NIS2 voor het MKB: wat betekent de wet en wat moet je regelen?
Jarenlang voelde cybersecurityregelgeving als iets waar alleen banken en nutsbedrijven zich druk om hoefden te maken. Dat verandert met NIS2, de EU-richtlijn die in Nederland wordt ingevoerd als de Cyberbeveiligingswet, naar verwachting van kracht in 2026. Duizenden middelgrote Nederlandse bedrijven vallen er voor het eerst onder, en de wet heeft tanden: een zorgplicht, een snelle meldplicht, toezicht, boetes en, opvallend, persoonlijke aansprakelijkheid voor bestuurders.
Deze gids legt in gewone taal uit of NIS2 op jouw MKB van toepassing is, wat je echt moet regelen, en geeft een stappenplan om er klaar voor te zijn.
Wat is NIS2?
NIS2 (Network and Information Security Directive 2) is de vernieuwde cybersecuritywet van de EU. Ze vervangt de oude NIS-richtlijn en verbreedt fors het aantal sectoren en bedrijfsgroottes dat eronder valt. De Nederlandse invulling is de Cyberbeveiligingswet, met toezicht grotendeels bij de RDI en sectortoezichthouders, en het NCSC als nationale CSIRT voor incidentondersteuning.
Val je eronder?
Twee vragen bepalen het: je sector en je omvang.
Omvangsdrempel (de hoofdregel): - Essentiele entiteiten: grote organisaties (250+ medewerkers, of omzet boven EUR 50 mln) in zeer kritieke sectoren. - Belangrijke entiteiten: middelgrote organisaties (50+ medewerkers, of omzet boven EUR 10 mln) in de gedekte sectoren.
Sectoren die eronder vallen zijn onder meer: energie, transport, bankwezen, drinkwater, afvalwater, digitale infrastructuur, ICT-servicebeheer (managed service providers), openbaar bestuur, zorg, post, afvalbeheer, productie en distributie van levensmiddelen, maakindustrie (medische hulpmiddelen, elektronica, machines, voertuigen), chemie en digitale aanbieders (online marktplaatsen, zoekmachines, cloud, datacenters).
Twee belangrijke nuances voor het MKB:
- 1. Ook als je te klein bent om er direct onder te vallen, kunnen je klanten NIS2-niveau beveiliging van je eisen als leverancier. Toeleveringsketen-beveiliging is een kernverplichting van NIS2, dus grotere klanten leggen eisen door in de keten.
- 2. Sommige entiteiten vallen eronder ongeacht omvang (bijvoorbeeld bepaalde digitale infrastructuur en overheidsorganen).
Twijfel je? Doe de overheids-zelfevaluatie (de "NIS2-zelfevaluatie"). Die kost een paar minuten en vertelt waar je staat.
Wat NIS2 echt vereist
NIS2 rust op een zorgplicht en een meldplicht.
De zorgplicht: risicogebaseerde maatregelen
Je moet passende technische en organisatorische maatregelen nemen. De wet noemt tien thema's:
- 1. Risicoanalyse en informatiebeveiligingsbeleid
- 2. Incidentafhandeling
- 3. Bedrijfscontinuiteit, back-upbeheer en crisismanagement
- 4. Beveiliging van de toeleveringsketen (inclusief je leveranciers)
- 5. Beveiliging bij aanschaf, ontwikkeling en onderhoud van systemen
- 6. Beleid om de effectiviteit van maatregelen te beoordelen
- 7. Basiscyberhygiene en beveiligingstraining
- 8. Cryptografie en encryptie
- 9. Toegangsbeheer en assetmanagement
- 10. Multifactorauthenticatie en beveiligde communicatie
De meldplicht: snelle termijnen
Bij een significant incident moet je:
- Een vroegtijdige waarschuwing binnen 24 uur indienen nadat je ervan op de hoogte bent.
- Een uitgebreidere incidentmelding binnen 72 uur doen.
- Een eindrapport binnen een maand leveren.
Governance en bestuurdersaansprakelijkheid
Dit is het deel dat de gesprekken in de directiekamer verandert: bestuurders zijn verantwoordelijk voor het goedkeuren en bewaken van de cybersecuritymaatregelen, moeten training volgen en kunnen persoonlijk aansprakelijk worden gesteld bij niet-naleving. Cybersecurity is nu expliciet een bestuurstaak, niet alleen een IT-klus.
Sancties
Voor essentiele entiteiten kunnen boetes oplopen tot EUR 10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Voor belangrijke entiteiten tot EUR 7 miljoen of 1,4%. Toezichthouders kunnen ook bindende aanwijzingen opleggen en, in ernstige gevallen, bestuurssancties.
Stappenplan voor het MKB
- 1. Bepaal de scope. Doe de zelfevaluatie en stel vast of je essentieel, belangrijk of "alleen" leverancier met klanteisen bent.
- 2. Registreer. Entiteiten binnen scope moeten zich registreren bij de toezichthouder. Sla dit niet over. Registratie is zelf een verplichting.
- 3. Voer een risicoanalyse uit. Breng je kritieke systemen, data en afhankelijkheden in kaart en scoor de risico's.
- 4. Regel eerst de basis. Overal MFA, geteste back-ups, patchen, EDR en toegangsbeheer dekken de meeste snelle winst.
- 5. Schrijf het beleid. Informatiebeveiligingsbeleid, incidentresponsplan en continuiteitsplan. Kort en bruikbaar wint van lang en genegeerd.
- 6. Beveilig je toeleveringsketen. Beoordeel contracten en beveiliging van belangrijke leveranciers. Verwacht dat je eigen klanten jou beoordelen.
- 7. Richt incidentmelding in. Weet precies wie wat aan wie meldt, binnen 24 uur. Oefen het.
- 8. Train bestuur en medewerkers. Bestuurders hebben aantoonbare awarenesstraining nodig. Medewerkers phishing- en hygienetraining.
- 9. Review en bewijs. NIS2 verwacht dat je effectiviteit meet: houd bewijs bij, doe periodieke reviews en sluit waar mogelijk aan op ISO 27001.
Hoe NIS2 zich verhoudt tot ISO 27001
Je hebt geen ISO 27001-certificering nodig om aan NIS2 te voldoen, maar de twee sluiten nauw op elkaar aan. Draai je al een ISO 27001-managementsysteem voor informatiebeveiliging, dan ben je al ver op weg met de zorgplicht. Voor MKB'ers die vanaf nul beginnen, is ISO 27001 als raamwerk een pragmatische manier om het werk te structureren.
FAQ
Wanneer geldt NIS2 in Nederland? De Cyberbeveiligingswet voert NIS2 in en treedt naar verwachting in 2026 in werking. De zorgplicht en meldplicht gelden zodra de wet van kracht is, dus begin nu met voorbereiden.
Mijn bedrijf is klein, val ik er echt onder? Mogelijk direct (sommige sectoren en groottes vallen eronder), en zeer waarschijnlijk indirect: grotere klanten die aan NIS2 gebonden zijn, moeten hun keten beveiligen en leggen dus eisen aan jou als leverancier op.
Wat is de snelste manier om te starten? Doe de overheids-zelfevaluatie en regel dan de basis: MFA, geteste back-ups, patchen, EDR en toegangsbeheer. Die dekken een groot deel van de zorgplicht.
Kunnen bestuurders echt aansprakelijk zijn? Ja. NIS2 maakt cybersecurity een bestuursverantwoordelijkheid. Het bestuur moet maatregelen goedkeuren, training volgen en kan persoonlijke sancties krijgen bij niet-naleving.
Word NIS2-proof
Weet je niet waar je staat of wat je eerst moet aanpakken? Bekijk onze Cybersecurity & identity voor een NIS2-gapanalyse, of lees 8 maatregelen die ransomware voorkomen om de technische basis op orde te krijgen.
