Uw jaarlijkse training haalt NIS2 niet, dit verwachten auditors écht!

Voor een geslaagde NIS2-audit volstaan jaarlijkse opleidingscertificaten niet; auditors eisen aantoonbaar bewijs van daadwerkelijke cyberweerbaarheid. Om te voldoen aan artikel 21 van NIS2 moeten organisaties zeven specifieke bewijspakketten aanleveren die het bestuurlijk toezicht van het management, de competentie van medewerkers en meetbare risicoreductie aantonen – niet louter afgeronde cursussen.

Veel organisaties steunen nog altijd op een map met jaarlijkse opleidingscertificaten en hebben moeite die pakketten snel samen te stellen.

Hoeveel? In 2024 bracht het Eurostat-onderzoek naar ICT-gebruik en e-commerce bij ondernemingen in totaal 1,54 miljoen Europese ondernemingen met meer dan 10 medewerkers in kaart. Ongeveer 60 % van die ondernemingen – 924.000 entiteiten – heeft haar medewerkers in 2024 geïnformeerd over hun ICT-beveiligingsverplichtingen.

Het goede nieuws? Dit gat is te dichten zodra het zichtbaar is, wij laten u zien hoe.

U ziet welke zeven bewijspakketten auditors doorgaans opvragen, waarom afsluitingscertificaten alleen niet voldoen aan de nadruk van de Richtlijn op effectiviteit, en hoe u een eenvoudige 48-uurstest uitvoert om

Waarom dit nu relevant is: NIS2 is een probleem van 2026, niet van ‘ooit’

NIS2 is de geactualiseerde EU-richtlijn voor cyberbeveiliging, bedoeld om het basisniveau van cyberweerbaarheid te verhogen in 18 kritieke sectoren en organisaties – van kritieke infrastructuur en gezondheidszorg tot digitale aanbieders, maakindustrie en tal van gereguleerde diensten.

De impact is groot: de richtlijn herpositioneert cyberbeveiliging als een governance- en operationeel risicovraagstuk, niet als een IT-best practice.

Artikel 21 is daarin bijzonder bepalend: het verwacht beleid en procedures waarmee de effectiviteit van risicobeheermaatregelen wordt beoordeeld. Afsluiting wordt een beginpunt; bewijs van impact wordt de norm.

De implementatiedeadline was 17 oktober 2024.

Circa 160.000 entiteiten binnen de Europese Unie vallen onder de reikwijdte van de NIS2-Richtlijn – en de Europese Commissie noemde dit een conservatieve schatting op basis van meldingen van lidstaten tot september 2025.

De Europese Commissie heeft de ernst benadrukt door inbreukprocedures te openen met formele aanmaningen aan 23 lidstaten wegens onvolledige omzetting van de richtlijn, gevolgd door met redenen omklede adviezen aan 19 lidstaten. Dit signaleert dat het handhavingsmechanisme op Europees niveau actief is – en nationaal toezicht neigt te versnellen zodra die politieke dekking bestaat.

De boeteplafonds liggen al vast: tot 10 miljoen euro of 2 % van de wereldwijde omzet voor essentiële entiteiten (NIS2), en minimaal 7 miljoen euro of 1,4 % van de wereldwijde omzet voor belangrijke entiteiten (NIS2). Openbaar bekende NIS2-boetes zijn vooralsnog beperkt, grotendeels omdat handhaving nationaal verloopt en implementatietijdlijnen per lidstaat uiteenlopen. De richting is echter duidelijk: toezichthouders kunnen scherpere vragen stellen en verwachten sneller beter bewijs.

Deze verschuiving verandert wat als bewijs telt. U moet de effectiviteit van uw beheersmaatregelen aantonen, niet alleen de uitvoering ervan.

De 7 bewijspakketten: wat NIS2-auditors daadwerkelijk verlangen

NIS2 vereist training, een effectiviteitsbeoordeling én governance.

In de praktijk hanteren auditors zeven bewijspakketten omdat ze daarmee snel kunnen toetsen of uw training werkt als een beheersmaatregel in plaats van compliance-theater.

In de gehele Europese Unie maakte slechts 24,51 % van de ondernemingen gebruik van verplichte cursussen of verplicht materiaal als onderdeel van bewustmakingsactiviteiten. Hier blijkt of uw programma audit-ready is: auditors vragen of medewerkers kritische onderwerpen begrepen hebben en of gebrekkig begrip heeft geleid tot herhalingstraining.

Aanbeveling: Lever een gedateerde export uit uw leerplatform aan waaruit blijkt wie welke module heeft afgerond, de quizscore per persoon, de slagingsdrempel en een lijst van personen aan wie automatisch binnen 7 dagen na het zakken herhalingstraining werd toegewezen.

Auditors zoeken naar indicatoren die aantonen dat risicogedrag daalt. In 2024 had naar verluidt 3,43 % van de Europese ondernemingen te maken met een externe cyberaanval die dienstuitval veroorzaakte. Precies daarom heeft u bewijs nodig dat verder gaat dan certificaten: gedragssignalen, trendlijnen en gedocumenteerde interventies die herhalingsfouten reduceren.

Aanbeveling: Toon een drie maanden durende trend van gesimuleerde phishingresultaten per afdeling (meldingspercentage, klikpercentage, percentage ingevoerde inloggegevens), plus de exacte corrigerende maatregel voor het slechtst presterende team en de meetbare verbetering in de daaropvolgende maand.

NIS2 verwacht dat beveiligingsmaatregelen worden beheerd, beoordeeld en verbeterd. In 2024 beschikte slechts 35,50 % van de Europese ondernemingen over documentatie van ICT-beveiligingsmaatregelen, -praktijken of -procedures. Auditors toetsen of verbeteringen zijn vastgelegd, eigenaren hebben en herhaalbaar zijn – niet informeel of ad-hoc.

Aanbeveling: Voeg uw laatste twee kwartaalrapportages van de security awareness-evaluatie toe, met benoemde eigenaren, goedgekeurde acties, streefdata en een screenshot of ticket-ID waaruit de uitvoering van elke actie blijkt (bijv. een nieuwe verificatiestap in de workflow voor het resetten van wachtwoorden bij de servicedesk).

Dit is uitdrukkelijk opgenomen in de governance-vereisten van NIS2: leden van leidinggevende organen zijn verplicht training te volgen, en entiteiten worden aangemoedigd ook medewerkers regelmatig vergelijkbare trainingen aan te bieden.

Aanbeveling: Voeg het trainingsregister van het leidinggevend orgaan toe – met vergaderdatum, aanwezigheid, moduletitel en een beknopte vastlegging van de beslissing die hieruit voortvloeide (bijv. goedkeuring van een herzien toegangsgovernance-beleid of budget voor identiteitsverificatiecontroles).

NIS2 stelt een termijn van 24 uur voor een vroegtijdige waarschuwing na het bekend worden van een significant incident, waardoor herkenning en escalatie door medewerkers een beheersvereiste wordt. Financiële teams moeten verdachte betalingen bevriezen, HR moet identiteitswijzigingen valideren en servicedeskmedewerkers hebben duidelijke verificatiestappen nodig voordat zij toegang resetten. Aanbeveling: Lever het meest recente rapport van een daadwerkelijk incident of tafelloefening aan, met detectietijd, escalatietijd, wie escaleerde, welk draaiboek werd geactiveerd en bewijs dat medewerkers de verificatie- en meldstappen hebben gevolgd in plaats van geïmproviseerd.

Auditors toetsen steeds vaker of u begrijpt waar menselijk risico zich concentreert. De praktische vraag luidt: welke teams zijn het meest blootgesteld, en wat heeft u voor hen specifiek anders gedaan?

Aanbeveling: Stel een risico-heatmap op die teams rangschikt naar blootstelling (bijv. Finance, Inkoop, HR, servicedesk) op basis van uw eigen gegevens – phishinggevoeligheid, privileged access management (PAM)-niveaus en volume aan hoog-risicotransacties – en toon het gerichte trainingsplan dat voor de twee meest blootgestelde teams werd aangepast.

NIS2 vereist een completere melding van significant incident binnen 72 uur. Daarom interesseert het auditors of medewerkers competent zijn onder druk – niet alleen of ze deelnemen in rustige perioden.

Aanbeveling: Documenteer een getimede oefening waarbij medewerkers een scenario moesten classificeren en de juiste eerste actie moesten uitvoeren in minder dan 10 minuten (bijv. een vermoedelijk gecompromitteerd account melden, een betaling bevriezen of een resetverzoek zonder verificatie weigeren) – inclusief geslaagd/gezakt-resultaten en coachingverslagen.

De 48-uurs challenge: test vandaag nog uw auditgereedheid

Probeer het vandaag: Zou u alle zeven bewijspakketten binnen 48 uur in een overzichtelijk formaat kunnen samenstellen – gekoppeld aan eigenaren, datums en beheersmaatregelen?

Dit is de eenvoudigste manier om een vaag gevoel van gereedheid om te zetten in een concreet antwoord. Veel programma’s genereren een januaripiek van activiteit en elf maanden stilte – de 48-uurstest maakt dat patroon zichtbaar.

Uit een onderzoek onder IT-professionals van Hornet Security uit juni 2024 bleek dat 22,4 % van de organisaties security awareness-training voor eindgebruikers slechts eenmaal per jaar uitvoert. Intussen schalen aanvallers hun overtuigingsactiviteiten continu op, waardoor de lat voor ‘effectieve training’ steeds hoger komt te liggen.

Microsoft heeft gerapporteerd dat AI-geautomatiseerde phishingmails in gemeten omgevingen een doorklikpercentage van 54 % behaalden – een bewijs van hoe snel aanvalscontent zich ontwikkelt ten opzichte van incidentele, jaarlijkse modules.

Ook aanvalsvectoren blijven evolueren. In het derde kwartaal van 2025 werden volgens één dataset 716.306 unieke kwaadaardige QR-codes gedetecteerd in phishingactiviteiten. In de praktijk kan dit eruit zien als een magazijnmedewerker die een ‘verzendingsprobleem’-melding scant, waarna een incident zijn aanvang neemt in de dagelijkse werkroutine.

Bewijs, niet onderwijs: de nieuwe standaard voor ‘continu’

‘Continue training’ wordt vaak aangeboden als een betere leerervaring, maar onder NIS2 vervult het een meer strategisch doel: het genereert een constante stroom van gedragsbewijzen.

Het knelpunt is zelden een gebrek aan tools. 70 % van de organisaties geeft aan meer dan 10 beveiligingsoplossingen tegelijk te draaien. Een veelgenoemd patroon in de sector: omgevingen draaien tegelijkertijd veel enkelvoudige oplossingen, en de resterende leemte bestaat uit human-risk-bewijs – aantoonbaar bewijs dat beslissingen en gedrag in de loop der tijd veiliger zijn geworden.

Een praktisch voorbeeld dat auditors graag zien: maandelijkse microscenario’s gekoppeld aan kritieke werkprocessen – zoals factuurwijzigingen, accountherstel of leveranciers-onboarding – gecombineerd met gedocumenteerde reacties op bijna-incidenten en meetbare verbeteringen.

U genereert alle bewijspakketten automatisch: continue training, gedragsmetrics, trendanalyses en auditklare documentatie – zonder uw beveiligingsteam te transformeren in een rapportagefabriek. Dat is precies waarvoor Prime Security Awareness is ontwikkeld.

Volgende stap? Sluit de kloof

Voer de 48-uurstest deze week uit. Probeer de zeven bewijspakketten samen te stellen en documenteer precies waar het proces vastloopt. Die kloof is uw werkelijke compliance-prioriteit.

Toekomstige blogs in deze reeks laten zien hoe u uw menselijke firewall opbouwt en hoe organisaties succesvol gebruikmaken van geautomatiseerde security awareness-training die het phishingrisico daadwerkelijk verlaagt.