Wie controleert de NIS2?
De NIS2-richtlijn wordt in Nederland gecontroleerd door verschillende toezichthouders, afhankelijk van de sector waarin jouw organisatie actief is. De Rijksinspectie Digitale Infrastructuur (RDI) fungeert als centrale coördinerende autoriteit, terwijl sectorspecifieke toezichthouders zoals De Nederlandsche Bank en de Autoriteit Persoonsgegevens binnen hun eigen domein handhaven. Dit artikel beantwoordt de belangrijkste vragen over NIS2-toezicht, handhaving en hoe jij je organisatie optimaal voorbereidt op controles.
Welke toezichthouders controleren de NIS2 in Nederland?
In Nederland is het toezicht op NIS2 verdeeld over meerdere autoriteiten. De Rijksinspectie Digitale Infrastructuur (RDI) is aangewezen als centrale toezichthouder en coördineert de handhaving van de richtlijn. Daarnaast houden sectorspecifieke toezichthouders toezicht binnen hun eigen domein, wat zorgt voor gerichte expertise per sector.
De verdeling van verantwoordelijkheden ziet er als volgt uit:
- RDI: algemene coördinatie en toezicht op digitale infrastructuur
- De Nederlandsche Bank (DNB): financiële sector
- Autoriteit Persoonsgegevens: verwerking van persoonsgegevens binnen NIS2-context
- Inspectie Leefomgeving en Transport: transport en logistiek
- NVWA: voedselproductie en distributie
Deze toezichthouders werken samen binnen het Nederlandse toezichtslandschap om een consistente handhaving te waarborgen. Voor organisaties betekent dit dat je moet weten welke toezichthouder voor jouw sector verantwoordelijk is, zodat je weet aan wie je moet rapporteren bij incidenten.
Hoe werkt de handhaving van NIS2 in de praktijk?
De handhaving van NIS2 vindt plaats via zowel proactieve als reactieve mechanismen. Toezichthouders voeren geplande inspecties uit om te controleren of organisaties voldoen aan de vereisten. Daarnaast starten zij onderzoeken naar aanleiding van gemelde incidenten of signalen van non-compliance. De intensiteit van het toezicht hangt af van de classificatie van jouw organisatie.
Er bestaat een belangrijk verschil in toezicht tussen essentiële en belangrijke entiteiten. Grote organisaties die onder Annex 1 vallen (meer dan 250 medewerkers of een omzet boven 50 miljoen euro) krijgen proactief toezicht. Dit betekent regelmatige controles zonder dat er een concrete aanleiding hoeft te zijn. Belangrijke entiteiten ontvangen reactief toezicht, waarbij onderzoek pas plaatsvindt na incidenten of klachten.
Toezichthouders beschikken over ruime bevoegdheden om hun taak uit te voeren:
- het uitvoeren van audits en technische assessments
- het opvragen van documentatie over beveiligingsmaatregelen
- het eisen van toegang tot systemen en netwerken
- het uitvoeren van onaangekondigde inspecties bij essentiële entiteiten
Welke sancties en boetes kunnen organisaties verwachten bij NIS2-overtredingen?
Het sanctieregime onder NIS2 is aanzienlijk strenger dan onder de voorganger. Essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de jaaromzet. Deze bedragen maken duidelijk dat de EU cybersecurity serieus neemt.
Naast financiële sancties kent NIS2 ook andere handhavingsmaatregelen:
- Waarschuwingen bij eerste of lichte overtredingen
- Bindende aanwijzingen om specifieke maatregelen te implementeren
- Openbare bekendmakingen van overtredingen (naming and shaming)
- Tijdelijke schorsing van leidinggevenden bij ernstige overtredingen
Een cruciaal element is de persoonlijke aansprakelijkheid van bestuurders. NIS2 legt expliciet verantwoordelijkheid bij het bestuur van organisaties. Bestuurders moeten aantonen dat zij voldoende kennis en vaardigheden hebben om de gevolgen van informatiebeveiligingsrisico’s te beoordelen. Dit betekent dat directieleden niet langer kunnen zeggen dat cybersecurity “iets van IT” is.
Hoe bereid je jouw organisatie voor op NIS2-controles?
Een gedegen voorbereiding op NIS2-controles begint met het documenteren van alle beveiligingsmaatregelen die jouw organisatie heeft getroffen. Toezichthouders willen bewijs zien van een systematische aanpak. Dit betekent dat je niet alleen maatregelen moet implementeren, maar ook moet kunnen aantonen dat ze effectief zijn en regelmatig worden geëvalueerd.
Een pragmatische aanpak voor NIS2-voorbereiding bestaat uit vijf fasen. In de analysefase inventariseer je IT-middelen en voer je een risicoanalyse uit om cyberbeveiligingsrisico’s te bepalen. Vervolgens bepaal je via een business impact assessment welke maatregelen nodig zijn en voer je een gap-analyse uit. Daarna stel je een actieplan op met een controls framework waarin maatregelen, verantwoordelijken en frequentie worden beschreven.
Concrete stappen die je nu kunt zetten:
- voer een gap-analyse uit om het verschil tussen huidige en gewenste situatie te bepalen
- stel incidentresponseprocedures op en test deze regelmatig
- implementeer een compliancemanagementsysteem voor structurele borging
- zorg voor regelmatige scholing van bestuur en werknemers
- documenteer alle beveiligingsmaatregelen en controleresultaten
Bestuurders moeten hierbij actief betrokken zijn. Het inrichten van een rapportagelijn en periodiek overleg zorgt ervoor dat het bestuur weet wat er speelt en kan bijsturen waar nodig.
Wat is het verschil tussen interne audits en externe NIS2-controles?
Interne audits zijn controles die jouw organisatie zelf uitvoert om te beoordelen of beveiligingsmaatregelen effectief werken. Deze audits helpen bij het identificeren van verbeterpunten voordat externe partijen komen kijken. Externe NIS2-controles worden uitgevoerd door toezichthouders of gecertificeerde auditors en hebben een formeel karakter met mogelijke consequenties bij tekortkomingen.
Om aantoonbaar aan de NIS2-richtlijn te voldoen, kan het helpen als jouw organisatie een informatiebeveiligingsverklaring heeft. SOC 2– en ISAE 3402-verklaringen zijn voorbeelden die aantonen in welke mate een organisatie aan internationaal erkende informatiebeveiligingsnormen voldoet. Let op: dit zijn verklaringen, geen certificeringen. Ze bieden onafhankelijk bewijs van naleving richting toezichthouders, klanten en andere stakeholders.
ISO 27001-certificering speelt eveneens een rol bij het aantonen van compliance. Voor de sector overheid is de managementsystematiek van ISO 27001 verplicht als onderdeel van de BIO2. Andere organisaties hebben de keuze, maar moeten wel een managementsystematiek implementeren. De combinatie van interne audits, externe verklaringen en certificeringen creëert een sterk bewijs van compliance.
Hoe helpt Hoek en Blok IT bij NIS2-controle en compliance?
Hoek en Blok IT ondersteunt organisaties bij het voorbereiden op NIS2-toezicht met een pragmatische en betaalbare aanpak. De NOREA-gecertificeerde EDP-auditors combineren technische expertise met auditervaring om jouw compliancepositie te verstevigen.
De dienstverlening omvat:
- Gap-analyses: het verschil tussen huidige situatie en NIS2-vereisten in kaart brengen
- IT-audits: onafhankelijke beoordeling van beveiligingsmaatregelen
- ISAE 3000/3402-verklaringen: aantoonbaar bewijs van adequate procesbeheersing
- Penetratietests: identificeren van kwetsbaarheden voordat aanvallers dit doen
- IT Security Officer as-a-Service: structurele ondersteuning zonder fulltime aanstelling
Met de eerste operationele deadlines voor NIS2 in 2026 is tijdig starten essentieel. Neem contact op met Hoek en Blok IT voor een vrijblijvend gesprek over jouw NIS2-voorbereiding.




