranciersbeveiliging beoordeling zijn de drie gebieden die het snelst het meeste dekking bieden
€10M
maximale boete voor essentiële entiteiten of 2% van de wereldwijde jaaromzet
24u
tijdvenster voor vroege waarschuwing vanaf het moment van bekendwording van een significant incident
18
beveiligingsmaatregelen vereist onder NIS2 Artikel 21

Waar de handhaving nu staat

NIS2 trad in werking in de EU-lidstaten in oktober 2024. De omzettingsperiode gaf nationale wetgevers de tijd om NIS2 in nationaal recht te verankeren, en de meesten hebben dit inmiddels gedaan. In Nederland vormt de Cyberbeveiligingswet het primaire instrument. De Rijksdienst voor Digitale Infrastructuur (RDI) treedt op als voornaamste toezichthouder voor de meeste sectoren, terwijl het Nationaal Cyber Security Centrum (NCSC) de incidentrespons en informatiedeling coordineert. Sectorspecifieke toezichthouders, waaronder De Nederlandsche Bank voor financiële marktinfrastructuur, behouden hun eigen toezichtsrol binnen het NIS2-kader.

Diverse nationale autoriteiten in Europa begonnen met zelfbeoordelingsvragenlijsten. Daarmee vroegen toezichthouders aan organisaties binnen het toepassingsgebied om hun eigen naleving te beoordelen aan de hand van de 18 beveiligingsmaatregelen in Artikel 21. Die fase leverde toezichthouders een beeld op van het landschap. De formele inspecticyclus die volgt, werkt anders: toezichthouders vragen documentatie op, voeren inspecties ter plaatse uit, interviewen verantwoordelijke managers en verifiëren of gedocumenteerde maatregelen daadwerkelijk werken.

Energie-, water-, transport-, gezondheids- en digitale infrastructuuroperators staan als eerste in de rij voor inspecties. Organisaties in financiële marktinfrastructuur vallen onder sectorspecifiek toezicht dat al op vergelijkbaar tempo werkt. Als uw organisatie in een van deze sectoren actief is en nog geen vragenlijst of pre-inspectiemelding heeft ontvangen, betekent dat niet dat u buiten het toepassingsgebied valt. Uw beurt is nog niet gekomen.

Het toezichtsmodel is bepalend

Essentiële entiteiten vallen onder proactief toezicht (ex-ante). Toezichthouders kunnen hen op elk moment auditeren, niet alleen na een incident. Belangrijke entiteiten vallen standaard onder reactief toezicht (ex-post): een audit volgt doorgaans na een gemeld incident of een klacht van een derde. Uw entiteitsclassificatie bepaalt hoeveel voorbereidingstijd u waarschijnlijk heeft voordat bewijs wordt opgevraagd.

Wat toezichthouders daadwerkelijk controleren

NIS2 Artikel 21 somt 18 specifieke beveiligingsmaatregelen op. Toezichthouders behandelen deze niet als een afvinklijst. Zij zoeken naar bewijs dat elke maatregel functioneert zoals bedoeld in de operationele omgeving, niet simpelweg dat er een beleidsdocument bestaat. De gebieden die de meeste bevindingen opleveren in vroege handhavingscycli zijn:

  • Governance-documentatie: Toezichthouders vragen om goedkeuring op bestuursniveau van het cyberbeveiligingsbeleid, gedocumenteerde rollen en verantwoordelijkheden, en bewijs dat het senior management eigenaarschap heeft genomen. NIS2 houdt het management persoonlijk aansprakelijk. Toezichthouders zoeken bestuursnotulen die aantonen dat het management actief met beveiligingsrisico's omgaat. Een ondertekend beleid dat alleen door IT is opgesteld, volstaat niet.
  • Risicobeheerregisters: Een gedateerd, scope-gedefinieerd risicoregister met benoemde asset-eigenaren, gedocumenteerde dreigingen, beoordeelde impact en vastgelegde mitigaties. Toezichthouders willen zien dat het register een levend document is met versiehistorie, geen eenmalige oefening die voor deze audit is opgesteld.
  • Toeleveringsketenbeveiliging: NIS2 breidt de verplichtingen uit naar de toeleveringsketen. Toezichthouders vragen hoe uw organisatie de beveiligingspositie van kritieke leveranciers beoordeelt, welke contractuele voorwaarden u oplegt en hoe u de doorlopende naleving monitort. Leveranciersbeveiliging levert bij audits meer bevindingen op dan welk ander gebied ook.
  • Toegangscontrolebewijs: Logbestanden die minste-privilege-handhaving aantonen, records van toegangsbeoordelingen, MFA-dekkingsgraad en bewijs van beheer van bevoorrechte toegang voor beheerdersaccounts. Toezichthouders controleren of maatregelen functioneren, niet alleen of een beleid ze voorschrijft.
  • Bedrijfscontinuiteitsplannen: Geteste, gedateerde continuiteits- en rampenherstelplannen met gedefinieerde hersteltijd- en herstelpuntdoelstellingen. Een plan dat nooit is getest, levert waarschijnlijk een bevinding op.
  • Bewustwordingstraining voor personeel: Voltooiingspercentages, inhoudsbewijzen en frequentie van bewustwordingstraining. Dit omvat ook phishingsimulatierogramma's en records van rolspecifieke beveiligingstraining voor functies met een hoog risico.

Toezichthouders zoeken bewijs dat beveiliging in uw organisatie als een beheerd risico wordt behandeld, onderbouwd met documentatie die bestand is tegen toetsing. Perfecte beveiliging is niet de maatstaf.

Toezichthouders onderzoeken ook uw detectiecapaciteit voor incidenten. Zij willen weten hoe uw organisatie een significant incident zou identificeren en wie verantwoordelijk is voor die beoordeling. Organisaties die geen functioneel detectiemechanisme kunnen aantonen, staan voor een lastig gesprek, ongeacht hoe hun andere maatregelen er op papier uitzien.

De boetestructuur (en wanneer die van toepassing is)

NIS2 kent twee niveaus van financiële sancties, afhankelijk van uw entiteitsclassificatie:

  • Essentiële entiteiten: Maximale boete van €10 miljoen of 2% van de totale wereldwijde jaaromzet, afhankelijk van welke hoger is.
  • Belangrijke entiteiten: Maximale boete van €7 miljoen of 1,4% van de totale wereldwijde jaaromzet, afhankelijk van welke hoger is.

Dit zijn plafondcijfers. Toezichthouders stellen de feitelijke boete vast op basis van de ernst van de overtreding, de duur van de niet-naleving, de mate van medewerking tijdens het onderzoek en of uw organisatie zelf melding heeft gedaan. Een eerste bevinding met gedocumenteerde herstelmaatregelen wordt anders behandeld dan een patroon van niet-naleving of een poging een incident te verhullen.

Naast financiële sancties beschikken nationale autoriteiten over twee instrumenten met directe operationele impact. Ten eerste kunnen zij bindende aanwijzingen uitvaardigen die specifieke herstelmaatregelen binnen een bepaalde termijn opleggen. Ten tweede kunnen zij bij essentiële entiteiten een benoemde persoon in een leidinggevende functie tijdelijk verbieden hun rol uit te oefenen. Die mogelijkheid scherpt de aandacht van bestuurders voor cybersecurity-governance doorgaans sneller dan een boete.

Persoonlijke aansprakelijkheid van het management

NIS2 houdt senior management direct aansprakelijk voor naleving van cyberbeveiligingsverplichtingen. Toezichthouders in meerdere lidstaten hebben verklaard dat zij het persoonlijke verbod zullen toepassen wanneer niet-naleving het gevolg is van een tekort aan governance in plaats van een technisch probleem. CISO- en CIO-functies nemen deze aansprakelijkheid niet over. Bestuurders en directeuren dragen haar.

Lidstaten kunnen uw organisatie ook verplichten een cyberbeveiligingsinbreuk openbaar te maken. Een verplichte openbaarmaking, een boete en een herstelorder die tegelijk binnenkomen vormen het realistische slechtste scenario. Plan voor alle drie, niet alleen voor de financiële sanctie.

Incidentmelding: de tijdlijn die organisaties verrast

De incidentmeldingsverplichtingen in NIS2 zijn nauwkeurig omschreven. De meeste organisaties onderschatten hoe moeilijk het is om onder echte omstandigheden aan die verplichtingen te voldoen. De klok begint te lopen op het moment dat uw organisatie op de hoogte raakt van een significant incident, niet wanneer u de omvang of oorzaak heeft bevestigd.

  • Binnen 24 uur: Stuur een vroege waarschuwing naar de bevoegde nationale autoriteit. Dit hoeft geen volledig rapport te zijn, maar het moet de toezichthouder bereiken. Verplichte inhoud: een basismelding dat een significant incident heeft plaatsgevonden of vermoed wordt, een initiële beoordeling of het crimineel of grensoverschrijdend van aard lijkt te zijn, en eventuele directe impacts.
  • Binnen 72 uur: Dien een volledige incidentmelding in. Dit moet een bijgewerkte beoordeling van het incident bevatten, de ernst, de indicators of compromise indien bekend, en de maatregelen die uw organisatie heeft genomen of gestart.
  • Binnen een maand: Dien een eindrapport in. Dit omvat een gedetailleerde beschrijving van het incident, een oorzaakanalyse, genomen herstelmaatregelen, eventuele grensoverschrijdende impact en geleerde lessen.

Het knelpunt voor de meeste organisaties is niet het rapport van 72 uur of het eindrapport. Het is de vroege waarschuwing van 24 uur. Organisaties zonder een gedefinieerd escalatiepad van detectie naar meldingsbeslissing missen dit venster stelselmatig. Uw incidentresponsplan moet de persoon benoemen die verantwoordelijk is voor de meldingsbeslissing, definiëren wat "significant incident" in uw context betekent, en de contactgegevens van uw nationale autoriteit bevatten. Die informatie mag niet in een document staan dat niemand kan vinden om twee uur 's nachts op een zondagochtend.

Wat telt als significant

NIS2 definieert een significant incident als een incident dat ernstige operationele verstoring, financieel verlies of andere materiële impact op uw organisatie of anderen veroorzaakt of kan veroorzaken. Lidstaten geven nadere drempelwaarden. Als u niet vooraf kunt vastleggen hoe "significant" er in uw context uitziet, besteedt u de eerste 24 uur aan intern overleg over de meldingsplicht en mist u het tijdvenster.

Voor elke gemiste fase van de meldingstijdlijn kan een aparte bevinding volgen. Drie gemiste fasen bij een enkel incident genereren drie afzonderlijke nalevingsgebreken. Toezichthouders behandelen de meldingsplicht als onafhankelijk van de vraag of het onderliggende incident een beveiligingsfout weerspiegelt: zelfs als uw maatregelen adequaat waren, is het niet correct melden van een significant incident op zichzelf al een overtreding.

Wat te prioriteren als u nog niet begonnen bent

Als uw organisatie binnen het NIS2-toepassingsgebied valt en nog geen nalevingsprogramma heeft gestart, leidt pogingen om alle 18 maatregelen tegelijk aan te pakken tot trage voortgang op elk front. Begin met de drie gebieden die de meeste dekking bieden en de sterkste positie opleveren als een toezichthouder vraagt wat u heeft gedaan:

1. Risicoregister

Stel een gedateerd, gestructureerd risicoregister op dat uw kritieke assets benoemt, de bedreigingen documenteert, waarschijnlijkheid en impact beoordeelt, controlegebreken identificeert en eigenaren toewijst. Toezichthouders vragen dit als eerste op. Betrek IT, operaties en een sponsor op senior managementniveau bij het opstellen. Een risicoregister dat de operationele afdeling nooit heeft gezien, is geen risicoregister: het is een document.

2. Incidentresponsplan

Schrijf en test een incidentresponsplan dat detectie, escalatie, melding (inclusief de NIS2-meldingstermijnen en contactgegevens van RDI en NCSC), beperking, herstel en evaluatie na het incident dekt. Wijs benoemde personen toe, geen functietitels. Voer een tafeloefening uit. Gebreken die tijdens een oefening aan het licht komen, kosten veel minder dan het missen van het 24-uursmeldingsvenster tijdens een echt incident.

3. Beoordeling van leveranciersbeveiliging

Identificeer uw kritieke leveranciers: degenen wier uitval of compromittering uw activiteiten zou verstoren of een meldingsplichtig incident zou veroorzaken. Beoordeel hun beveiligingspositie via vragenlijsten, contractuele voorwaarden of assurance-rapporten van derden. Toezichthouders accepteren dat leveranciersbeveiliging tijd kost om op te bouwen. Zij willen een gedocumenteerd programma met bewijs van voortgang zien, geen afgeronde oplossing.

Deze drie gebieden vervangen het volledige Artikel 21-beveiligingsprogramma niet. Zij bieden de snelste weg naar een verdedigbare positie als een toezichthouder u in de komende maanden benadert.

Wat dit betekent voor uw organisatie

Nationale autoriteiten voeren nu inspecties uit. Als uw organisatie laat is gestart, heeft u een beperkte tijdlijn, maar ook een voordeel: de eerste auditbevindingen bij andere organisaties laten precies zien waar toezichthouders op focussen en wat bevindingen oplevert. Dat is bruikbare informatie. Gebruik haar.

  • Bevestig uw entiteitsclassificatie (essentieel of belangrijk) en identificeer welke nationale toezichthouder jurisdictie heeft over uw sector. Dit bepaalt uw toezichtsmodel en uw toepasselijk boeteplafond.
  • Maak of actualiseer uw risicoregister met goedkeuring op bestuursniveau en een duidelijk beoordelingsschema. Dateer het. Houd versiehistorie bij.
  • Schrijf uw incidentresponsplan op basis van de NIS2-meldingstermijnen. Test het. Bewaar het op een plek die iedereen met een rol daarin kan bereiken tijdens een incident.
  • Voer een basisrisicobeoordeling van leveranciers uit voor uw meest kritieke leveranciers van de eerste laag. Documenteer uw methodologie en uw bevindingen.
  • Zorg voor formele goedkeuring van het management voor het cyberbeveiligingsbeleid. Zorg dat uw bestuur begrijpt dat NIS2 persoonlijke aansprakelijkheid schept voor bestuurders, niet alleen organisatorische aansprakelijkheid voor de onderneming.
  • Plan een gap-assessment ten opzichte van alle 18 Artikel 21-maatregelen. De output geeft u een geprioriteerde herstelroutekaart en dient als bewijs van een functionerend governanceprogramma als een auditor vraagt wat uw organisatie heeft gedaan.

Cyvra werkt met organisaties in elk stadium van het NIS2-nalevingsproces, van initiële scoping en gap-assessments tot beleidsontwikkeling, leveranciersbeoordelingen en incidentresponsplanning. Als u een gestructureerd startpunt of een second opinion over uw huidige positie nodig heeft, neem dan contact op met ons complianceteam.

Hoe Cyvra helpt bij NIS2-naleving

Cyvra werkt met essentiële en belangrijke entiteiten in Nederland en het VK om het bewijsmateriaal op te bouwen dat toezichthouders verwachten. Onze trajecten omvatten het volledige auditspoor: risicoregisters, governancedocumentatie, incidentresponsplannen en beoordelingen van ketenbeveiliging, afgestemd op wat uw toezichthouder daadwerkelijk controleert.

Als uw organisatie nog niet begonnen is, starten we met de gebieden die de meeste auditbevindingen opleveren. Heeft u al een eerste zelfbeoordeling gedaan, dan identificeren we de resterende hiaten en sluiten die voordat een formele inspectie volgt.

  • NIS2-hiatenbeoordeling: stel vast welke van de 18 vereiste maatregelen u heeft ingevoerd en welke documentatie of implementatie vereisen
  • Risicoregister opstellen: bouw een gedocumenteerd risicobeheerproces dat voldoet aan de norm die toezichthouders als eerste controleren
  • Incidentresponsplanning: schrijf en test een plan dat voldoet aan het 24-uurs vroegtijdige waarschuwingsvenster en de 72-uurs vervolgverplichting
  • Ketenbeveiliging beoordelen: beoordeel uw derde-partijrisico en produceer de gedocumenteerde beheersmaatregelen die auditors het vaakst opvragen
  • Governancedocumentatie: stel bestuursniveau-records op die actieve betrokkenheid van het management tonen, geen ondertekend beleidsdocument van IT

Neem contact op met ons team voor audits en compliance of onze cyberbeveiligingspraktijk om te bespreken waar uw organisatie staat.

Veelgestelde vragen

Welke boetes kunnen NIS2-toezichthouders opleggen?

Essentiële entiteiten kunnen boetes krijgen tot €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welke hoger is. Belangrijke entiteiten riskeren boetes tot €7 miljoen of 1,4% van de wereldwijde jaaromzet. Lidstaten kunnen ook tijdelijke verboden opleggen aan bestuurders, en toezichthouders kunnen openbare bekendmaking van een inbreuk eisen. De opgelegde boete in een specifiek geval hangt af van de ernst, de medewerking, de voorgeschiedenis en of de organisatie zelf melding heeft gemaakt.

Wat is het verschil tussen een essentiële en een belangrijke entiteit onder NIS2?

Essentiële entiteiten zijn grote organisaties in sectoren zoals energie, transport, water, gezondheidszorg, digitale infrastructuur en financiële marktinfrastructuur. Zij vallen onder proactief (ex-ante) toezicht, wat betekent dat toezichthouders hen kunnen auditeren zonder op een incident te wachten. Belangrijke entiteiten omvatten aanvullende sectoren en middelgrote organisaties. Zij vallen standaard onder reactief (ex-post) toezicht, maar dit biedt geen garantie dat er geen proactieve audit plaatsvindt. Beide categorieën dragen dezelfde beveiligingsverplichtingen uit Artikel 21. Het verschil zit in de toezichtsintensiteit en het boeteplafond.

Welke meldingstermijnen voor incidenten vereist NIS2?

NIS2 vereist een driefasig meldproces. Uw organisatie moet binnen 24 uur na bekendwording van een significant incident een vroege waarschuwing aan de nationale autoriteit sturen. Binnen 72 uur volgt een volledige incidentmelding met initiële beoordeling, ernst en indicators of compromise. Binnen een maand is een eindrapport vereist met gedetailleerde omschrijving, oorzaakanalyse en genomen herstelmaatregelen. Elke fase is een afzonderlijke verplichting: het missen van een fase levert een aparte bevinding op.

Welke Nederlandse instanties houden toezicht op NIS2-naleving?

In Nederland wordt NIS2 omgezet via de Cyberbeveiligingswet. De Rijksdienst voor Digitale Infrastructuur (RDI) treedt op als primaire toezichthouder voor de meeste sectoren. Het Nationaal Cyber Security Centrum (NCSC) coordineert incidentrespons en informatiedeling. Sectorspecifieke toezichthouders, zoals De Nederlandsche Bank voor financiële entiteiten, spelen ook een rol binnen hun respectieve domein.

Praat met Cyvra

Vragen over uw NIS2-positie?

Ons complianceteam beoordeelt waar uw organisatie staat en brengt een praktische route naar auditgereedheid in kaart.

Contact Opnemen Audits & Compliance

Disclaimer: Dit artikel is uitsluitend bedoeld voor algemene informatiedoeleinden en vormt geen juridisch, regelgevend of professioneel advies. Cyvra geeft geen garantie over de nauwkeurigheid of volledigheid van deze inhoud. Lezers dienen onafhankelijk advies in te winnen dat passend is voor hun specifieke situatie. Cyvra aanvaardt geen aansprakelijkheid voor verlies dat voortvloeit uit het vertrouwen op deze inhoud.