22 mei 2026

Cybersecurity en NIS2: Wat betekent de TPM audit voor uw organisatie?

Cybersecurity staat al een tijdje hoog op de Europese agenda, en dat is niet voor niets. Digitale dreigingen nemen toe, aanvalsoppervlakken worden groter en de gevolgen van een cyberincident kunnen enorm zijn voor uw bedrijf, uw klanten én de samenleving als geheel. Met de komst van de NIS2-richtlijn heeft de Europese wetgever een duidelijk signaal afgegeven: essentiële en belangrijke organisaties moeten hun digitale weerbaarheid aantoonbaar op orde hebben.

Lees verder

Bij 2-Control zien wij dagelijks hoe organisaties worstelen met de vraag wat dit concreet van hen vraagt, zeker wanneer zij werken met externe leveranciers. Eén van de vragen die wij regelmatig krijgen is: wat is nu precies een NIS2 TPM audit, en heb ik daar iets mee te maken?

Valt uw organisatie onder NIS2?

De NIS2-richtlijn (Directive 2022/2555, ofwel de Network and Information Security Directive II) is van toepassing op essentiële en belangrijke entiteiten die actief zijn in zogeheten hoog-kritieke sectoren of andere kritieke sectoren. Denk aan energie, transport, bankwezen, financiële marktinfrastructuren, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening (B2B), openbaar bestuur en de ruimtevaartsector. Daarnaast vallen ook sectoren als post- en koeriersdiensten, afvalbeheer, de chemische industrie, de voedingssector en digitale aanbieders onder de richtlijn.

Of uw organisatie als "essentieel" of "belangrijk" wordt gekwalificeerd, hangt in de basis af van omvang en sector:

  • Essentiële entiteiten: Grote organisaties (250 of meer medewerkers, of een jaarlijkse omzet van meer dan €50 miljoen en een balanstotaal boven de €43 miljoen) actief in een hoog-kritieke sector.

  • Belangrijke entiteiten: Middelgrote organisaties (50 tot 249 medewerkers, omzet van €10 tot €50 miljoen of balanstotaal van €10 tot €43 miljoen) die actief zijn in een hoog-kritieke sector, of grote dan wel middelgrote organisaties in andere kritieke sectoren.

Belangrijke kanttekening: Staar u niet blind op enkel de omvang en sector. De overheid en de bevoegde minister hebben de bevoegdheid om specifieke bedrijven en sectoren expliciet aan te wijzen om onder de NIS2 te vallen, zélfs als zij buiten de standaard criteria of drempelwaarden vallen. Dit gebeurt bijvoorbeeld wanneer een incident bij zo'n organisatie een grote impact kan hebben op de openbare veiligheid of gezondheid.

Twijfelt u of uw organisatie in scope valt? De Rijksinspectie Digitale Infrastructuur (RDI) biedt een online NIS2-zelfevaluatie aan waarmee u dat kunt bepalen.

Wat verwacht NIS2 van u?

De NIS2 legt organisaties drie hoofdverplichtingen op:

  1. Registratieplicht: U moet uw organisatie registreren bij de bevoegde autoriteit.

  2. Meldplicht: Significante cyberincidenten moeten binnen 24 uur worden gemeld aan de toezichthouder én het Computer Security Incident Response Team (CSIRT).

  3. Zorgplicht: U voert zelf een risicobeoordeling uit en neemt passende maatregelen om de continuïteit van uw diensten te waarborgen en de beveiliging van uw informatiesystemen te garanderen.

Die zorgplicht klinkt overzichtelijk, maar de praktijk is weerbarstiger. Want wat doet u als een belangrijk deel van uw IT-omgeving niet bij u zelf draait, maar bij een externe leverancier?

De Nederlandse situatie: de Cyberbeveiligingswet

In Nederland wordt de NIS2-richtlijn omgezet via de Cyberbeveiligingswet (Cbw), die naar verwachting in de eerste helft van 2026 in werking treedt. Tot die tijd is de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) van kracht. Organisaties kunnen zich in de tussenliggende periode al vrijwillig aanmelden bij het NCSC (Nationaal Cyber Security Centrum).

Een geruststellend gegeven voor de Nederlandse markt: certificering wordt niet verplicht gesteld. De focus ligt op het nemen van passende, risico-gebaseerde maatregelen. Het normatieve framework (ontworpen door NOREA en de Auditdienst Rijk) biedt organisaties een concreet houvast om hun digitale weerbaarheid te structureren en aantoonbaar te maken.

Maar let op! De boetes bij niet-naleving zijn fors. Voor essentiële entiteiten kunnen sancties oplopen tot €10 miljoen of 2% van de wereldwijde omzet (waarbij het hoogste bedrag geldt). Voor belangrijke entiteiten gaat het om maximaal €7 miljoen of 1,4% van de wereldwijde omzet. Bovendien kunnen bestuurders persoonlijk aansprakelijk worden gesteld.

U besteedt IT uit. En nu?

Veel organisaties maken gebruik van externe leveranciers voor hun IT-dienstverlening, denk aan een applicatieleverancier, een hostingpartij of een identiteitsprovider. Die partijen beheren systemen waarop uw essentiële processen draaien. Onder de NIS2-zorgplicht bent u als organisatie verantwoordelijk voor de beveiliging van uw gehele keten, dus ook voor het deel dat bij uw leverancier ligt.

Dat betekent dat u moet kunnen aantonen dat de beheersingsmaatregelen bij uw leverancier voldoen aan het normenkader. Precies hier speelt de TPM audit een centrale rol. Wil je meer weten over de TPM audit? Lees dan onze blog over de TPM verklaring.

NIS2 TPM audit en Ketenbeveiliging

Een NIS2 TPM audit is een assurance-opdracht waarbij IT-auditors, zoals 2-Control, onderzoeken of de beveiligings- en beheersingsmaatregelen bij uw leverancier voldoen aan het Cbw (NIS2) Control Framework. Het resulterende rapport stelt u in staat om richting toezichthouders, klanten en uw eigen bestuur aan te tonen dat ook het uitbestede deel van uw dienstverlening onder controle is.

Om de ketenbeveiliging in de markt concreet en transparant te maken, is het NIS2 Supply Chain framework ontwikkeld. Als erkende IT-audit partij is 2-Control officieel partner en bevoegd om het NIS2 Supply Chain Q10 & Q20 keurmerk af te geven. Hiermee kunnen leveranciers op een gestandaardiseerde, onafhankelijke manier aantonen dat hun cyberbeveiliging voldoet aan de strenge eisen van de richtlijn.

Wat doet 2-Control voor u?

Bij 2-Control voeren wij NIS2 TPM audits uit voor organisaties die hun IT-dienstverlening (gedeeltelijk) hebben uitbesteed, maar ook voor leveranciers die hun klanten willen voorzien van een onafhankelijk assurancerapport of een NIS2 Supply Chain kwalificatie. Wij toetsen of de opzet en werking van de beheersingsmaatregelen het normenkader afdekken en rapporteren daar helder en onafhankelijk over.

So helpen wij u om aantoonbaar in control te zijn: niet alleen tegenover de toezichthouder, maar ook tegenover uw klanten, partners en uw eigen bestuur.

Klaar voor 2026?

Met de verwachte inwerkingtreding van de Cyberbeveiligingswet in de eerste helft van 2026 is er geen tijd te verliezen. Wilt u weten of uw organisatie onder NIS2 valt, wat een TPM audit voor u betekent of hoe 2-Control u kan ondersteunen met een NIS2 Supply Chain-traject? Neem gerust contact met ons op. Wij denken graag met u mee.

Naar overzicht
TPM audit NIS2 TPM Audit NIS2 Supply Chain begeleiding

Lees onze laatste blogs over NIS 2:

22 mei 2026 Cybersecurity en NIS2: Wat betekent de TPM audit voor uw organisatie?
2 april 2025 Hoe mijn stage bij 2-Control bijdraagt aan de toekomst van BIO- en NIS2-audits
19 september 2024 AVG na 6 jaar en de komst van NIS2
30 mei 2024 NIS2: De volgende stap voor aanbieders van essentiële én belangrijke diensten

2-Control

076-5019470

Neem contact met ons op

Heeft u vragen of opmerkingen over onze IT-auditdiensten? Wij horen graag van u. Vul uw gegevens in het onderstaande formulier in en wij nemen zo snel mogelijk contact met u op. U kunt ook rechtstreeks contact met ons opnemen via het telefoonnummer aan de linkerkant.

Ons toegewijde team staat klaar om u te helpen met eventuele vragen of problemen. Wij streven ernaar om u de best mogelijke service te bieden.

Vul ons contactformulier in

2-Control B.V.

Haagsemarkt 1
4813 BA Breda
Nederland
+31 (0)76 5019470
verkoop@2-control.nl

BTW NL866595934B01
KVK 93995814

Inschrijven nieuwsbrief

Blijf op de hoogte van het laatste nieuws over onze IT-auditdiensten.