Ga naar hoofdcontent
NIS2Certify
Terug naar overzicht

De NIS2-deadline voor de eerste audit is 30 juni 2026: wat essentiële entiteiten moeten aantonen

Door NIS2Certify
nis2-auditcompliance-deadlineessentiele-entiteitenarticle-21msp
De NIS2-deadline voor de eerste audit is 30 juni 2026: wat essentiële entiteiten moeten aantonen

Op 1 juli 2026 verandert het gesprek met je klanten. Tot die datum is "we werken aan NIS2" een verdedigbaar antwoord. Daarna is een essentiële entiteit die in de meeste omgezette lidstaten geen bewijs van een afgeronde compliance-audit kan tonen, niet langer achter op schema — die is in overtreding.

De deadline van 30 juni 2026 voor de eerste audit is de eerste harde grens in NIS2 die voor een grote groep organisaties tegelijk bijt. Het is geen boetebeschikking. Het is de datum waarop essentiële entiteiten geacht worden hun eerste formele compliance-audit te hebben uitgevoerd én de documentatie te bezitten die dat bewijst. Voor de IT-consultants, MSP's en vCISO's die dit lezen, betekent dat de komende weken draaien om bewijs, niet om architectuur.

De deadline die "in uitvoering" verandert in "niet-compliant"

NIS2 heeft een reeks datums gehad, en de meeste schoven op. De omzettingsdeadline was 17 oktober 2024, en de meerderheid van de lidstaten haalde die niet. Registratiedeadlines verschoven. Die geschiedenis heeft veel organisaties geleerd NIS2-datums als zacht te behandelen.

Deze is anders van aard. In de lidstaten die NIS2 hebben omgezet en auditverplichtingen hebben vastgelegd, worden essentiële entiteiten geacht hun eerste compliance-audit vóór 30 juni 2026 te hebben afgerond. De audit is het mechanisme dat de maatregelen uit Article 21 omzet van beleid op papier naar iets dat een toezichthouder kan inspecteren.

Als je klant een essentiële entiteit is in een omgezet rechtsgebied, is de vraag op 1 juli niet "heb je controles geïmplementeerd?" Het is "laat de audit zien." Dat is een documentatievraag, en documentatie is precies wat de meeste haastige complianceprogramma's missen.

Essentieel, belangrijk of buiten scope — bevestig het voordat je iets anders doet

De auditverplichting raakt essentiële entiteiten het hardst, dus de eerste taak is bevestigen in welke categorie elke klant valt. Dit fout hebben verspilt de weken die je niet hebt.

NIS2 bestrijkt 18 sectoren en betrekt organisaties ver buiten de klassieke kritieke infrastructuur — productie, voedselproductie, afvalbeheer en digitale aanbieders behoren daartoe. De gangbare drempel is 50+ werknemers en €10M+ jaaromzet of balanstotaal, hoewel sectorspecifieke regels sommige kleinere entiteiten ongeacht omvang erin trekken.

Het onderscheid essentieel versus belangrijk bepaalt het toezichtregime. Essentiële entiteiten vallen onder proactief, ex-ante toezicht — toezichthouders kunnen hen op eigen initiatief auditen, en dat maakt de auditverplichting van 30 juni reëel voor deze groep. Belangrijke entiteiten vallen onder lichter, ex-post toezicht dat wordt geactiveerd door incidenten of klachten. Dezelfde Article 21-verplichtingen, andere kans dat iemand aanklopt voordat er iets misgaat.

Is NIS2 van toepassing op uw organisatie?
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
JaNee
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
JaNee
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
JaNee
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
Van toepassing
Mogelijk van toepassing
Niet van toepassing

Voer deze bepaling uit voor elke klant voordat je ook maar één controle inricht. Een organisatie die ten onrechte denkt dat ze "belangrijk" is, kan de audit overslaan die ze eigenlijk verschuldigd was.

Wat de audit daadwerkelijk moet bewijzen

Een NIS2 compliance-audit is geen penetratietest en geen ISO-certificaat. Het is een onderzoek naar of de entiteit de risicobeheermaatregelen uit Article 21 heeft geïmplementeerd en kan aantonen, plus de governance- en rapportageverplichtingen die daarbij horen.

Article 21 stelt tien basismaatregelen vast: risicoanalyse en beveiligingsbeleid voor informatiesystemen, incidentafhandeling, bedrijfscontinuïteit en crisisbeheer, ketenbeveiliging, beveiliging bij aanschaf en ontwikkeling, beleid om de effectiviteit van maatregelen te beoordelen, cyberhygiëne en training, cryptografie, toegangscontrole en assetbeheer, en multifactorauthenticatie en beveiligde communicatie. De audit zoekt elk van deze als een operationele praktijk met bewijs erachter — niet als een regel in een beleidsdocument.

Artikel 21 — 10 NIS2 Cybersecuritymaatregelen
Artikel 21
10 Cybersecuritymaatregelen
Governance & Strategie
1Risicoanalyse & informatiebeveiligingsbeleid
6Effectiviteitsbeoordeling van beveiligingsmaatregelen
Incidenten & Continuïteit
2Incidentafhandeling & melding
3Bedrijfscontinuïteit & disaster recovery
Toeleveringsketen & Systemen
4Beveiliging van de toeleveringsketen
5Beveiliging bij de ontwikkeling van netwerk- en informatiesystemen
Technische Beheersing
8Cryptografie & versleuteling
10Multi-factor authenticatie & veilige communicatie
Mensen & Middelen
7Cyberhygiëne & training
9HR-beveiliging & toegangscontrole

Twee gebieden laten de meeste programma's struikelen. Het eerste is governance: Article 20 vereist dat het leidinggevend orgaan de cyberbeveiligingsmaatregelen goedkeurt en toezicht houdt op de implementatie, en leden moeten training volgen. Een auditor vraagt om de bestuursnotulen of getekende goedkeuring. "Het IT-team regelt dat" is het verkeerde antwoord, en een gedocumenteerd antwoord is nu makkelijk te produceren en later onmogelijk met terugwerkende kracht te maken.

Het tweede is de gereedheid voor incidentrapportage. De audit controleert of de entiteit de 24-72-30-rapportagecascade daadwerkelijk kan uitvoeren, niet alleen of er een beleid bestaat dat het beschrijft.

Incidentrapportage is een capaciteit, geen clausule

Article 23 vereist een gefaseerde rapportagetijdlijn naar het nationale CSIRT of de bevoegde autoriteit. Een vroege waarschuwing binnen 24 uur nadat men zich bewust wordt van een significant incident. Een volledige melding met een eerste ernstbeoordeling en indicatoren van compromittering binnen 72 uur. Een eindrapport met grondoorzaak, mitigatie en eventuele grensoverschrijdende impact binnen één maand.

Een auditor wil het beleid dat dit zegt niet lezen. Ze willen zien dat de entiteit weet wie een incident als significant aanmerkt, wie de vroege waarschuwing indient, naar welk portaal het gaat, en dat iemand het heeft geoefend. In mei 2026 nam de NIS2 Cooperation Group gemeenschappelijke templates voor incidentrapportage aan, wat het excuus "we kenden het format niet" wegneemt — het format is nu gestandaardiseerd.

NIS2 Incidentmeldingstijdlijn
24h
Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
72h
Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
1mo
Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.

Voor MSP's is dit het gebied waar je directe blootstelling draagt. Als je het SOC of de monitoring van een klant beheert, start de 24-uursklok feitelijk bij jouw detectie. Zorg dat je servicecontract en je runbook het eens zijn over wie wat indient, en dat de audit die overdracht gedocumenteerd kan zien.

De sancties maken de audit nu de moeite waard

De koppen zijn bekend: tot €10M of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, afhankelijk van wat hoger is. Maar boetes zijn zelden wat als eerste pijn doet.

Bevoegde autoriteiten kunnen bindende instructies geven, een beveiligingsaudit op kosten van de entiteit zelf gelasten, en — specifiek voor essentiële entiteiten — certificeringen of vergunningen tijdelijk schorsen en individuen verbieden leidinggevende functies uit te oefenen. De dimensie van persoonlijke aansprakelijkheid is wat de aandacht van een bestuur trekt wanneer een boete dat niet doet.

Een mislukte of ontbrekende eerste audit is de draad die toezichthouders trekken. Een entiteit die niet kan aantonen dat ze zichzelf vóór de deadline heeft geaudit, heeft de toezichthouder een makkelijke opening tot escalatie gegeven.

NIS2-sanctie-escalatie — Voorbij de boete
!
Aanleiding
Non-compliance gedetecteerd of incident treedt op
Een toezichthouder identificeert een compliance-hiaat of een organisatie voldoet niet aan de NIS2-vereisten
Toezichthouders kunnen opleggen
Niet-financiële sancties
1
Nalevingsbevelen met bindende deadlines
2
Verplichte security-audits op eigen kosten
3
Publieke bekendmaking van overtredingen
4
Bindende instructies over specifieke beveiligingsmaatregelen
Escaleert naar
Operationele en persoonlijke gevolgen
1
Opschorting van certificeringen of vergunningen
2
Tijdelijk verbod op bestuursfuncties voor personen
3
Publieke benoeming van verantwoordelijke natuurlijke personen
Aanleiding
Niet-financieel
Operationeel / persoonlijk

Wat te doen in de weken die je nog hebt

Je gaat geen beveiligingsprogramma herbouwen vóór 30 juni. Dat is niet het doel. Het doel is de bewijskloof dichten zodat een klant een afgeronde audit en een geloofwaardig verbeterplan voor de bevindingen kan aantonen.

Triageer de Article 21-maatregelen in geïmplementeerd-met-bewijs, geïmplementeerd-zonder-bewijs en niet-geïmplementeerd. De middelste categorie levert de snelste winst — de controle bestaat, hij moet alleen gedocumenteerd en met screenshots vastgelegd worden. Voor de derde categorie is een gedocumenteerd herstelplan met eigenaren en datums veel beter dan stilte; auditors en toezichthouders maken onderscheid tussen een kloof die je hebt geïdentificeerd en beheerd en een die je hebt genegeerd.

Regel de bestuursgoedkeuring en trainingsregistraties als eerste. Dat zijn de makkelijkste items om nu te produceren en de enige die echt niet achteraf gemaakt kunnen worden.

Wil je snel zien hoe een klant ervoor staat ten opzichte van de Article 21-maatregelen voordat je audituren inzet, voer dan onze NIS2 quick scan uit — die geeft in enkele minuten een momentopname van de kloof zodat je het juiste werk prioriteert in de resterende tijd.

Na 30 juni verandert de vraag voorgoed

De eerste audit is geen eenmalig iets. NIS2-toezicht is continu, en voor essentiële entiteiten worden audits een terugkerende verwachting in plaats van een eenmalige gebeurtenis. De organisaties die 30 juni behandelen als het begin van een doorlopende houding, in plaats van een deadline om te overleven, zijn degene die volgend jaar niet weer aan het haasten zijn.

Voor consultants en MSP's is dat de echte kans. De deadline forceert het gesprek. Wat je bouwt om het te halen — de gedocumenteerde controles, de geoefende rapportagecascade, de bestuursgoedkeuring — is de basis van een retainer, niet van een project. Je klanten die deze grens netjes passeren, hebben iemand nodig om ze daar te houden. Die iemand zou jij moeten zijn.

Voor de praktische uitvoering van een gap-analyse vóór de audit, zie onze stapsgewijze NIS2-gap-analysegids. Voor meer over de persoonlijke aansprakelijkheid die betrokkenheid van het bestuur onmisbaar maakt, zie NIS2-bestuurdersaansprakelijkheid.

    De NIS2-deadline voor de eerste audit is 30 juni 2026: wat essentiële entiteiten moeten aantonen — NIS2Certify