Wat onderscheidt NIS 2 van de AVG? Inzicht in de twee regimes
Elke organisatie die haar activiteiten digitaliseert of opschaalt in heel Europa, staat voor een dubbele noodzaak: NIS 2 en de GDPRElk ervan lijkt op zichzelf monumentaal, en voor velen overlappen ze elkaar nu op het zwakste moment – in de mist van de crisis. De AVG, jarenlang het wereldwijde keurmerk voor de bescherming van persoonsgegevens, bracht de rechten van individuen en de verantwoordelijkheden van organisaties in kaart. Maar NIS 2 verandert het veld: plotseling wordt veerkracht – technisch, operationeel en in de toeleveringsketen – een eerste vereiste op nationaal en EU-niveau.
Wanneer een aanval en een ongeluk samenkomen, hangt het verschil tussen verstoring en ramp vaak af van wie de baas is over de klok van welke regelgeving.
Waar de AVG uw taak als gegevensbeheerder omschrijft (waar uw servers of teams zich ook bevinden), vereist NIS 2 dat u optreedt als een digitale vesting voor hele sectoren en toeleveringsketens. De AVG richt zich op het beschermen van de informatieprivacy van EU-inwoners als mensenrecht. NIS 2 richt zich op systematische risico's: het beschermen van continuïteit, kritieke infrastructuur en het publiek door middel van operationele robuustheid, niet alleen vertrouwelijkheid.
In de praktijk betekent dit dat NIS 2 een bepaalde set van kritieke en belangrijke sectoren bestrijkt: van gezondheidszorg tot energie, telecom tot essentiële openbaar bestuurHet is het digitale immuunsysteem van Europa: het gaat er niet zozeer om wat je vasthoudt, maar meer om wat er kan misgaan als je organisatie instort (ENISA). De AVG daarentegen strekt zich uit over alle Europese persoonsgegevens en is bindend voor iedereen – of het nu een Amerikaanse SaaS-leverancier, een Britse startup of een Singaporese betalingsgateway is – die met gegevens van EU-ingezetenen omgaat (EDPB).
De triggers verschillen enorm. De AVG treedt in werking wanneer persoonsgegevens verkeerd worden verwerkt, ongeacht de oorzaakNIS 2 daarentegen reageert op elke gebeurtenis die essentiële digitale activiteiten bedreigt: ransomware die ziekenhuizen platlegt, DDoS-aanvallen die betalingsverkeer verstoren, of tekortkomingen van leveranciers die gevolgen hebben voor de gezondheidszorg, water, energie of financiën. In werkelijkheid veroorzaken veel inbreuken beide: ransomware die gegevens lekt, vereist AVG-rapportage; systeemstoringen die de service stilleggen, activeren NIS 2.
Niemand heeft de keuze tussen het een of het ander. De impact van de AVG is de beroemde megaboetes en de handhaving van de belangrijkste regels. NIS 2 brengt een nieuwe scherpte: uitgebreide boetes, realtime sectoraudits, bestuursverantwoordingen expliciete reikwijdte in de toeleveringsketen (EUR-Lex). De toekomst van cybercompliance in Europa ligt bij organisaties die opereren op het kruispunt - waar privacy en veerkracht geen kwestie van óf het een of het ander zijn, maar de onlosmakelijk verbonden DNA van digitaal vertrouwen.
Wie moet voldoen? Entiteitsbereik, sectortriggers en overlapping
U, uw leveranciers en uw bestuur - ze leven allemaal mee op de compliancekaart. De logica die uw organisatie in de richting van NIS 2 of AVG brengt, is anders, maar digitale complexiteit vervaagt nu de grenzen op de plekken met de meeste risico's. Leiderschap betekent vandaag de dag precies weten wanneer uw incident zal uitmonden in een regelgevende dubbele bedreiging.
Als een inbreuk twee wettelijke klokken in werking stelt, is het missen van één klok geen excuus. Het is een escalatie.
NIS 2 richt zich op exploitanten van essentiële en belangrijke diensten: energienetwerken, ziekenhuizen, digitale aanbieders, overheidsinstanties (Fieldfisher). "Essentieel" omvat bedrijven die de maatschappij op grote schaal verstoren. "Belangrijk" kan SaaS-bedrijven omvatten die diep geworteld zijn in het nationale tech-ecosysteem. Zelfs het mkb en non-profitorganisaties die als "vitaal" worden aangemerkt, kunnen erbij betrokken worden. Een grote omvang biedt minder bescherming dan ooit.
De AVG is niet van toepassing op sectoren of omvang: de aanwezigheid van gegevens van EU-burgers is voldoende. Een eenmanszaak die een CRM in de VS gebruikt, een wereldwijd e-commerceplatform of een lokale overheid met een schooltoelatingsportal: ongeacht of gegevens de EER in- of uitgaan, is de AVG van toepassing.
Maar hier is het probleem: In een cloud-first, API-gedreven economie komen beide regimes vaak samen. Een SaaS-bedrijf maakt inbreuk op de gegevens van een ziekenhuis - NIS 2 voor de bedrijfsonderbreking, AVG voor het verlies van privacy. Een ransomware-aanval blokkeert een waterleverancier - NIS 2 omdat burgers niet kunnen douchen of koken, AVG als klantgegevens lekken.
| Type entiteit | NIS 2-dekking | AVG-dekking | Scenario met dubbele trigger |
|---|---|---|---|
| Cloudprovider | Essentieel/Belangrijk | Verwerker/Verwerkingsverantwoordelijke | Storing + gegevensverlies |
| Ziekenhuis | Essentiële | Controller | Ransomware legt zorg stil; data-exfil |
| HR-SaaS | belangrijk | Controller | Supply chain getroffen, datalek bij werknemers |
| Non-profit | Meestal vrijgesteld | Controller | Datalek bij donoren |
De meeste organisaties moeten operationeel worden dubbele nalevingDe vraag is niet: "Vereist deze inbreuk beide?", maar: "Hoe zorg ik ervoor dat ik aan alle verplichtingen voldoe - op tijd, in het openbaar en in de vorm van een verslag?"
Wanneer beide maatregelen van toepassing zijn, verwachten toezichthouders een geharmoniseerde actie: direct, nauwkeurig en nooit tegenstrijdig. Dat betekent rolspecifieke checklists voor meldingen, kruisbestuiving van bewijsmateriaal en een draaiboek waarin operationele en privacy-leads de cirkel rond maken (Noerr).
Beheers NIS 2 zonder spreadsheetchaos
Centraliseer risico's, incidenten, leveranciers en bewijsmateriaal op één overzichtelijk platform.
Boetes en straffen: hoeveel, wie beslist en wat het meest pijnlijk is
De dreiging van financiële sancties is vaak de reden dat compliancebudgetten worden goedgekeurd – en wat de echte paniek veroorzaakt wanneer er een overtreding plaatsvindt. Maar de handhavingsmechanismen, en wie betaalt, zijn nog nooit zo anders of persoonlijker geweest.
De impact van een boete is kortstondig. De impact van een overtreding van de publieke regelgeving is permanent.
GDPR-boetes Kan oplopen tot € 20 miljoen of 4% van de wereldwijde omzet (afhankelijk van welk bedrag het hoogst is) - geheven voor ernstige overtredingen zoals het niet melden van een datalek, gebrekkige rechtmatige verwerking of het negeren van rechten van betrokkenen (EDPB Enforcement Tracker). Kleinere misstappen (slechte registratie, onduidelijkheid over toestemming) kunnen oplopen tot € 10 miljoen of 2%.
NIS 2 boetes hebben echte tanden voor besturen. Essentiële entiteiten voldoen aan een plafond van € 10 miljoen/2%; "belangrijke" entiteiten aan € 7 miljoen/1.4% (EUR-Lex NIS 2). Maar de innovatie zit in de governance: aanhoudend wanbeheer, overschrijding van de meldingstermijnen en technische onvoorbereidheid kunnen leiden tot schorsingen van de directie, sectorbrede schorsingen (denk aan "kan een bank of ziekenhuis niet meer X jaar runnen") en het publiekelijk te schande maken van individuen.
| regime | Max Fine | Directe doelen | Unieke risicohefboom |
|---|---|---|---|
| GDPR | €20 miljoen/4% omzet | Organisatie | Megaboetes, DPA-audit |
| NIS 2 (Essentieel) | €10 miljoen/2% omzet | Bestuur, Organisatie | Uitvoerende verboden |
| NIS 2 (Belangrijk) | €7 miljoen/1.4% omzet | Organisatie | Leveringsverboden |
Kun je twee keer een boete krijgen? "Ne bis in idem" verbiedt dubbele bestraffing voor dezelfde feiten, maar in de meeste gevallen kunnen toezichthouders operationele en privacystraffen stapelen of opeenvolgen. Mis je een dubbele deadline of faal je twee taken, dan kunnen er twee boetes volgen.
De "verborgen" boete is operationeel: verlies van vertrouwen, falende leveranciersaudits, of verplicht worden om falen openbaar te maken. Voor kritieke leveranciers leidt een lacune in de NIS 2 due diligence tot het sneller verbreken van contracten dan de meeste boetes kunnen worden opgelegd (TechRadar). De financiële gevolgen zijn vaak minder kostbaar dan de operationele gevolgen.
Wie handhaaft? Toezichthouders, audit en incidentrespons
Wanneer zich een belangrijke gebeurtenis voordoet, krijgt u niet te maken met één toezichthouder, maar met een netwerk van onderling verbonden autoriteiten. Deze beoordelen allemaal in real-time uw reactie, bewijs en toon.
NIS 2 Handhaving: Sector- en nationale agentschappen
Afhankelijk van uw sector houdt een sectorale autoriteit - energie, communicatie, gezondheid - of een nationale CSIRT toezicht op de naleving (Clifford Chance). De bevoegdheden zijn reëel: onaangekondigde audits, inspecties van logboeken en bewijsstukken, interviews op alle personeelsniveaus en - cruciaal - sancties op bestuursniveau.
Handhaving AVG: Gegevensbeschermingsautoriteiten (DPA's)
De AVG wordt bewaakt door nationale toezichthoudende autoriteiten (AP's), die samenwerken via het Europees Comité voor gegevensbescherming (EDP) wanneer er grensoverschrijdende problemen ontstaan. Onderzoeken kunnen variëren van gerichte vragen tot gecoördineerde pan-Europese onderzoeken, wat afstemming vereist tussen uw privacy-, technische en juridische teams.
Dubbel regime: het tijdperk van gecoördineerde gezamenlijke respons
Een ransomware-incident dat de bedrijfsvoering lamlegt en PII lekt, leidt nu tot gelijktijdige beoordelingen door CSIRT, DPA, sectorale toezichthouders en soms ook mededingingsautoriteiten (ENISA Incident Handling). Het is essentieel om voor elk van deze aspecten duidelijke, goed gedocumenteerde lijnen te hanteren; elke tegenstrijdigheid leidt tot snelle escalatie.
Live Boardroom-tabel: Trigger → Update → Controle → Bewijs
| Trigger-gebeurtenis | Risico-update | SoA/Clausule Ref | Bewijs geregistreerd |
|---|---|---|---|
| Ransomware schakelt operaties uit | Service-uitval/gegevens in gevaar | A.5.24, A.5.29 | Sys-logs, IR-rapport |
| PII-exfiltratie | AVG/DP-melding vereist | A.5.25, A.5.35 | DPO-rapport, auditlogs |
| Storing in het leverancierssysteem | Controle op impact door derden | A.5.21, A.5.3 | Communicatie, risicologboeken |
| Gemiste melding | Juridische escalatie | A.5.36 | Regelgevende communicatie, post |
Wees vanaf dag één NIS 2-ready
Ga aan de slag met een bewezen werkruimte en sjablonen: pas ze aan, wijs ze toe en ga aan de slag.
Wat zijn mijn dagelijkse taken? Rapportage-, bewijs- en responshandleidingen
Ondanks alle retoriek wordt succes niet afgemeten aan de ingediende documentatie, maar aan de acties die worden uitgevoerd en waarvan de resultaten worden verantwoord als elke seconde telt. Beleid alleen is niet voldoende om een audit te doorstaan; bewijs van de operationele realiteit wel.
Een incident dat niet is aangetoond, vergroot het risico.
Incidentmelding: dubbele timers, kritieke vensters
- NIS 2 vereist een eerste waarschuwing binnen 24 uur (zelfs als de feiten voorlopig zijn), een gedetailleerde update binnen 72 uur en voortdurende communicatie met de autoriteiten. Timers starten op basis van de gebeurteniswaarneming, niet op basis van de bevestiging (ENISA-richtlijnen).
- De AVG stelt een termijn van 72 uur voor het melden van inbreuken op de beveiliging van persoonsgegevens, met bijbehorende logs ter onderbouwing van elk uur vertraging.
Bewijsstandaard: levend, niet retro
"Documenteren achteraf" is achterhaald. Platforms bieden nu live systeemlogs, workflow-tijdstempels en teamoverstijgende playbooks die worden geactiveerd door gebeurtenisclassificaties. De beste teams brengen de mensen, processen en controles voor elk incidenttype vooraf in kaart - geen ad-hoc overleg of spreadsheet-challenges (ISMS.online Geünificeerd dashboard).
Gebundelde bewijskoppelingen zijn belangrijk: uw DPO, CISO, IT en zelfs de CEO moeten mogelijk hun goedkeuring geven. Regelgevende instanties verwachten niet alleen wat er is gedaan, maar ook wie, wanneer en met welke ondersteunende context.
Praktische aspecten van het dubbele regime
- Koppel elke taak (melding, bewijs, actie) aan *beide* regimes: type incident, bevoegdheid en deadline.
- Gebruik gedeelde sjablonen en aan rollen gekoppelde controlelijsten: harmoniseer ze, maar dupliceer ze niet.
- Houd één enkel verhaal aan over goedkeuring door het bestuurs en verslagen van de acties na afloop.
Controls Mapping & Audit: Compliance operationaliseren en vertrouwen winnen
Uw live controles en auditverhalen zijn niet alleen maar selectievakjes - ze vormen uw schild en uw auditpaspoort. EU-autoriteiten zoeken naar operationeel bewijs: koppel uw risicoregisters, due diligence bij leveranciers, incidentafhandeling en beleidsbevestigingen in één bewijssysteem.
Alleen organisaties met systematische traceerbaarheid maken daadwerkelijk de stap van het afvinken van de vakjes naar echte verdediging.
ISO 27001 Operationele Brugtabel
| Verwachting | Actie (geoperationaliseerd) | ISO/Bijlage A Ref |
|---|---|---|
| snel incident reactie | Geautomatiseerde playbooks, IR-runbook | A.5.24, A.5.29, A.5.36 |
| Verantwoordingsplicht van het bestuur | Evaluatievergaderingen, ondertekeningslogboek | 9.3, A.5.4 |
| Leveranciersveerkracht | Bewijs van TPRM, contract trail | A.5.21, A.7.13, A.8.30 |
| Audit-/bewijsmateriaalarchief | Beveiligde digitale logs, auditketen | A.5.12, A.7.4, A.5.35 |
| AVG-melding | DPO-pakket ondertekening, communicatierecords | A.5.25, A.5.35, A.5.3 |
Met een uniform platform is elke controle gekoppeld aan een operationeel artefact - een incidentmelding, een risico-update, een beleidswijziging of een leverancierscontrole. Dit beschermt niet alleen audits: het zorgt voor echte continuïteit wanneer uw teams of tools veranderen.
Traceerbaarheidstabel:
| Trigger | Risicosignaal | SoA-koppeling | bewijsmateriaal |
|---|---|---|---|
| Leveranciersinbreuk | TPRM-risico verhoogd | A.5.21 | Leverancierscommunicatie, SoA-update |
| Social engineering | Reactie op incidenten | A.5.24 | IR-logboek, trainingscertificaat |
Het resultaat: een complianceprogramma dat betrouwbare, concrete waarheidsgetrouwe informatie oplevert voor accountants, de raad van bestuur en – als het erop aankomt – toezichthouders.
Al uw NIS 2, allemaal op één plek
Van artikelen 20-23 tot auditplannen: voer ze uit en bewijs dat ze van begin tot eind voldoen aan de regelgeving.
Compliance Forward-Unificeren, automatiseren, verzekeren
Het tijdperk van het dubbele regime betekent dat compliancesucces en de reputatie van organisaties afhangen van gedisciplineerde, onderling verbonden systemen – niet van heldhaftige improvisatie. Checklists kunnen dit tempo niet bijbenen. Alleen uniforme platforms, realtime dashboards en gesystematiseerd bewijs kunnen de regeldruk van alle kanten absorberen en weerspiegelen.
Consistentie wint vertrouwen. Automatisering wint schaalbaarheid.
Geünificeerde dashboards, waaronder het Unified Dashboard van ISMS.online, leveren realtime inzicht: incidentklokken, audittrajecten, controleert "heatmaps", sectorfilters en historische registers. Moderne compliance is een workflow: incidenttriggers werken alle gekoppelde verplichtingen, risicologboeken en wettelijke meldingen bij voordat deadlines worden gemist. Wanneer elke compliance-activiteit automatisch wordt geregistreerd en met elkaar wordt vergeleken, vermindert u niet alleen de auditlast, maar wordt u ook het bedrijf waarvan compliance een concurrentievoordeel is.
| Workflowstap | Actie | Systeemreactie | Uiteindelijke uitkomst |
|---|---|---|---|
| Incident gedetecteerd | Alert + playbook vuur | Meldingssjablonen laden | Regelgevende timers starten, bewijsmateriaal is klaar |
| Waarschuwing voor de toeleveringsketen | Leveranciersfout gemarkeerd | TPRM/risico auto-update | Auditlogboek, bordwaarschuwing |
| Polisvervaldatum | Ping van compliance-eigenaar | Goedkeuringscontrole, controlespoor inloggen | Up-to-date SoA, ISO-ready status |
| Controlebewijs te vragen | Artefact match | Bewijsmateriaal opgedoken, in kaart gebracht | Snelle, verdedigbare auditpass |
Belangrijkste impactstatistieken
- 84% van de CISO's in de EU noemt uniforme dashboards en geautomatiseerde bewijsmapping cruciaal voor het slagen voor NIS 2- en AVG-audits (ENISA, 2024).
- Organisaties die systematisch compliance toepassen, verkorten de voorbereidingstijd voor audits met 55% en halveren het aantal incidenten in de toeleveringsketen.
Neem uw eigen complianceverhaal in handen: leid de volgende audit, maar overleef het niet.
In de realiteit van het duale regime wordt leiderschap gedefinieerd door je vermogen om te handelen, bewijs te leveren en te reageren vóór de krantenkoppen. De best presterende organisaties bereiden hun audits, bewijslogboeken en wettelijke reacties voor als een continu proces – zichtbaar en verdedigbaar in elke fase.
ISMS.online is precies voor dit tijdperk ontwikkeld: om uw Security-, Privacy- en Resilience-programma's te integreren, automatiseren en verenigen binnen één platform, waarbij workflows, logs, controles en goedkeuringen worden gekoppeld. Dit vormt de ruggengraat voor daadkrachtige actie wanneer de tijd dringt, personeel of leveranciers veranderen en nieuwe systemen zich ontvouwen.
Als u leiding geeft aan compliance, privacy, risicomanagement of IT, bepaal dan de toon voor uw bestuur, leveranciers en auditteams. Nodig uw senior security officer, privacy lead of risicomanager uit voor een review van de workflow mapping en eis dat elke tool voldoet aan de complexiteit van uw verplichtingen. Het juiste systeem maakt van uw complianceprogramma de maatstaf waaraan uw branche wordt afgemeten: het bewijst paraatheid, veerkracht en vertrouwen, lang voordat de hoofdtest plaatsvindt.
Veelgestelde Vragen / FAQ
Hoe verschillen boetes en handhavingsbevoegdheden tussen NIS 2 en de AVG? En waarom moet uw bestuur met beide rekening houden?
Zowel NIS 2 als de AVG bevatten opvallende boetes die bedoeld zijn om bestuurders tot actie aan te zetten. De echte bedreiging voor uw organisatie schuilt echter in de persoonlijke en operationele gevolgen die veel verder reiken dan de cijfers. De AVG geeft toezichthouders de bevoegdheid om boetes op te leggen tot € 20 miljoen of 4% van de wereldwijde omzeten het bereik ervan strekt zich uit tot elke entiteit die persoonsgegevens uit de EU verwerkt, ongeacht de sector of geografie. NIS 2 stelt maxima vast van € 10 miljoen (of 2% van de totale omzet) voor ‘essentiële entiteiten’ en € 7 miljoen (of 1.4%) voor ‘belangrijke entiteiten’. Maar in tegenstelling tot de AVG, die zelden op individuen is gericht,NIS 2-handhaving strekt zich op unieke wijze uit tot schorsingen van leidinggevenden en operationele beperkingen bij herhaaldelijke of ernstige tekortkomingen.
| regime | Max. boete % | Maximale boete (€) | Dekking | Bestuurs-/persoonlijk risico |
|---|---|---|---|---|
| GDPR | 4% | € 20 miljoen euro | Alle verwerkers/controllers | DPO kan worden benoemd |
| NIS 2 | 2% / 1.4% | €10 miljoen/€7 miljoen | Essentiële/belangrijke sectoren | Uitvoerend verbod, bedrijfsstop |
Een boete is steeds vaker slechts het begin: herhaaldelijke fouten kunnen uw carrière als leidinggevende bevriezen en uw bedrijf dwingen de activiteiten te staken.
Dit onderscheid is van belang omdat NIS 2, in tegenstelling tot de AVG, toezichthouders directe instrumenten geeft om doelbeslissers- een enkel incident kan niet alleen een boete betekenen, maar ook het verlies van bevoegdheden voor raden van bestuur of belangrijke managers. Als een ransomware-aanval patiëntgegevens en kritieke diensten in gevaar brengt, moet u beide regelingen hanteren. De AVG verbiedt mogelijk dubbele boetes voor hetzelfde datalek ("ne bis in idem"), maar NIS 2 kan nog steeds sancties opleggen als operationele veerkracht, technische respons of toezicht op de toeleveringsketen schieten ook tekort (RGPD.com: NIS2/GDPR-handhaving).
Praktisch mandaat: Registreer jaarlijkse governance-beoordelingen, risicoacceptatie en technisch toezicht voor zowel NIS 2 als AVG. Het aanmaken van één controleerbaar record per regime zorgt ervoor dat regelgevend toezicht in organisatorisch bewijs van due diligence - en maakt het verschil tussen een waarschuwing en een verbod.
Welke organisaties, sectoren of servicelijnen vallen onder NIS 2, AVG of beide? En hoe transformeert een dubbel regime uw compliance-activiteiten?
De AVG is van toepassing op elke organisatie die persoonsgegevens uit de EU verwerkt., ongeacht de omvang of sector: een SaaS-leverancier die personeelsgegevens uit de EU verwerkt; een marketingbureau in de VS met klanten uit de EU; of een lokale non-profitorganisatie die ledengegevens verwerkt. De reikwijdte hangt af van de datastromen, niet van het personeelsbestand of de branche.
NIS 2 richt zich op ‘essentiële’ en ‘belangrijke’ sectoren-kritieke infrastructuur (gezondheid, energie, water, digitale infrastructuur), openbaar bestuur, cloud/SaaS, B2B-leveranciers en belangrijkste managed service providers. Van cruciaal belang is dat er geen algemene vrijstelling voor het MKB: Als uw producten of gegevens vitale functies ondersteunen of een systeemrisico vormen, valt u binnen het bereik. Toezichthouders vertrouwen op de sectormapping van ENISA om de grens te trekken.
| Entiteitsvoorbeeld | NIS 2 | GDPR | Scenario |
|---|---|---|---|
| Regionaal ziekenhuis | Ja | Ja | Ransomware treft zorg- en patiëntgegevens |
| Salarisadministratie SaaS | Misschien | Ja | Leveranciersinbreuk verstoort gegevens/diensten |
| Lokale HR-adviesbureau | Nee | Ja | Verwerker verliest werknemersgegevens |
| Electriciteitsnet | Ja | Ja | Dienstverstoring, waarschuwing toezichthouder |
Een scenario met een dubbel regime komt vaak voor: een cloud SaaS-salarisleverancier voor een grote bank moet documenteren van waarborgen voor persoonsgegevens (AVG) en operationele veerkracht, leverancierscontroles en incidentrespons (NIS 2). Beide eisen incidentlogboeken, meldingen en bewijs van doorlopend bestuur.
Leiderschapsoproep: Integreer regime mapping in uw ISMS-tag voor elke entiteit, elk product of elke leverancier voor zowel AVG- als NIS 2-taken. Werk de mapping bij na elke bedrijfs-, technologie- of contractwijziging en evalueer uw blootstelling ten minste jaarlijks.
Waar verschillen de regels voor het melden van incidenten en de tijdlijnen voor meldingen? Welke dubbele triggers vereisen een parallelle reactie?
Incidentrespons onder de AVG en NIS 2 is niet universeel toepasbaar: elk systeem hanteert andere triggers, deadlines en bevoegdheden. Een fout in de aanpak vergroot het onderzoeksrisico, de controle door de raad van bestuur en zelfs boetes.
NIS 2-rapportage:
- Trigger: Elke significante cyberdreiging, verstoring van de toeleveringsketen of systeemimpact die een bedreiging vormt voor cruciale diensten of gegevens.
- Tijdlijn: 24 uur van detectie voor een eerste waarschuwing aan de nationale CSIRT of sectorregulator, gevolgd door een 72 uur gedetailleerd rapport en voortdurende updates totdat het probleem is opgelost.
- Autoriteit: Nationale cyberautoriteit of sectorregulator, technische auditdiepte (bijv. CSIRT).
AVG-rapportage:
- Trigger: Elke inbreuk op persoonsgegevens die ‘waarschijnlijk een risico voor rechten en vrijheden oplevert’.
- Tijdlijn: 72 uur van ontdekking tot het melden aan de Gegevensbeschermingsautoriteit (DPA), plus de getroffen personen indien er een hoog risico bestaat.
- Autoriteit: Nationale DPA; juridische focus op beschrijving van inbreuken en beperking.
| regime | Rapporteren aan | Trigger | Initiële tijdlijn | Continue updates |
|---|---|---|---|---|
| NIS 2 | CSIRT/Sector | Operationele dreiging, toeleveringsketen | 24 uur | Tot sluitingstijd |
| GDPR | DPA | Risico voor rechten/vrijheden | 72 uur | Feiten veranderen |
Bij een ransomware-uitbraak waarbij salarisgegevens openbaar zijn gemaakt, zijn twee soorten rapporten nodig: uw CSIRT wil forensische en mitigatielogboeken, uw DPA vraagt om de getroffen aantallen en corrigerende maatregelen.
In de praktijk betekenen incidenten met dubbele triggers het voorbereiden en indienen van gediagnosticeerd, kruisverwijzend bewijs voor beide autoriteiten. Controleurs voeren steeds vaker backchecks uit op tijdlijnen en inhoud tussen regimes.
Aktion: Maak vooraf bewijspakketten en meldingsjablonen voor beide regimes in uw ISMS en oefen 'gemengde' incidenten, zodat teams onder druk adequaat kunnen reageren.
Wie zijn de controleurs en handhavers voor NIS 2 en de AVG, en hoe verschilt de persoonlijke verantwoordelijkheid?
NIS 2-audits en handhaving berust bij nationale cyberautoriteiten (CSIRT's) of sectortoezichthouders met brede technische en bedrijfscontinuïteitsbevoegdheden-ze kunnen logboeken, praktijken en notulen van de raad van bestuuren escaleren tot bestuurlijke verboden of operationele beperkingen na aanhoudende tekortkomingen (Clifford Chance: NIS2 juridische notitie). Terugkerende toezichtsfouten betekenen dat uw CISO, CEO of operationele leiders te maken kunnen krijgen met beroepsverboden.
AVG-handhaving wordt beheerd door gegevensbeschermingsautoriteiten (DPA's) die zich richten op verwerking, inbreukformulieren en wettelijke verplichtingen; namen van personen worden zelden genoemd (behalve in geval van opzettelijke nalatigheid of herhaalde incidenten).
| regime | Wie handhaaft | Bestuurs-/Executive Risk | Typisch vereist bewijs |
|---|---|---|---|
| NIS 2 | CSIRT/sectorleider | Uitvoerend verbod, operationele beperking | Incidentenlogboeks, aanbodrisico, minuten |
| GDPR | DPA/EDPB | DPO benoemd, zeldzame bestuursactie | Formulieren voor datalekken, toestemmingstrajecten |
Beste aanpak: Bouw auditklare ISMS-records-logboeken, goedkeuringen, leveringscontracten, bestuursnotulen-één systeem, twee bewijsketens. Test regelmatig de ophaalsnelheid; trage, verspreide documentatie is vaak een vroegtijdig waarschuwingssignaal voor auditors en kan leiden tot strengere sancties.
Welke artefacten, gegevens en operationele gewoontes vormen auditklaar bewijs voor beide regimes? Hoe houdt u dit in stand zonder uw team uit te putten?
Een ISMS met één bron van waarheid transformeert dual-compliance-beheer van een hoofdpijndossier in een verdedigbare kracht. Link risicoregister, incidentenlogboek, bestuursbeoordelingen en leveranciersonderzoek in één systeem, zodat je niet op twee fronten hoeft te vechten.
Brugtabel: ISO 27001/Bijlage A-mapping voor voorbereiding op dubbel regime
| Verwachting | Operationalisering | ISO 27001 / Bijlage A |
|---|---|---|
| Incidentregistratie | ISMS verbindt NIS 2- en AVG-meldingshandboeken | 5.24 / A.5.25 /.5.26 |
| Goedkeuring van de raad | Notulen en ondertekeningen gearchiveerd in ISMS | Artikel 9.3 / Bijlage A |
| Leveranciersrisicobeheer | Due diligence-, contract- en TPRM-workflows gekoppeld | 5.19 / A.5.20 |
| Controle mapping | Matrixkruising van NIS 2- en AVG-controles | Bijlage A / SoA |
Consistentie is beter dan ad hoc: geïntegreerd artefactbeheer stroomlijnt de goedkeuring van het bestuur, CSIRT-query's en DPA-audits.
Zorg voor naleving door:
- Simuleer jaarlijks incidenten met een dubbel regime (ransomware, toeleveringsketen, systeemstoring); registreer logs, beslissingen en hersteltijden.
- Archivering van artefacten: niet alleen beleid, maar ook ingevulde incidentformulieren, bestuursnotulen, bewijsvoering van leveringsrisico's, allemaal gereed met één klik.
- Werk uw toewijzingen bij voor elke belangrijke personeels-, systeem- of productverandering, zodat de verantwoording nooit vervaagt.
Kan één enkele gebeurtenis, bijvoorbeeld een storing bij een leverancier of ransomware, zowel NIS 2 als de AVG activeren? En hoe bewijst u dat u er klaar voor bent (en vermijdt u samengestelde boetes)?
Absoluut: storingen bij SaaS-leveranciers, inbreuken op de toeleveringsketen of ransomware kunnen zowel NIS 2 als de AVG in gang zetten, vooral wanneer services en datasets met elkaar verweven zijn. Het "ne bis in idem"-principe voorkomt boetes voor dubbele gegevens, maar beschermt u niet tegen samengestelde technische, continuïteits- of bestuursniveau-boetes onder NIS 2.
Tabel: End-to-end audittraceerbaarheid
| Trigger | Risico-/statusupdate | Controle / SoA | Artefact geregistreerd |
|---|---|---|---|
| SaaS-leveranciersinbreuk | “derde partij, infrastructuur/data” | 5.19/5.24/A.5.26 | Leverancierscontract, logboeken, bestuursnotulen |
| Datalek bij toeleveringsbedrijf | “Privacy + serviceverlies” | 5.21/Bijlage A | DPA- en CSIRT-meldingen |
| Herhaalde verstoringen | “Voortdurend aanbodrisico” | A.5.19/Bijlage A | TPRM-auditrecord, incidentenoefening |
Uw ISMS is de enige plek waar bewijs zowel boetes kan opheffen als nieuwe vertrouwensmapping TPRM, risico's, incidenten en bestuursacties in alle regimes kan opleveren.
Bewijs, geen beloftes: Gebruik uw ISMS om elke leveranciersgebeurtenis, incident en risicobeslissing te registreren audit gereedheidBouw dashboards voor rapportage met dubbele bevoegdheden; zorg ervoor dat bestuursbeoordelingen zowel de regelgevingskaarten als de status van artefacten visualiseren om hiaten te dichten voordat ze leiden tot boetes of verboden.
Wat zijn de essentiële stappen op het gebied van leiderschap, bedrijfsvoering en toeleveringsketen om vanaf 2024 zowel aan NIS 2- als AVG-naleving te voldoen?
Leiderschap:
- Wijs zichtbare verantwoordelijkheid toe aan elk regime; zorg ervoor dat uw platform realtime de status van het dubbele regime visualiseert.
- Plan een jaarlijkse bestuursbeoordeling en goedkeuring voor zowel NIS 2- als AVG-risico/-naleving. Bewaar de notulen minimaal drie jaar.
- Koppel fusies en overnames, het onboarden van nieuwe diensten of uitbreiding van jurisdicties direct aan bijgewerkte regimebeoordelingen.
Operations:
- Automatiseer een dubbel regime incidenten draaiboeken; zorg dat meldingsjablonen actueel zijn voor zowel de directie als de werkvloer.
- Valideer TPRM-onboarding en evalueer deze elk kwartaal; signaleer snel belangrijke gebeurtenissen in de toeleveringsketen aan de compliancemanager van het bestuur.
Bevoorradingsketen:
- Archiveer alle due diligence, risicobeslissingen, incidenten en wijzigingen bij leveranciers en koppel deze direct aan ISMS-controles en de huidige SoA.
- Oefen gezamenlijke incidentscenario's (jaarlijkse ransomware- en leveranciersgebeurtenisoefeningen) met de directie, DSIRT en juridische instanties.
Consistentie wint vertrouwen. Automatisering maakt schaalbaarheid mogelijk. Het juiste ISMS transformeert compliance van kostenplaats naar concurrerende asset.
Volgende stap:
Ontdek het Unified Dashboard van ISMS.online: bekijk live de status van het dubbele regime, breng de blootstelling aan de toeleveringsketen in kaart en haal auditartefacten op aanvraag op. Download een checklist voor naleving van het dubbele regime of plan een interne auditmapping om uw resultaten toekomstbestendig te maken:
