Cybersecurity
Diepgaande Analyse

NIS2 voor het MKB: wat betekent de wet en wat moet je regelen?

De Cyberbeveiligingswet (NIS2) komt in 2026 en brengt een zorgplicht, een meldplicht binnen 24 uur en persoonlijke aansprakelijkheid voor bestuurders. Dit is wie eronder valt, wat je moet regelen en een praktisch stappenplan voor het MKB.

28 jun 2026
10 min lezen
NIS2 voor het MKB: wat betekent de wet en wat moet je regelen?

NIS2 voor het MKB: wat betekent de wet en wat moet je regelen?

Jarenlang voelde cybersecurityregelgeving als iets waar alleen banken en nutsbedrijven zich druk om hoefden te maken. Dat verandert met NIS2, de EU-richtlijn die in Nederland wordt ingevoerd als de Cyberbeveiligingswet, naar verwachting van kracht in 2026. Duizenden middelgrote Nederlandse bedrijven vallen er voor het eerst onder, en de wet heeft tanden: een zorgplicht, een snelle meldplicht, toezicht, boetes en, opvallend, persoonlijke aansprakelijkheid voor bestuurders.

Deze gids legt in gewone taal uit of NIS2 op jouw MKB van toepassing is, wat je echt moet regelen, en geeft een stappenplan om er klaar voor te zijn.

Wat is NIS2?

NIS2 (Network and Information Security Directive 2) is de vernieuwde cybersecuritywet van de EU. Ze vervangt de oude NIS-richtlijn en verbreedt fors het aantal sectoren en bedrijfsgroottes dat eronder valt. De Nederlandse invulling is de Cyberbeveiligingswet, met toezicht grotendeels bij de RDI en sectortoezichthouders, en het NCSC als nationale CSIRT voor incidentondersteuning.

Val je eronder?

Twee vragen bepalen het: je sector en je omvang.

Omvangsdrempel (de hoofdregel): - Essentiele entiteiten: grote organisaties (250+ medewerkers, of omzet boven EUR 50 mln) in zeer kritieke sectoren. - Belangrijke entiteiten: middelgrote organisaties (50+ medewerkers, of omzet boven EUR 10 mln) in de gedekte sectoren.

Sectoren die eronder vallen zijn onder meer: energie, transport, bankwezen, drinkwater, afvalwater, digitale infrastructuur, ICT-servicebeheer (managed service providers), openbaar bestuur, zorg, post, afvalbeheer, productie en distributie van levensmiddelen, maakindustrie (medische hulpmiddelen, elektronica, machines, voertuigen), chemie en digitale aanbieders (online marktplaatsen, zoekmachines, cloud, datacenters).

Twee belangrijke nuances voor het MKB:

  • 1. Ook als je te klein bent om er direct onder te vallen, kunnen je klanten NIS2-niveau beveiliging van je eisen als leverancier. Toeleveringsketen-beveiliging is een kernverplichting van NIS2, dus grotere klanten leggen eisen door in de keten.
  • 2. Sommige entiteiten vallen eronder ongeacht omvang (bijvoorbeeld bepaalde digitale infrastructuur en overheidsorganen).

Twijfel je? Doe de overheids-zelfevaluatie (de "NIS2-zelfevaluatie"). Die kost een paar minuten en vertelt waar je staat.

Wat NIS2 echt vereist

NIS2 rust op een zorgplicht en een meldplicht.

De zorgplicht: risicogebaseerde maatregelen

Je moet passende technische en organisatorische maatregelen nemen. De wet noemt tien thema's:

  • 1. Risicoanalyse en informatiebeveiligingsbeleid
  • 2. Incidentafhandeling
  • 3. Bedrijfscontinuiteit, back-upbeheer en crisismanagement
  • 4. Beveiliging van de toeleveringsketen (inclusief je leveranciers)
  • 5. Beveiliging bij aanschaf, ontwikkeling en onderhoud van systemen
  • 6. Beleid om de effectiviteit van maatregelen te beoordelen
  • 7. Basiscyberhygiene en beveiligingstraining
  • 8. Cryptografie en encryptie
  • 9. Toegangsbeheer en assetmanagement
  • 10. Multifactorauthenticatie en beveiligde communicatie

De meldplicht: snelle termijnen

Bij een significant incident moet je:

  • Een vroegtijdige waarschuwing binnen 24 uur indienen nadat je ervan op de hoogte bent.
  • Een uitgebreidere incidentmelding binnen 72 uur doen.
  • Een eindrapport binnen een maand leveren.

Governance en bestuurdersaansprakelijkheid

Dit is het deel dat de gesprekken in de directiekamer verandert: bestuurders zijn verantwoordelijk voor het goedkeuren en bewaken van de cybersecuritymaatregelen, moeten training volgen en kunnen persoonlijk aansprakelijk worden gesteld bij niet-naleving. Cybersecurity is nu expliciet een bestuurstaak, niet alleen een IT-klus.

Sancties

Voor essentiele entiteiten kunnen boetes oplopen tot EUR 10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Voor belangrijke entiteiten tot EUR 7 miljoen of 1,4%. Toezichthouders kunnen ook bindende aanwijzingen opleggen en, in ernstige gevallen, bestuurssancties.

Stappenplan voor het MKB

  • 1. Bepaal de scope. Doe de zelfevaluatie en stel vast of je essentieel, belangrijk of "alleen" leverancier met klanteisen bent.
  • 2. Registreer. Entiteiten binnen scope moeten zich registreren bij de toezichthouder. Sla dit niet over. Registratie is zelf een verplichting.
  • 3. Voer een risicoanalyse uit. Breng je kritieke systemen, data en afhankelijkheden in kaart en scoor de risico's.
  • 4. Regel eerst de basis. Overal MFA, geteste back-ups, patchen, EDR en toegangsbeheer dekken de meeste snelle winst.
  • 5. Schrijf het beleid. Informatiebeveiligingsbeleid, incidentresponsplan en continuiteitsplan. Kort en bruikbaar wint van lang en genegeerd.
  • 6. Beveilig je toeleveringsketen. Beoordeel contracten en beveiliging van belangrijke leveranciers. Verwacht dat je eigen klanten jou beoordelen.
  • 7. Richt incidentmelding in. Weet precies wie wat aan wie meldt, binnen 24 uur. Oefen het.
  • 8. Train bestuur en medewerkers. Bestuurders hebben aantoonbare awarenesstraining nodig. Medewerkers phishing- en hygienetraining.
  • 9. Review en bewijs. NIS2 verwacht dat je effectiviteit meet: houd bewijs bij, doe periodieke reviews en sluit waar mogelijk aan op ISO 27001.

Hoe NIS2 zich verhoudt tot ISO 27001

Je hebt geen ISO 27001-certificering nodig om aan NIS2 te voldoen, maar de twee sluiten nauw op elkaar aan. Draai je al een ISO 27001-managementsysteem voor informatiebeveiliging, dan ben je al ver op weg met de zorgplicht. Voor MKB'ers die vanaf nul beginnen, is ISO 27001 als raamwerk een pragmatische manier om het werk te structureren.

FAQ

Wanneer geldt NIS2 in Nederland? De Cyberbeveiligingswet voert NIS2 in en treedt naar verwachting in 2026 in werking. De zorgplicht en meldplicht gelden zodra de wet van kracht is, dus begin nu met voorbereiden.

Mijn bedrijf is klein, val ik er echt onder? Mogelijk direct (sommige sectoren en groottes vallen eronder), en zeer waarschijnlijk indirect: grotere klanten die aan NIS2 gebonden zijn, moeten hun keten beveiligen en leggen dus eisen aan jou als leverancier op.

Wat is de snelste manier om te starten? Doe de overheids-zelfevaluatie en regel dan de basis: MFA, geteste back-ups, patchen, EDR en toegangsbeheer. Die dekken een groot deel van de zorgplicht.

Kunnen bestuurders echt aansprakelijk zijn? Ja. NIS2 maakt cybersecurity een bestuursverantwoordelijkheid. Het bestuur moet maatregelen goedkeuren, training volgen en kan persoonlijke sancties krijgen bij niet-naleving.

Word NIS2-proof

Weet je niet waar je staat of wat je eerst moet aanpakken? Bekijk onze Cybersecurity & identity voor een NIS2-gapanalyse, of lees 8 maatregelen die ransomware voorkomen om de technische basis op orde te krijgen.

NIS2
Cybersecurity
Compliance
MKB

Gerelateerde Artikelen

Cybersecurity

AI-gedreven Cybersecurity: Hoe Machine Learning Dreigingsdetectie Transformeert

Cyberaanvallen nemen toe in volume en complexiteit. AI-gedreven beveiligingstools verschuiven het evenwicht terug naar verdedigers. Dit artikel onderzoekt hoe Nederlandse organisaties ML-gedreven SIEM, EDR en threat intelligence inzetten om voorop te blijven.

Lees Meer
Cybersecurity

Ransomware voorkomen in het MKB: 8 maatregelen die echt werken

Het MKB is inmiddels het belangrijkste doelwit voor ransomware, juist omdat aanvallers ervan uitgaan dat de beveiliging zwak is. Het goede nieuws: een handvol goed uitgevoerde maatregelen stopt het overgrote deel van de aanvallen. Dit zijn de 8 met de meeste bescherming per euro.

Lees Meer
AI & Compliance

De EU AI-verordening: Wat Nederlandse Bedrijven Moeten Weten in 2026

De EU AI-verordening is nu van kracht. Van risicoclassificaties tot verplichte conformiteitsbeoordelingen: dit is wat elke Nederlandse organisatie die AI-systemen inzet moet doen om compliant te blijven, en boetes tot 35 miljoen euro te voorkomen.

Lees Meer

Hulp Nodig met Uw IT-Infrastructuur?

Laten we bespreken hoe we uw IT-operaties kunnen transformeren met moderne oplossingen.