info@altf7.com
+3185 - 060 3548
nl
POWERED BY APPELIT

Voor welke bedrijven binnen een concern geldt NIS2?

13-06-2025

Intro

De nieuwe NIS2-richtlijn brengt stevige verplichtingen met zich mee op het gebied van cybersecurity. Maar waar veel organisaties denken dat alleen hun 'kritische entiteit' onder de reikwijdte valt, blijkt in de praktijk dat ook andere onderdelen binnen een concern geraakt kunnen worden.

In dit artikel leggen we uit hoe NIS2 werkt binnen concernstructuren, waarom ook ondersteunende bedrijven risico lopen, en hoe u dit tijdig in kaart brengt — met advies vanuit de auditpraktijk van AltF7 en praktijkervaring vanuit softwareontwikkeling bij APPelit.

Wat is NIS2 precies?

Het opvallende aan NIS2 is dat de verplichtingen niet alleen gelden voor de formele entiteit die een essentiële dienst levert. Ook onderdelen van een concern die ondersteunend zijn aan deze dienst kunnen onder NIS2 vallen.

Voorbeelden:

  • Een dochterbedrijf dat hosting regelt voor een logistieke dienstverlener

  • Een shared service center dat applicatiebeheer uitvoert voor een ziekenhuis

  • Een holding of IT-afdeling die contracten sluit of netwerkbeveiliging levert

Hoewel deze entiteiten zelf geen primaire dienst aanbieden, zijn ze functioneel zó verweven dat ze in scope kunnen zijn.

Wat betekent dit voor uw organisatie?

1. juridische structuur is niet leidend

De ketenwerking en feitelijke ondersteuning zijn bepalender dan eigendom of naamgeving.

2. verantwoordingsplicht ligt breder

Niet alleen het 'front-end' bedrijf moet maatregelen nemen. Ook ondersteunende units moeten voldoen aan NIS2-verplichtingen.

3. data en infrastructuur zijn cruciaal

Als gevoelige data of vitale systemen elders in het concern draaien, hoort daar ook toezicht bij.

Wat kunt u nu doen?

Bij AltF7 helpen we organisaties inzicht te krijgen in hun daadwerkelijke exposure. Dit doen we o.a. via:

  • software audits van ketenprocessen

  • NIS2 gap-analyses binnen concernstructuren

  • advies over rollen, verantwoordelijkheden en meldplichten

  • ondersteuning bij tooling en IT-beveiliging via samenwerking met APPelit

NIS2 is géén papieren norm — het raakt aan echte systemen, teams en processen.

De vraag is dus niet of uw organisatie NIS2-plichtig is, maar of alle onderdelen binnen uw concern voldoen aan de eisen. Vooral ondersteunende eenheden verdienen daarbij extra aandacht.

Wilt u zekerheid over uw positie binnen NIS2? Laat AltF7 een onafhankelijke audit uitvoeren of bespreek met ons welke maatregelen passen bij uw structuur.

Share