Inspecteur in zakelijke kleding controleert serverkast met klembord in datacenter met blauwe verlichting

Hoe bereid je je voor op een NIS2 toezichthouder inspectie?

in

Een NIS2-toezichthouderinspectie verloopt gestructureerd en richt zich op de vraag of jouw organisatie de wettelijke cybersecuritymaatregelen daadwerkelijk heeft geïmplementeerd. De toezichthouder beoordeelt documentatie, spreekt met verantwoordelijken en kan technische controles uitvoeren. Goede voorbereiding maakt het verschil tussen een soepele inspectie en kostbare hersteltrajecten. In dit artikel beantwoorden we de belangrijkste vragen over wat je kunt verwachten en hoe je je organisatie optimaal voorbereidt.

Wat controleert een NIS2-toezichthouder tijdens een inspectie?

Een NIS2-toezichthouder beoordeelt of jouw organisatie de tien kernmaatregelen uit de zorgplicht adequaat heeft geïmplementeerd. Dit omvat risicobeheer, incidentbehandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen en governance-structuren. De toezichthouder controleert niet alleen of beleid bestaat, maar ook of het daadwerkelijk wordt nageleefd.

De wettelijke basis voor inspecties vloeit voort uit de Cyberbeveiligingswet, de Nederlandse implementatie van de NIS2-richtlijn. Toezichthouders hebben ruime bevoegdheden: zij mogen documenten opvragen, systemen inspecteren, interviews afnemen en technische tests laten uitvoeren. Bij de beoordeling kijken zij specifiek naar:

  • Risicoanalyses en de onderbouwing van gekozen maatregelen
  • Incidentbehandeling en meldprocedures
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
  • Basispraktijken op het gebied van cyberhygiëne en training
  • Toegangsbeleid, beheer van activa en, waar passend, multi-factorauthenticatie
  • Betrokkenheid en kennis van het bestuur

Welke documenten en bewijslast moet je klaar hebben voor een NIS2-inspectie?

Je moet kunnen aantonen dat cybersecuritymaatregelen niet alleen op papier bestaan, maar ook in de praktijk functioneren. Dit vereist een complete documentatieset die actueel en toegankelijk is. Zorg dat je minimaal de volgende documenten kunt overleggen:

  • Actuele risicoanalyse met onderbouwing van gekozen maatregelen
  • Informatiebeveiligingsbeleid, vastgesteld en periodiek herzien door het bestuur
  • Incidentresponsprocedures en logboeken van eerdere incidenten
  • Business continuityplan en disasterrecoveryprocedures
  • Penetratietestrapporten en resultaten van technische controles
  • Registraties van securityawarenesstrainingen voor medewerkers
  • Documentatie over beveiliging van de toeleveringsketen
  • Bewijs van bestuurlijke betrokkenheid en scholing

Organiseer deze documentatie op een centrale locatie en zorg voor versiebeheer. Toezichthouders waarderen het wanneer je snel de juiste documenten kunt aanleveren. Een assuranceverklaring zoals SOC 2 of ISAE 3402 kan helpen bij het aantonen van compliance, omdat dit onafhankelijk bewijs biedt van naleving van internationaal erkende informatiebeveiligingsnormen.

Hoe verloopt een NIS2-inspectie in de praktijk?

Een NIS2-inspectie begint doorgaans met een schriftelijke aankondiging, hoewel onaangekondigde inspecties ook mogelijk zijn. De toezichthouder geeft aan welke documentatie vooraf moet worden aangeleverd en welke onderwerpen centraal staan. Het inspectieproces kent verschillende vormen:

Bij een documentenonderzoek vraagt de toezichthouder specifieke documenten op en beoordeelt deze op volledigheid en kwaliteit. Een on-sitebezoek omvat gesprekken met verantwoordelijken, observatie van werkprocessen en mogelijk een rondgang door technische faciliteiten. Technische audits kunnen inhouden dat systemen worden gecontroleerd of dat penetratietests worden uitgevoerd.

Zorg dat de volgende personen beschikbaar en voorbereid zijn: de security officer, IT-verantwoordelijken, compliance officers en een bestuurder die de governance kan toelichten. Na afloop ontvangt de organisatie een eindrapportage met bevindingen en eventuele vervolgacties.

Wat zijn de meest voorkomende tekortkomingen bij NIS2-inspecties?

Toezichthouders identificeren regelmatig dezelfde compliancegaps bij organisaties. De meest voorkomende tekortkomingen zijn te voorkomen met gerichte voorbereiding:

  • Onvolledige risicoanalyses: analyses die niet alle relevante risico’s dekken of niet periodiek worden geactualiseerd
  • Ontbrekende of verouderde incidentprocedures: geen duidelijke stappen voor detectie, respons en melding
  • Gebrekkige supplychainbeveiliging: onvoldoende zicht op en controle over leveranciers en hun beveiligingsniveau
  • Onvoldoende managementbetrokkenheid: bestuurders die de materie niet begrijpen of geen aantoonbare scholing hebben gevolgd
  • Papieren compliance: beleid dat wel bestaat, maar niet wordt nageleefd of gecontroleerd

Een veelvoorkomende denkfout is dat NIS2 volledig kan worden uitbesteed aan een IT-leverancier. NIS2 is primair een organisatorisch vraagstuk. De IT-leverancier kan helpen bij technische aspecten, maar niet bij het inrichten van de organisatie, het opstellen van beleid en het borgen van verantwoordelijkheden.

Wat gebeurt er als je niet compliant bent tijdens een NIS2-inspectie?

Non-compliance kan leiden tot een escalerend sanctietraject. De toezichthouder begint doorgaans met een waarschuwing en de opdracht om binnen een bepaalde termijn herstelmaatregelen te treffen. Bij ernstige of voortdurende overtredingen volgen administratieve boetes die kunnen oplopen tot miljoenen euro’s.

Bijzonder aan NIS2 is de persoonlijke aansprakelijkheid van bestuurders. Het bestuur moet aantonen dat het voldoende kennis en vaardigheden heeft om cyberbeveiligingsrisico’s te beoordelen. Bestuurders die nalatig zijn geweest, kunnen persoonlijk aansprakelijk worden gesteld.

Na een negatieve inspectie krijg je een hersteltermijn om tekortkomingen te verhelpen. Je kunt bezwaar maken tegen besluiten van de toezichthouder, maar dit schort de verplichting tot herstel niet automatisch op. Investeer liever in preventie dan in hersteltrajecten achteraf.

Hoe kun je je organisatie het beste voorbereiden op een NIS2-inspectie?

Effectieve voorbereiding begint met een realistische inschatting van je huidige positie. Voer een interne gap-analyse uit om te bepalen waar je staat ten opzichte van de NIS2-eisen. Gebruik deze bevindingen om een prioriteitenlijst op te stellen.

Een praktisch stappenplan voor inspectievoorbereiding:

  • Wijs een verantwoordelijke aan die de NIS2-compliance coördineert (security officer)
  • Voer een gap-analyse uit ten opzichte van de tien kernmaatregelen uit de zorgplicht
  • Stel een verbeterplan op met concrete acties en deadlines
  • Organiseer documentatie centraal en zorg voor versiebeheer
  • Train medewerkers op cyberhygiëne en incidentprocedures
  • Voer periodieke technische tests uit, waaronder penetratietests en phishing-simulaties
  • Stel een inspectiedraaiboek op met contactpersonen en verantwoordelijkheden
  • Zorg dat bestuurders aantoonbaar zijn geschoold in cyberbeveiligingsrisico’s

Creëer een compliancecultuur waarin beveiliging geen eenmalig project is, maar een doorlopend proces. Analyseer incidenten om oorzaken, gevolgen en lessen te identificeren. Documenteer controles en rapporteer resultaten aan interne en externe belanghebbenden.

Hoe helpt Hoek en Blok IT bij de voorbereiding op een NIS2-inspectie?

Hoek en Blok IT ondersteunt organisaties bij het inspectieproof maken van hun NIS2-compliance. Met NOREA-gecertificeerde auditors en praktijkervaring in IT-audits weten wij precies waar toezichthouders op letten.

Onze dienstverlening voor NIS2-inspectievoorbereiding omvat:

  • Gap-analyse: onafhankelijke beoordeling van je huidige positie ten opzichte van NIS2-eisen
  • Mock-audits: simulatie van een toezichthouderinspectie om zwakke plekken te identificeren
  • Documentatie-ondersteuning: hulp bij het opstellen en organiseren van vereiste documentatie
  • IT Security Officer as-a-Service: externe security officer die de compliance coördineert
  • Penetratests en technische assessments: onafhankelijke validatie van technische maatregelen
  • Bestuurderstraining: scholing zodat het management aantoonbaar voldoet aan kenniseisen

Neem contact op voor een vrijblijvend adviesgesprek over jouw NIS2-inspectievoorbereiding. Samen zorgen we dat je organisatie klaar is wanneer de toezichthouder komt.

Wanneer is de registratieplicht voor NIS2?Vintage messing bureaukalender op mahoniehouten bureau met officieel document, vulpen en EU-vlag in zacht namiddaglichtWandkalender 2026 met rode stempel op deadline, EU-compliancemappen en koperen klok op mahonie kantoorwandWat zijn de operationele deadlines voor NIS2 in 2026?