Compliance

NIS2 vs AVG: verschillen en overlap uitgelegd

NIS2 vs AVG: het verschil in scope, toezichthouders en meldplichten, plus de overlapzone waar één incident beide regimes tegelijk activeert.

Also available in:English

NIS2 en de AVG zijn twee verschillende regimes die elkaar op één punt scherp raken. De AVG beschermt persoonsgegevens en wordt gehandhaafd door de Autoriteit Persoonsgegevens; NIS2 beschermt de weerbaarheid van netwerk- en informatiesystemen en wordt in Nederland gehandhaafd via de Cyberbeveiligingswet, met de RDI en het NCSC. De overlap: één beveiligingsincident dat systemen verstoort én persoonsgegevens lekt, activeert beide tegelijk — met twee toezichthouders, twee meldplichten en twee klokken. Dit artikel legt de verschillen naast elkaar, markeert de overlapzone, en bepleit één gecombineerd compliance-register in plaats van twee gescheiden trajecten.

Key Takeaways

  • De AVG gaat over persoonsgegevens; NIS2 gaat over de beveiliging van netwerk- en informatiesystemen.
  • Toezicht verschilt: AP voor de AVG, RDI/NCSC voor NIS2 in Nederland.
  • Meldplichten verschillen: 72 uur aan de AP (AVG) versus 24u/72u/1 maand aan het CSIRT (NIS2).
  • De overlapzone: een cyberincident met persoonsgegevens valt onder beide regimes tegelijk.
  • Eén gecombineerd register voorkomt dubbel werk en gemiste meldingen.

Twee regimes, twee doelen

De AVG en NIS2 lijken op afstand op elkaar — beide eisen beveiliging en incidentmelding — maar ze beschermen iets anders.

De AVG (Verordening 2016/679) beschermt de rechten en vrijheden van natuurlijke personen bij de verwerking van hun persoonsgegevens. De focus is de betrokkene.

NIS2 (Richtlijn 2022/2555) beschermt de continuïteit en veiligheid van essentiële en belangrijke diensten in de EU. De focus is de weerbaarheid van de samenleving tegen cyberdreigingen — ongeacht of er persoonsgegevens in het spel zijn.

De verschillen op een rij

Aspect AVG NIS2
Beschermt Persoonsgegevens Netwerk- en informatiesystemen
Reikwijdte Iedere verwerker/verantwoordelijke Aangewezen sectoren + size-cap
Toezicht (NL) Autoriteit Persoonsgegevens RDI / NCSC (Cyberbeveiligingswet)
Beveiligingseis Art. 32 Art. 21 (tien maatregelen)
Meldplicht 72u aan de AP 24u/72u/1 maand aan CSIRT
Boetemaximum €20M of 4% omzet €10M of 2% (essentieel)
Bestuurdersrol Accountability (art. 5 lid 2) Persoonlijke aansprakelijkheid
Instrument Verordening (direct) Richtlijn (nationale wet)

Twee verschillen springen eruit. Ten eerste de reikwijdte: de AVG geldt voor vrijwel iedere organisatie die persoonsgegevens verwerkt, terwijl NIS2 alleen geldt voor aangewezen sectoren boven de size-cap. Een kleine webshop valt onder de AVG maar niet onder NIS2. Ten tweede het instrument: de AVG is een verordening die rechtstreeks werkt, NIS2 is een richtlijn die Nederland omzet in de Cyberbeveiligingswet.

De overlapzone: één incident, twee regimes

Hier ontstaat het echte werk. Stel: een ransomware-aanval versleutelt uw systemen én de aanvaller exfiltreert een klantenbestand. Dan gebeurt het volgende:

  • Het is een NIS2-incident (verstoring van uw dienstverlening) → melding aan het CSIRT/NCSC binnen 24 uur, volledig binnen 72 uur.
  • Het is een AVG-datalek (persoonsgegevens gecompromitteerd) → melding aan de AP binnen 72 uur onder artikel 33 AVG.

Twee meldketens, twee toezichthouders, deels dezelfde feiten maar andere formulieren en termijnen. De praktische uitwerking van deze dubbele melding staat in NIS2-meldplicht: incidenten melden.

De beveiligingseisen overlappen sterk: de tien maatregelen van de NIS2-zorgplicht (risicoanalyse, encryptie, toegangsbeheer, incidentrespons) dekken grotendeels wat art. 32 AVG ook vraagt. Wie op het ene voldoet, heeft een voorsprong op het andere.

Verschil in reikwijdte, concreet

Het reikwijdteverschil is in de praktijk het meest verwarrend. De AVG hanteert geen omvangsdrempel: een eenmanszaak die een klantenbestand bijhoudt, valt er net zo goed onder als een multinational. NIS2 daarentegen werkt met een sectorlijst plus size-cap: u valt er alleen onder als u actief bent in een aangewezen sector (bijlage I of II) én minimaal 50 werknemers of meer dan 10 miljoen euro omzet hebt, met een aantal uitzonderingen die ongeacht omvang gelden. Het gevolg is dat de meeste organisaties wél onder de AVG vallen, maar slechts een deel onder NIS2.

Een tweede praktisch verschil is de bestuurdersrol. De AVG kent de verantwoordingsplicht (accountability) als algemeen beginsel, maar legt geen persoonlijke aansprakelijkheid op bestuurders. NIS2 doet dat wél: het bestuur moet de maatregelen goedkeuren, erop toezien, een opleiding volgen en kan persoonlijk aansprakelijk worden gehouden. Voor organisaties die onder beide regimes vallen, tilt NIS2 daarmee de governance een niveau hoger dan de AVG alleen zou doen.

Argument voor één register

Omdat de eisen overlappen en de meldketens parallel lopen, is het onverstandig om NIS2 en de AVG als twee losse projecten te behandelen. Een gecombineerd compliance-register — met gedeelde risicoanalyse, beveiligingsmaatregelen, leveranciersbeheer en een geïntegreerde incidentprocedure — voorkomt dubbel werk en, belangrijker, gemiste meldingen onder druk.

Dit is precies waar een platform zoals Legiscope de gedeelde governance- en documentatielaag kan afdekken: één plek voor de maatregelen en de aantoonbaarheid die beide regimes vragen. Voor detectie en operationele respons blijft daarnaast gespecialiseerde security-tooling nodig. Bepaal wel eerst of u überhaupt onder NIS2 valt via onze gids over essentiële en belangrijke entiteiten; onder de AVG valt u vrijwel zeker sowieso.

Waar de twee elkaar versterken

Behalve de risico’s van dubbel werk zit er ook een kans in de overlap. Een organisatie die haar risicoanalyse, leveranciersbeheer en incidentproces goed inricht, doet dat in één beweging voor beide regimes. De NIS2-eis van ketenbeveiliging dwingt u bijvoorbeeld om uw leveranciers te beoordelen — precies de partijen met wie u onder de AVG een verwerkersovereenkomst sluit. En het incidentproces dat u voor de NIS2-meldcascade opzet, dekt met een kleine uitbreiding ook de AVG-datalekmelding aan de AP. Wie de twee regimes als één samenhangend beveiligings- en governancekader benadert, bouwt niet twee keer, maar één keer beter. De sleutel is dat het bestuur beide onder één verantwoordelijkheid schaart in plaats van cybersecurity bij IT en privacy bij een aparte functionaris te beleggen — die scheiding is juist de bron van de gaten die bij een incident pijnlijk zichtbaar worden.

FAQ

Wat is het verschil tussen NIS2 en de AVG?

De AVG beschermt persoonsgegevens en wordt gehandhaafd door de Autoriteit Persoonsgegevens; NIS2 beschermt de beveiliging van netwerk- en informatiesystemen in aangewezen sectoren en wordt in Nederland gehandhaafd via de Cyberbeveiligingswet met de RDI en het NCSC. De AVG geldt breed, NIS2 alleen voor bepaalde sectoren boven de size-cap.

Kan één incident onder beide regimes vallen?

Ja. Een cyberincident dat uw systemen verstoort én persoonsgegevens raakt, is tegelijk een NIS2-incident en een AVG-datalek. U moet dan aan het CSIRT/NCSC melden (24u/72u) én aan de AP (72u) — twee aparte meldketens met eigen termijnen.

Val ik onder NIS2 als ik al aan de AVG voldoe?

Niet automatisch. De AVG geldt voor vrijwel elke organisatie die persoonsgegevens verwerkt; NIS2 alleen voor aangewezen sectoren met minimaal 50 werknemers of meer dan 10 miljoen euro omzet (met uitzonderingen). Voldoen aan de AVG geeft wel een voorsprong op de NIS2-beveiligingseisen.

Zijn de beveiligingseisen van NIS2 en de AVG hetzelfde?

Grotendeels overlappend, niet identiek. Art. 21 NIS2 en art. 32 AVG vragen beide om een risicogebaseerde aanpak, encryptie, toegangsbeheer en incidentrespons. NIS2 voegt expliciete ketenbeveiliging en persoonlijke bestuurdersaansprakelijkheid toe; de AVG richt zich specifiek op persoonsgegevens.

Moet ik twee aparte compliance-trajecten opzetten?

Dat is af te raden. Omdat de eisen overlappen en de meldketens parallel lopen, is één gecombineerd register efficiënter en veiliger. Zo voorkomt u dubbel werk én het risico dat u onder druk de tweede melding vergeet.

Conclusie

NIS2 en de AVG zijn twee regimes met verschillende doelen — systeemweerbaarheid versus persoonsgegevens — maar ze raken elkaar hard in de overlapzone: een cyberincident met persoonsgegevens activeert beide tegelijk, met twee toezichthouders en twee meldklokken. De beveiligingseisen overlappen sterk, dus behandel ze niet als losse projecten. Eén gecombineerd compliance-register met een geïntegreerde incidentprocedure voorkomt dubbel werk en gemiste meldingen. Bepaal eerst of u onder NIS2 valt; onder de AVG valt u vrijwel zeker al.

Zie ook: de Wbni en DORA-toezicht door DNB en AFM.

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →