Worden dochterondernemingen apart meegerekend onder NIS 2 of worden ze opgenomen in de moedermaatschappij?
Als je leiding geeft informatiebeveiliging voor een groep die in de hele EU is gestructureerd, is de kernvraag van de reikwijdte onder de NIS 2-richtlijn is even strategisch als operationeel: Zijn dochterondernemingen rechtstreeks onderworpen aan de NIS 2-vereisten, of kan het complianceprogramma van een moedermaatschappij meerdere rechtspersonen 'bestrijken'? De inzet loopt van verantwoording op bestuursniveau tot aan de basis van de compliance-risicohouding van uw groep.
Elke rechtspersoon (moeder- of dochtermaatschappij) is rechtstreeks aansprakelijk op grond van NIS 2. Naleving op groepsniveau beschermt individuele dochterondernemingen niet tegen hun verplichtingen.
NIS 2-naleving wordt beoordeeld per juridische entiteit, niet op groepsniveau
NIS 2 is van toepassing op het niveau van rechtspersonen. Elke dochteronderneming of groepsmaatschappij moet individueel worden beoordeeld op basis van de in de richtlijn vastgelegde drempelwaarden voor omvang, activiteit en criticaliteit, ongeacht of de moedermaatschappij compliant is of centraal gecertificeerd is.
Deze strategische splitsing is meer dan technisch: centraal beleid, bestuurlijk toezicht en auditdocumentatie moet worden teruggekoppeld naar elke entiteit die de scope activeert, niet simpelweg samengevat in een groepsrapport. Dit negeren is de snelste manier om "verborgen risico's" in een complexe groep te introduceren, zelfs als uw dashboards op het hoofdkantoor er groen uitzien.
Waar fouten gebeuren: de valkuil van groepsdenken
Multinationale besturen laten zich vaak verleiden door de efficiëntie van groepsbrede GRC, maar toezichthouders hebben dit aangemerkt als een hoofdoorzaak van falende naleving. Recente ENISA-bevindingen schrijven 32% van de NIS 2-falen op groepsniveau toe aan het niet-naleven van de registratie van dochterondernemingen of het ontbreken van auditinformatie op entiteitsniveau, ondanks volwassen centraal beleid. Een gemiste registratie van een entiteit is geen voetnoot - het is een kwetsbaarheid, en de kloof wordt altijd gelokaliseerd als het risico van een individuele dochteronderneming.
Demo boekenWat vereist NIS 2 wettelijk? Kan de naleving door moedermaatschappijen ook gelden voor dochterondernemingen?
Een van de meest hardnekkige misvattingen in de Europese compliance-kringen is dat het robuuste NIS 2-programma van een moedermaatschappij feitelijk een paraplu creëert die alle dochterondernemingen "bedekt" tegen controle. Maar de richtlijn is expliciet: elke in aanmerking komende rechtspersoon moet op eigen titel voldoen aan de richtlijn..
De naleving van de verplichtingen van de moedermaatschappij kan de naleving van de verplichtingen van de dochteronderneming niet vervangen. Elke entiteit is onafhankelijk verantwoordelijk voor het nakomen van haar verplichtingen.
Wat zeggen de wet en de toezichthouders?
NIS 2 Artikelen 2 en 3 zijn categorisch: elk entiteit binnen het toepassingsgebied, per sector of per omvang, moet geregistreerd zijn en zijn eigen nalevingsbewijs moet bijhouden - geen overkoepelende organisatie, geen snelle manier. Controles, beleid en certificeringen op groepsniveau zijn nuttig voor harmonisatie, maar ze ontslaan dochterondernemingen niet van aparte verplichtingen of lokale audits.
Hoe werkt dit voor grensoverschrijdende groepen?
Voor dochterondernemingen met jurisdictieoverschrijdende voetafdrukken moeten nalevingsmaatregelen en registraties voldoen aan de relevante nationale regelgeving. Er is geen sprake van eenmalige registratie en programmagefragmenteerde rechtspersonen vereisen bewijs en registratie, land voor land.
Het risico in de echte wereld: weglating
Onvoldoende registratie van dochterondernemingen of ontbrekende lokale documentatie is meer dan een technisch probleem. In 2024 vond 20% van de compliance-diagnoses van EU-groepen niet-geregistreerde entiteiten binnen de scope, wat leidde tot herstelmaatregelen vóór de audit en in sommige gevallen tot directe sectoronderzoeken. Deze aanpak is tijdrovend en ondermijnt het vertrouwen, terwijl boetes van toezichthouders slechts het eerste gevolg zijn.
Elk groepsbedrijf moet de naleving van NIS 2 beoordelen en aantonen alsof het een zelfstandige entiteit betreft, zelfs als de controles en activiteiten worden gedeeld.
Beheers NIS 2 zonder spreadsheetchaos
Centraliseer risico's, incidenten, leveranciers en bewijsmateriaal op één overzichtelijk platform.
Wie is verantwoordelijk? Wat gebeurt er als dochterondernemingen het verkeerd doen?
De verantwoordelijkheid onder NIS 2 is doelbewust geatomiseerd. Niet-registratie, proceszwakheden of hiaten in het controlebewijsmateriaal vallen rechtstreeks onder de verantwoordelijkheid van de dochteronderneming als rechtspersoon, en niet onder die van de moedermaatschappij, tenzij de moedermaatschappij zelf een entiteit is die binnen haar bereik valt. Voor leiders en besturen is dit zowel van belang voor het bestuur als voor de handhaving.
Lacunes op subsidiair niveau leiden tot geïsoleerde handhaving. Er is geen groepsimmuniteit voor fouten gemaakt door individuele entiteiten.
Hoe wordt belichting toegewezen?
Handhaving vindt plaats op het niveau van de juridische entiteit. Als een dochteronderneming NIS 2 overtreedt – of dit nu komt door ontbrekend bewijs, slechte incidentafhandeling of zelfs geërfde fouten op groepsniveau – zullen de nationale autoriteiten de leiders en directeuren van die specifieke entiteit aanspreken voor herstel en mogelijke sancties.
Gedeelde controles - niet voldoende tenzij gelokaliseerd
Dochterondernemingen die afhankelijk zijn van centrale tools op groepsniveau, moeten nog steeds entiteitsspecifieke bewijzen, goedkeuringen en audittrajectenHet is niet voldoende om te verwijzen naar een bedrijfsbreed GRC-platform; u moet gedetailleerde, lokale logboeken, SoA's (Statements of Applicability) en benoemde verantwoordingsplichten voor elke dochteronderneming weergeven.
De verwachting van de NIS 2-audit is om uw werk per dochteronderneming weer te geven, niet als een geconsolideerde momentopname van de groep.
Als er een lacune wordt gevonden, biedt deze structuur de autoriteiten de mogelijkheid om gerichte boetes, corrigerende maatregelen of verantwoordingsmaatregelen aan het management op te leggen zonder dat dit gevolgen heeft voor de bredere werking van de groep. Tenzij de ‘misser’ natuurlijk wijst op een breder systemisch falen.
Kunnen groepen de naleving centraliseren of heeft elke dochteronderneming haar eigen programma nodig?
Centralisatie biedt schaalbaarheid en consistentie, maar onder NIS 2 is het een genuanceerde aanpak: centraliseer de tools en richtlijnen, decentraliseer de verantwoordelijkheid en het verzamelen van bewijsmateriaal.
Overcentralisatie leidt tot compliance-passagiers - niet in kaart gebrachte entiteiten die blinde vlekken worden. Accountants streven naar expliciete dochterondernemingsverantwoordelijkheid.
Effectief gebruik van centrale controle
Toezichthouders zijn voorstander van gemeenschappelijke tools, sjablonen en trainingen die in de hele groep worden aangeboden, zolang elke dochteronderneming het volgende kan aantonen:
- Een benoemde, lokale compliance- en beveiligingsmanager
- Entiteitsniveau risicoregisters, SoA's en incidentactielogboeken
- Goedkeuringsprocessen en bewijslogboeken gekoppeld aan de individuele entiteit
De beste programma's maken gebruik van groepsplatformen voor automatisering en harmonisatie, maar dwingen lokale aanpassing en verantwoording af.
Waar centralisatie faalt
Er ontstaan problemen wanneer groepssjablonen niet door lokale goedkeuring worden goedgekeurd, incidentlogboeken worden niet gekoppeld aan rechtspersonen, of compliance-acties negeren de overlays van lidstaten. Een centraal projectdashboard, indien niet entiteitsspecifiek, wordt een bron van risico, niet van veerkracht.
Het niet-naleven van de regels door dochterondernemingen blijft de grootste auditkloof in groepsstructuren, zelfs wanneer er geavanceerde, groepsbrede ISMS zijn ingevoerd.
Wees vanaf dag één NIS 2-ready
Ga aan de slag met een bewezen werkruimte en sjablonen: pas ze aan, wijs ze toe en ga aan de slag.
Zijn er nationale verschillen? Speelt het land een rol voor de reikwijdte van de dochteronderneming?
NIS 2 streeft naar harmonisatie in de hele EU, maar elke lidstaat implementeert de richtlijn met unieke overlappingen en timing. Elke lidstaat verwacht directe registratie en naleving op het niveau van de lokale rechtspersoon, vaak met extra lokale eisen.
Bij twijfel altijd de strengste lokale richtlijnen voor registratie op dochterondernemingsniveau hanteren.
Nuances per lidstaat
Landen die vooroplopen, zoals Italië, hebben al registratie per dochteronderneming afgedwongen, ongeacht de groepsstructuur, terwijl andere landen standaard de naleving op entiteitsniveau afdwingen in afwachting van volledige nationale uitrol. Grensoverschrijdende overlappingen zorgen soms voor dubbel werk, dus realtime monitoring van de regelgeving is een must, geen overbodige luxe.
Het beschermen van de veerkracht van groepen
- Houd zowel de EU- als de nationale regelgeving nauwlettend in de gaten
- Schakel lokaal ervaren juridisch advies in
- Registreer elke dochteronderneming die mogelijk binnen het toepassingsgebied valt onafhankelijk; toezichthouders onderzoeken hiaten strenger dan overmatige voorbereiding.
Eén enkele lokale vereiste die over het hoofd wordt gezien, kan binnen enkele maanden de meerjarige investeringen in groepsrisicomanagement in gevaar brengen.
Heeft de sector invloed op de manier waarop dochterondernemingen worden beoordeeld of gecontroleerd?
Sectoroverlappingen onder NIS 2 zijn doorslaggevend. Sectoren met een 'hoge criticaliteit' zoals gezondheidszorg, energie, financiën en digitale infrastructuur kan ertoe leiden dat dochterondernemingen die niet aan de normale omvangsdrempels voldoen, aan de regelgeving moeten voldoen.
In cruciale sectoren kunnen kleine of nieuw verworven dochterondernemingen volledig aan de NIS 2-verplichtingen worden onderworpen, om redenen van de sector en niet van de omvang.
Sectorvoorbeeldtabel: hoe de reikwijdte van NIS 2 verandert per sector en dochterondernemingsprofiel
Elke groep moet de sectorstatus van elke dochteronderneming bevestigen:
| dochteronderneming | Sector | Registratie vereist? | Extra stappen |
|---|---|---|---|
| Groot (100+) | Telecom | Ja | Sectoroverlays; verbeterd proces verbaalING |
| Klein (15) | Gezondheidszorg | Ja | gelokaliseerde incidentenlogboeks; striktere timing voor boordbeoordeling |
| Gemiddeld (50) | SaaS/Cloud | Soms | Bevestig sectorspecifieke gegevens; naleving is niet altijd vereist |
| Acquisitie | Transport | Vaak | Moet binnen 6 maanden na verwerving worden uitgelijnd en geregistreerd |
Kleine dochterondernemingen in de energie- en telecomsector zijn vaak verrast door de omvang van hun sector. De audit vindt altijd lokaal plaats.
Er kan niet worden uitgegaan van een uniforme naleving; sectoroverlays verschuiven de nalevingsgrenzen voor hele groepsportefeuilles.
Pas auditplannen aan de sector aan
- Bevestig sectoroverlays voor elke dochteronderneming, niet alleen op moederniveau
- Kaart entiteitsniveau risicoregisters, incidentenrapporten en bewijslogboeken voor sectorvereisten
- Dubbel Check incident reactie en de timing van de goedkeuring door de raad van bestuur voor gereguleerde sectoren - de eisen worden strenger
Al uw NIS 2, allemaal op één plek
Van artikelen 20-23 tot auditplannen: voer ze uit en bewijs dat ze van begin tot eind voldoen aan de regelgeving.
Traceerbaarheidstabel op entiteitsniveau en ISO 27001-brug: hoe bewijst u dat elke dochteronderneming voldoet aan de vereisten?
Uw succes op het gebied van naleving hangt niet af van beleidsharmonisatie, maar van traceerbaarheid. Toezichthouders en auditors verwachten dat: elke dochteronderneming moet een zichtbaar, continu bewijsspoor hebbenLacunes of verwarring over ‘wie wat bezit’ kunnen knelpunten vormen bij een audit of in het geval van een inbreuk.
De helft van de mislukte NIS 2-controles van groep vorig jaar was het gevolg van ontbrekende of onvoldoende in kaart gebrachte SoA-gegevens en bewijsmateriaal van dochterondernemingen, en niet van hiaten in het beleid.
Hoe u eenduidige traceerbaarheid creëert
Controlecommissies en toezichthouders passen vier belangrijke tests toe op de traceerbaarheid van dochterondernemingen:
- Scope-gebeurtenis: Wat was de aanleiding voor de NIS 2-verplichting van de dochteronderneming?
- Risico reactie: Welke risicobeoordeling of update heeft dit teweeggebracht?
- Controletoewijzing: Welke controles zijn door wie ingevoerd en aan welke entiteit toegewezen?
- Bewijs en registratie: Welke tastbare bewijzen - logboeken, goedkeuringen - werden op het juiste niveau gegenereerd?
Voorbeeld van een traceerbaarheidstabel
| Trigger | Risico-update | Controle / SoA | Bewijs geregistreerd |
|---|---|---|---|
| 50 FTE-grens overschreden | Dochteronderneming gemarkeerd als binnen bereik | ISMS-beleid A.5.1 | Geregistreerde lead; SoA; roll call |
| Klein, energiesector, kritisch | Sectoroverlay toegepast | Sectorcontrolebeleid | Sectoroverlaylogboek; auditdocumenten |
| Transportverwerving | Due diligence bij onboarding | M&A-controles | Notulen van de raad van bestuur; inventarisatielogboek van activa |
ISO 27001-brugtabel: Verwachting voor operationalisering
| NIS 2 Verwachting | ISMS.online Techniek / Praktijk | ISO 27001/Bijlage A Controle |
|---|---|---|
| Entiteitsregistratie (lokale laag) | Compliance-workflows per entiteit | Artikel 4.3, A.5.1 |
| Auditlogs (uniek, per entiteit) | Afzonderlijke SoA, bewijs per entiteit | A.5.1, A.5.35, A.8.34 |
| Sectoroverlays (lokalisatie) | Toewijzing aan sectoroverlays | A.5.19, A.5.21 |
De naleving van dochterondernemingen kan alleen worden bewezen als controles, verantwoordelijke eigenaren en bewijsmateriaal direct in kaart kunnen worden gebracht. Er zijn geen koppelingen, geen auditpass.
Begin vandaag nog met het in kaart brengen van de reikwijdte en het bewijs van dochterondernemingen in ISMS.online
Uw volgende audit of aanbesteding zal meer vergen dan taal over groepsbrede assurance: auditors zullen verwachten dat ze entiteit voor entiteit, via onafhankelijk geregistreerde dochterondernemingen, sectoroverlappende documenten en levend bewijs logs.
ISMS.online rust groepsstructuren uit om Breng elke dochteronderneming in kaart, wijs lokale eigenaren toe, traceer elk stukje bewijs en onderhoud één enkel nalevingsdashboard dat elke nationale en sectorale vereiste weerspiegelt, zonder het voordeel van geharmoniseerde workflows te verliezen.
In 2024 hebben meer dan 1,000 groepsstructuren in de EU ontdekkinghiaten gedicht en het risico van gemiste entiteiten geëlimineerd met behulp van het compliancekader van ISMS.online.
Snapshots: hoe u groepsbestendige naleving kunt bereiken
- Breng elke dochteronderneming in kaart, hoe klein of nieuw ook
- Wijs voor elke entiteit een live compliance-eigenaar toe
- Huur of behoud lokale expertise om door de nationale overlappingen in elk land te navigeren
- Zorg ervoor dat elk logboek, elke SoA, elk risicorespons en elk incidentenplan herleidbaar is naar die entiteit, niet alleen naar het hoofdkantoor.
- Voer centrale dashboards uit, maar vul deze aan met weergaven en documentatie op entiteitsniveau
Begin nu. De minst zichtbare entiteit is vaak de eerste oorzaak van groepsblootstelling - en de zwakste schakel in uw complianceketen blijft zelden lang stil.
Bereid u vol vertrouwen voor op NIS 2-audits en verzoeken van nationale toezichthouders door elke dochteronderneming en sector in kaart te brengen met ISMS.online. Zo wordt elke juridische entiteit binnen het bereik gedekt, is elke controle verdedigbaar en loopt uw groep voorop met entiteitspecifieke naleving die klaar is voor audits.
Demo boekenVeelgestelde Vragen / FAQ
Hoe bepaalt NIS 2 of dochterondernemingen aparte naleving nodig hebben, of is het programma van het moederbedrijf alleen voldoende?
NIS 2 vereist dat elke juridische entiteit in een groep (moeder- of dochtermaatschappij) individueel wordt beoordeeld en verantwoordelijk wordt gehouden voor haar eigen naleving, ongeacht hoe centrale programma's of documentatie worden beheerd.
Als een dochteronderneming voldoet aan lokale drempels voor omvang, sector of risico, kan zij het complianceprogramma van de moedermaatschappij niet zomaar 'erven'. ENISA bevestigt dit: elk in aanmerking komend bedrijf moet zijn eigen registratie, risicobeoordelingen en actuele informatie bijhouden. controlespoors, zelfs als groepsbeleid helpt bij harmonisatie (ENISA, 2024). Vanuit het perspectief van een auditor is er geen sprake van een "algemene" dekking: dochterondernemingen moeten lokaal bewijs overleggen, verantwoordelijke leidinggevenden aanstellen en afzonderlijk indienen waar vereist door de nationale wetgeving.
Tabel: NIS 2 Subsidiaire reikwijdteregels
| Entiteitsscenario | Registratie vereist door | Lokaal bewijs? | Gemeenschappelijk resultaat |
|---|---|---|---|
| Groep alleen voor ouders | Ouder | Ja | Onderzeeërs lopen het risico op handhavingstekorten |
| Dochteronderneming > drempel | dochteronderneming | Ja | Moet audit trail tonen |
| JV of grensoverschrijdende structuur | Beide/alle entiteiten | Ja | Elk bestand wordt lokaal gecontroleerd |
Als een dochteronderneming binnen het bereik valt, maar geen unieke logboeken of aangiften heeft, hebt u de kloof tussen uw groepsnaleving en die van uw groep niet gedicht.
Kan een dochteronderneming meeliften op de NIS 2-naleving van de groep, of moet zij zelfstandig opereren?
Nee: NIS 2 schrijft voor dat elke dochteronderneming ‘op eigen benen moet staan’.
De richtlijn en de recente handhavingsrichtlijnen benadrukken dat Verantwoording op entiteitsniveau overtreft comfort op groepsniveauCentrale ISMS-tools of uniforme beleidsregels kunnen compliance begeleiden en versnellen, maar elke dochteronderneming moet haar eigen registratie-, risico- en incidentenlogboeken bijhouden en actief controles implementeren (Advisense, 2024). Als een dochteronderneming wordt gecontroleerd, zullen toezichthouders bewijs eisen dat zij niet zomaar groepsbeleid heeft ingesteld en vergeten, maar actief lokale vereisten heeft beheerd. Pogingen om compliance op entiteitsniveau te beperken, leiden vaak tot dubbel auditwerk of boetes tijdens onderzoeken na incidenten.
Minitabel: Groeps- versus dochterondernemingsverantwoording
| Nalevingsstap | Groepsbreed toegestaan? | Is een aanvullende actie vereist? |
|---|---|---|
| Centrale beleidssjablonen | Ja | Moet lokaal worden aangepast/overgenomen |
| Registratie & rapportage | Nee | Moet archiveren, registreren en leiding toewijzen |
| Bewijslogboeken/SoA/risicoregistraties | Nee | Moet entiteitsspecifiek zijn |
Accountants moeten de vingerafdrukken van elke dochteronderneming zien, niet alleen de handtekening van de moedermaatschappij op een beleid.
Wie is aansprakelijk als een dochteronderneming haar NIS 2-verplichtingen niet nakomt, de moedermaatschappij van de groep of de dochteronderneming zelf?
De aansprakelijkheid is rechtstreeks en rust op de falende dochteronderneming. Groepsmaatschappijen zijn niet automatisch aansprakelijk, tenzij ze zelf onder de aansprakelijkheid vallen.
Wanneer een dochteronderneming een vereiste stap, zoals registratie, sectoroverlay, bewijslogboeken of incidentenrapportage, mist, richten toezichthouders zich op de specifieke verantwoordelijke juridische entiteit. Zelfs wanneer er een groepsprogramma bestaat, worden handhavingsmaatregelen (zoals bevelen, boetes of naamsvermelding) gericht aan de specifieke entiteit die de overtreding begaat (Hogan Lovells, 2024; Alliuris, 2024). De groep wordt alleen aansprakelijk gesteld als deze zelf binnen de scope valt of aantoonbaar eisen op een hoger niveau heeft georkestreerd/verwaarloosd.
Geen immuniteit op groepsniveau: Elke dochteronderneming staat of valt met haar eigen lokale auditgereedheid.
Kunt u onder NIS 2 groepsbrede of gecentraliseerde naleving uitvoeren, en wat moet lokaal blijven?
Centralisatie is krachtig, maar mag nooit een vervanging zijn voor dochterondernemingen. ENISA en toonaangevende regelgevende instanties moedigen groepsbrede platforms en gedeelde sjablonen aan om workflows te stroomlijnen (zie casestudies van ISMS.online-clients), maar Bewijs op entiteitsniveau en lokale acceptatie zijn niet onderhandelbaar.
Elke dochteronderneming moet een actueel risicoregister, SoA, lokale eigenaar en nieuwe logs tonen - hergebruikte groepsdocumenten zijn niet voldoende (ENISA, 2024; PWC Hongarije, 2024). Platforms zoals ISMS.online maken deze dualiteit mogelijk: geharmoniseerd beleid aan de top, op maat gemaakte controles en controlebewijs bij elke entiteit.
Tabel: Wat groepen kunnen delen versus wat subs moeten bezitten
| Compliance-element | Is groepsdeling mogelijk? | Moet het een dochteronderneming zijn? |
|---|---|---|
| Beleidssjablonen | Ja | Lokale adoptie vereist |
| SoA/controls-logboek | Nee | Elke entiteit registreert en actualiseert |
| Registratie/contact | Nee | Bestand per entiteit, per sector |
| Risicobeoordelingen | Partieel | Moet lokaal valideren/aanpassen |
Een geharmoniseerd ISMS is alleen efficiënt als elke rechtspersoon afzonderlijk is aangemeld, geregistreerd en gereed is voor audits.
Hebben nationale en sectorale regels invloed op de wijze waarop dochterondernemingen worden ingedeeld of beheerd onder NIS 2?
Absoluut. Elke EU-lidstaat en gereguleerde sector introduceert overlays die de naleving opnieuw vormgeven:
Sommige landen (bijvoorbeeld Italië en Hongarije) dwingen aparte registraties en lokale leidingtoewijzingen voor elke entiteit, ongeacht de groepssystemen (Cullen International, 2024). Digitale infrastructuur, energie en gezondheid hanteren vaak lagere drempelwaarden voor de reikwijdte van dochterondernemingen en kunnen de rapportage- of bestuursverantwoordelijkheidsvereisten versnellen (OpenKritis, 2024).
Sectoren of landen werken de omzettingsregels regelmatig bij – soms zelfs maandelijks – waardoor de verplichtingen van een dochteronderneming vandaag kunnen veranderen vóór de volgende audit. Besturen moeten de nationale en sectorale richtlijnen actief volgen en klaarstaan om de naleving van de dochterondernemingen te evalueren wanneer ze hiervan op de hoogte worden gesteld.
Tabel: Voorbeelden van nationale en sectorvariabelen
| Veranderlijk | Potentiële impact |
|---|---|
| Land | Vroege/late registratie, indieningen |
| Sector | Lagere drempels, meer logs |
| Organisatiestructuur | JV's, grensoverschrijdend = dubbele registraties |
| Dochteronderneming omvang | Kan scoping activeren indien kritisch |
Compliance is niet statisch: wijzigingen in regels kunnen dochterondernemingen zonder waarschuwing 'erin' krijgen.
Wat wordt beschouwd als een "aanvullend controletraject" voor NIS 2? Welk bewijs verwachten accountants?
Een conforme audit trail koppelt elke gebeurtenis in de scope, zoals een toename van het personeelsbestand, een verschuiving van sector of een overname, wordt live gezet met door de eigenaar benoemde logboeken en actuele controles voor elke dochteronderneming.
Auditors zullen vragen om de hele keten te traceren, van "waarom valt deze dochteronderneming onder de scope" tot "aantonen dat het risico is beoordeeld, beheerst en er bewijs is vastgelegd". Lacunes ontstaan vaak wanneer groepsbeleid van kracht is, maar niet individueel is vastgesteld of gedocumenteerd per entiteit, vooral na overnames. De beste praktijk is dat elke dochteronderneming een actieve SoA, een actueel risicoregister en een auditbestand met lokale lead- en sectoroverlays presenteert (Hogan Lovells, 2024; ENISA, 2024).
Tabel: Traceerbare gebeurtenissen naar auditklaar bewijs
| Trigger | Risico/Gebeurtenis | Controle/SoA | Bewijs geregistreerd |
|---|---|---|---|
| 50+ FTE aangenomen | Binnen het toepassingsgebied verklaard | Beleid A.5.1 toegewezen | Eigenaar geregistreerd, logboek bijgewerkt |
| Sectoroverlay | Sector geactiveerd | Sector SoA in kaart gebracht | Sectorspecifieke auditvermelding |
| Acquisitie | Due diligence-evenement | M&A-controle aangenomen | Verwervingsregistervermelding |
Auditgarantie wordt verkregen via logboeken op entiteitsniveau, niet alleen via groepsbestanden, die het daadwerkelijke eigenaarschap en bewijs aantonen.
Hoe garandeer je dat een groep en alle dochterondernemingen daadwerkelijk NIS 2-auditklaar zijn?
Maak gebruik van een complianceplatform dat samensmelt registers en controles op entiteitsniveau met groepsbreed toezicht-zodat elke juridische entiteit, ongeacht de omvang of locatie, is aangemeld en gereed is wanneer de auditlijn wordt getrokken.
In 2024 zullen Europese groepen die ISMS.online gebruiken hun NIS 2-uitstoot verlagen voorbereiding van de audit tijd met meer dan 40% en voorkwam auditfouten als gevolg van gemiste dochterondernemingen of deponeringen (Advisense, 2024). Deze aanpak geeft elke lokale leider een duidelijk dashboard en een actief audittraject, terwijl het groepsbestuur de naleving binnen de gehele portefeuille met vertrouwen in kaart kan brengen. Het in kaart brengen van triggers, het loggen van gebeurtenissen en het actief houden van controles bij elke entiteit is nu de minimale drempel voor veerkracht en vertrouwen bij toezichthouders.
Identiteit CTA:
Breng de compliance van uw groep en dochteronderneming in kaart in een uniforme omgeving en zorg ervoor dat elke rechtspersoon - moedermaatschappij, dochteronderneming of joint venture - geregistreerd, auditklaar en robuust is. Met ISMS.online kan uw hele groep direct voldoen aan NIS 2: geen gemiste aangiften, geen verborgen hiaten, geen auditverrassingen.
