Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wat is het verschil tussen NIS2 en de AVG?

2 juni 2026

NIS2 en de AVG zijn twee verschillende wetten met een ander doel: de AVG beschermt persoonsgegevens van individuen, terwijl NIS2 de weerbaarheid van netwerken en informatiesystemen van organisaties vergroot. De AVG geldt voor vrijwel elke organisatie die persoonsgegevens verwerkt, NIS2 richt zich op specifieke sectoren en organisaties die een bepaalde omvang overschrijden. In dit artikel beantwoorden we de meest gestelde vragen over het verschil tussen beide wetten.

Welke organisaties vallen onder NIS2 en welke onder de AVG?

De AVG geldt voor elke organisatie die persoonsgegevens van mensen in de EU verwerkt, ongeacht de sector of omvang. NIS2 geldt specifiek voor middelgrote en grote organisaties in 18 aangewezen sectoren die actief zijn in de EU. Kleine bedrijven vallen in de meeste gevallen buiten de directe scope van NIS2, maar kunnen via ketenverantwoordelijkheid toch verplichtingen krijgen.

Voor de AVG maakt het niet uit of je een eenmanszaak bent of een multinational: zodra je persoonsgegevens verwerkt, ben je gebonden aan de regels. Dat geldt voor een webshop die klantgegevens opslaat net zo goed als voor een ziekenhuis dat patiëntendossiers beheert.

NIS2 werkt anders. Een organisatie valt direct onder de Cyberbeveiligingswet als zij actief is in een van de 18 aangewezen sectoren én voldoet aan de omvangsdrempel:

  • Middelgrote entiteiten: 50 tot 249 medewerkers en meer dan 10 miljoen euro omzet of balanstotaal
  • Grote (essentiële) entiteiten: 250 of meer medewerkers en meer dan 50 miljoen euro omzet of balanstotaal, en meer dan 43 miljoen euro balanstotaal

De 18 sectoren zijn verdeeld in essentiële sectoren (zoals energie, transport, gezondheidszorg, bankwezen en ICT-dienstenbeheer) en belangrijke sectoren (zoals voedingsmiddelenindustrie, maakindustrie en digitale dienstverleners). IT-dienstverleners zoals managed service providers vallen expliciet onder de categorie ICT-dienstenbeheer en worden dus direct aangesproken door NIS2.

Belangrijk voor het MKB: ook al val je niet direct onder NIS2, dan kun je via de zogeheten indirecte scope toch verplichtingen krijgen. Organisaties die wél onder NIS2 vallen, zijn verplicht hun leveranciers op cybersecuritymaatregelen te beoordelen. Naar schatting krijgen daardoor 50.000 tot 100.000 extra MKB-bedrijven in Nederland indirecte NIS2-verplichtingen, simpelweg omdat ze aan NIS2-plichtige klanten leveren.

Wat beschermt NIS2 en wat beschermt de AVG precies?

De AVG beschermt de privacy en persoonsgegevens van individuen: namen, e-mailadressen, locatiegegevens, gezondheidsdata en alles wat direct of indirect naar een persoon herleidbaar is. NIS2 beschermt de digitale infrastructuur van organisaties en sectoren: de continuïteit, betrouwbaarheid en veiligheid van netwerken en systemen die voor de samenleving van belang zijn.

Je kunt het verschil zo zien: de AVG gaat over wiens gegevens worden beschermd, NIS2 gaat over wat er wordt beschermd. De AVG stelt de burger centraal, NIS2 stelt de operationele weerbaarheid van organisaties centraal.

In de praktijk betekent dit dat de AVG regels stelt over hoe je persoonsgegevens verzamelt, opslaat, deelt en verwijdert. Denk aan het bijhouden van een verwerkingsregister, het informeren van betrokkenen over hun rechten en het melden van datalekken bij de Autoriteit Persoonsgegevens.

NIS2 richt zich op een bredere set van beveiligingsmaatregelen voor digitale weerbaarheid die de digitale weerbaarheid van een organisatie vergroten. Dat gaat verder dan alleen persoonsgegevens: het omvat ook bedrijfskritische systemen, operationele technologie, toeleveringsketens en de continuïteit van dienstverlening. Denk aan back-upprocedures, netwerksegmentatie, toegangsbeheer en crisismanagement.


Hi, how are you doing?
Can I ask you something?
👋 Hallo! Ik zie dat je meer wilt weten over NIS2 en de AVG. Veel MKB-bedrijven in Nederland worstelen met de vraag of — en hoe — deze wetten op hen van toepassing zijn. Hoe zou jij jullie huidige situatie omschrijven?
Goed om te weten! Veel organisaties ontdekken via een korte check al snel waar ze staan. Hoe groot is jullie organisatie ongeveer?
Op basis van wat je hebt aangegeven, kunnen we je gericht helpen — of het nu gaat om een gap-analyse, technische implementatie of leveranciersbeheer. Laat je gegevens achter en een van onze specialisten neemt contact met je op voor een vrijblijvende intake.
✅ Bedankt! Je gegevens zijn ontvangen. Ons team bekijkt je aanvraag en neemt contact met je op om te bespreken hoe we je het beste kunnen helpen met NIS2- en AVG-compliance. We kijken ernaar uit!

Welke verplichtingen legt NIS2 op die de AVG niet heeft?

NIS2 legt verplichtingen op die verder gaan dan de AVG op het gebied van technische beveiliging, ketenverantwoordelijkheid en bestuurlijke aansprakelijkheid. Waar de AVG zich concentreert op de omgang met persoonsgegevens, schrijft NIS2 tien concrete technische en organisatorische maatregelen voor die de volledige cybersecurityhouding van een organisatie raken.

De belangrijkste verplichtingen die NIS2 toevoegt ten opzichte van de AVG zijn:

  • Registratieplicht: Organisaties moeten zich registreren in het nationale entiteitenregister via mijn.ncsc.nl, inclusief een overzicht van diensten en internetdomeinen.
  • Ketenverantwoordelijkheid: Je bent verplicht alle leveranciers te inventariseren, op risico te classificeren, beveiligingseisen contractueel vast te leggen en leveranciers periodiek te controleren.
  • Bestuurlijke trainingsplicht: Bestuurders zijn verplicht cybersecuritytraining te volgen. Ze kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid.
  • Getrapte meldplicht bij incidenten: Binnen 24 uur een vroegtijdige waarschuwing, binnen 72 uur een formele melding en binnen één maand een eindrapport met volledige analyse.
  • Verplichte penetratietesten: Minimaal jaarlijks worden penetratietesten aanbevolen als onderdeel van de effectiviteitsbeoordeling van beveiligingsmaatregelen.
  • Bedrijfscontinuïteitsmanagement: Vastgelegde RTO (Recovery Time Objective) en RPO (Recovery Point Objective), offline back-ups en regelmatige tests van herstelprocessen.
  • MFA als standaard: Multi-Factor Authenticatie is verplicht voor alle externe toegang, beheerdersaccounts en kritieke systemen.

De AVG kent een meldplicht voor datalekken, maar die geldt alleen wanneer persoonsgegevens zijn betrokken. De NIS2-meldplicht is breder: elk significant incident dat de continuïteit van dienstverlening raakt, moet worden gemeld, ook als er geen persoonsgegevens bij betrokken zijn.

Kan een bedrijf tegelijk onder NIS2 én de AVG vallen?

Ja, een bedrijf kan tegelijk onder NIS2 én de AVG vallen. In de praktijk is dit voor veel organisaties in aangewezen sectoren de normale situatie. Beide wetten vullen elkaar aan en overlappen op het punt van beveiligingsmaatregelen, maar ze zijn niet vervangbaar door elkaar.

Stel je voor: een zorginstelling verwerkt patiëntgegevens en valt daarmee onder de AVG. Tegelijkertijd valt de gezondheidszorg onder de essentiële sectoren van NIS2, waardoor de instelling ook aan de NIS2-verplichtingen moet voldoen. Hetzelfde geldt voor een middelgrote IT-dienstverlener die persoonsgegevens van klanten verwerkt én als managed service provider actief is in de categorie ICT-dienstenbeheer.

Waar de wetten overlappen, is op het gebied van beveiligingsmaatregelen. Zowel de AVG als NIS2 vereisen dat je passende technische en organisatorische maatregelen neemt om gegevens en systemen te beveiligen. Maatregelen zoals encryptie, toegangsbeheer en incidentresponsplannen tellen voor beide wetten mee. Je hoeft deze maatregelen dus niet dubbel te implementeren, maar je moet wel aantonen dat ze voldoen aan de eisen van beide regelgevingen.

Het verschil zit in de reikwijdte: de AVG-maatregelen gelden specifiek voor de verwerking van persoonsgegevens, terwijl NIS2 eisen stelt aan de beveiliging van de gehele IT-infrastructuur van de organisatie. Een goed ingericht informatiebeveiligingsbeleid helpt je om aan beide wetten tegelijk te voldoen.

Welke sancties gelden bij overtreding van NIS2 versus de AVG?

Bij overtreding van de AVG kunnen boetes oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. NIS2 kent vergelijkbare maximumboetes: voor essentiële entiteiten tot 10 miljoen euro of 2% van de wereldwijde omzet, voor belangrijke entiteiten tot 7 miljoen euro of 1,4% van de omzet. Een belangrijk verschil is dat NIS2 ook persoonlijke aansprakelijkheid van bestuurders introduceert.

De AVG-handhaving in Nederland verloopt via de Autoriteit Persoonsgegevens (AP). De AP kan boetes opleggen, maar kijkt ook naar de aard van de overtreding, de mate van nalatigheid en de genomen maatregelen. Organisaties die aantoonbaar maatregelen hebben getroffen, worden doorgaans milder beoordeeld dan organisaties die niets hebben gedaan.

NIS2 voegt iets toe wat de AVG niet kent: bestuurders van organisaties kunnen persoonlijk aansprakelijk worden gesteld als zij aantoonbaar nalatig zijn geweest in het naleven van de cybersecurityverplichtingen. Dit betekent dat een directeur of IT-manager niet langer achter de rechtspersoon kan schuilen als het misgaat. Deze persoonlijke aansprakelijkheid maakt NIS2 voor veel bestuurders een directe prioriteit.

Naast boetes kan de toezichthouder ook corrigerende maatregelen opleggen, zoals het tijdelijk verbieden van bepaalde activiteiten of het verplichten van externe audits. Voor organisaties die kritieke diensten leveren, kan dit vergaande operationele gevolgen hebben.

Hoe bereid je je voor op zowel NIS2 als AVG-compliance?

De meest effectieve aanpak is om NIS2 en de AVG niet als twee aparte trajecten te zien, maar als één geïntegreerd compliance-programma. Veel maatregelen die je voor NIS2 neemt, versterken ook je AVG-compliance, en andersom. Begin met een gap-analyse van je huidige situatie en werk systematisch toe naar aantoonbare naleving van beide wetten.

Een praktisch stappenplan ziet er zo uit:

  1. Bepaal je positie: Controleer via zelfevaluatie.rdi.nl of je direct onder NIS2 valt. Stel tegelijkertijd vast welke persoonsgegevens je verwerkt en of je AVG-documentatie op orde is.
  2. Voer een gap-analyse uit: Welke van de tien NIS2-maatregelen heb je al ingericht? Wat ontbreekt nog? Identificeer quick wins versus langetermijninvesteringen.
  3. Richt kernprocessen in: Implementeer MFA voor alle externe toegang (tools zoals Cisco Duo helpen je dit gestandaardiseerd te doen), stel een incidentresponsplan op, test je back-ups en richt netwerksegmentatie in.
  4. Inventariseer je leveranciers: Maak een leverancierslijst met risicoklassificatie en leg beveiligingseisen contractueel vast. Dit is een verplichting onder NIS2 én versterkt je AVG-verantwoordingsplicht.
  5. Train je medewerkers én bestuurders: Zowel de AVG als NIS2 vereisen dat medewerkers bewust omgaan met gegevens en dreigingen. Maandelijkse trainingen en phishing-simulaties helpen je dit aantoonbaar te maken.
  6. Bouw een evidence pack op: Documenteer alles: beleidsdocumenten, risicoanalyses, trainingsregisters, penetratietestresultaten en leveranciersbeoordelingen. Dit is je bewijs bij een audit of incident.
  7. Registreer je bij het NCSC: Zodra de Cyberbeveiligingswet in werking treedt, moeten NIS2-plichtige organisaties zich registreren via mijn.ncsc.nl.

Een punt dat vaak wordt onderschat: aantoonbaarheid is minstens zo belangrijk als de maatregelen zelf. Zowel de AVG-toezichthouder als de NIS2-toezichthouder beoordelen niet alleen of je maatregelen hebt genomen, maar ook of je kunt bewijzen dat je ze hebt genomen en dat ze effectief zijn.

Hoe wij helpen met NIS2 en AVG-compliance

Bij NTNT begrijpen we dat NIS2 en de AVG voor veel MKB-bedrijven een complex geheel vormen. We helpen je om grip te krijgen op beide wetten, zonder dat je verdwaalt in juridisch jargon of eindeloze documentatietrajecten. Concreet doen we dat zo:

  • Gap-analyse en compliance-overzicht: We brengen samen in kaart waar je nu staat ten opzichte van de NIS2-verplichtingen en je AVG-documentatie, zodat je weet waar je prioriteit moet leggen.
  • Technische implementatie: Van MFA via Cisco Duo tot netwerksegmentatie, encryptiebeleid en toegangsbeheer: we richten de technische maatregelen in die beide wetten vereisen.
  • Security Awareness Training: Via ons SAT-programma met Huntress trainen we je medewerkers maandelijks met korte animatie-episodes en phishing-simulaties. Trainingsregisters en quizscores nemen we op in je NIS2 evidence pack.
  • Leveranciersbeheer: We helpen je een leverancierslijst met risicoklassificatie op te stellen en beveiligingseisen contractueel te verankeren.
  • Documentatie en evidence pack: We zorgen dat je beleidsdocumenten, risicoanalyses en incidentresponsplannen klaarstaan voor een audit of toezichthouder.

Wil je weten hoe je organisatie er nu voor staat? Neem contact met ons op voor een vrijblijvende intake en ontdek welke stappen je direct kunt zetten.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.