NIS2 voor MKB: wat moet jij écht doen?

Sinds januari 2023 is de Europese NIS2-richtlijn van kracht. In Nederland wordt deze omgezet naar de Cyberbeveiligingswet (Cbw), die naar verwachting op 1 juli 2026 in werking treedt. Bij veel MKB-ondernemers is dat moment het eerste écht bewuste moment van confrontatie: vallen wij eronder? Wat moeten we doen? Wat als we niets doen?

Het korte antwoord: of jouw bedrijf direct onder de wet valt, hangt af van je sector en grootte. Maar er is een veel grotere groep die er indirect mee te maken krijgt, geschat tussen de 50.000 en 100.000 Nederlandse MKB-bedrijven die als leverancier moeten aantonen dat ze veilig werken. Als je levert aan een ziekenhuis, een energiemaatschappij, een drinkwaterbedrijf, een grote logistieke partij of een ander bedrijf dat wel direct onder NIS2 valt, dan ben jij ook in scope, niet via de wet zelf maar via de eisen die jouw klant aan je gaat stellen.

In dit artikel leggen we het uit zonder jargon. We zijn geen juristen, maar 9 jaar IT-werk bij MKB en startups geeft je een goed beeld van wat realistisch nodig is en wat overkill is.

Wat is NIS2, in mensentaal?

NIS2 staat voor Network and Information Security Directive 2. Het is een Europese wet die bedrijven verplicht om hun digitale beveiliging op orde te hebben, niet als advies, maar als wettelijke plicht met handhaving en boetes.

De achtergrond is helder: cyberaanvallen op bedrijven en organisaties zijn de afgelopen jaren explosief gegroeid. Ransomware-aanvallen leggen complete ziekenhuizen, gemeentehuizen en bedrijven plat. Phishing wordt steeds slimmer. Aanvallen op toeleveringsketens (denk SolarWinds, Kaseya) tonen aan dat het hele systeem zo sterk is als de zwakste schakel.

NIS2 is de Europese reactie: harmoniseer en verscherp de cybersecurity-eisen, raak een veel grotere groep organisaties dan voorheen, en koppel er stevige boetes en persoonlijke aansprakelijkheid van bestuurders aan.

In Nederland is deze richtlijn vertaald naar de Cyberbeveiligingswet. Belangrijk: deze wet is nog niet definitief. Het wetsvoorstel is in juni 2025 ingediend bij de Tweede Kamer en de behandeling loopt nog. Verwachte inwerkingtreding: 1 juli 2026 (Q2 2026). Nederland heeft de oorspronkelijke EU-deadline van 17 oktober 2024 niet gehaald en kreeg daarvoor een inbreukprocedure van de Europese Commissie. Geen reden om te wachten met voorbereiden, de eisen gaan komen, en als je pas in juli 2026 begint loop je hopeloos achter.

Val ik direct onder NIS2?

Twee vragen bepalen of je direct onder de Cyberbeveiligingswet valt:

Vraag 1: Zit ik in een gereguleerde sector?

De wet onderscheidt twee groepen:

Essentiële sectoren: energie, transport, banken, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer (B2B), overheidsdiensten, ruimtevaart.

Belangrijke sectoren: post- en koeriersdiensten, afvalbeheer, productie en distributie van chemische stoffen, voedingsmiddelen, fabricage (medische apparatuur, computers, elektronica, machines, motorvoertuigen), digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerken), onderzoeksinstellingen.

Vraag 2: Ben ik middelgroot of groter?

De wet hanteert EU-definitie voor middelgroot:

• Minimaal 50 medewerkers, OF
• Jaaromzet boven €10 miljoen
• Plus balanstotaal boven €10 miljoen

Als beide vragen "ja" zijn, val je direct onder de wet als "belangrijke entiteit" (bij essentiële sectoren met die grootte: "essentiële entiteit"). Geschat aantal in Nederland: rond de 10.000 organisaties.

Belangrijke uitzonderingen, kleine bedrijven die tóch direct onder NIS2 vallen:

• Aanbieders van openbare elektronische communicatiediensten
• Verleners van vertrouwensdiensten (digitale handtekeningen, gekwalificeerde certificaten)
• Top-level domeinregisters en DNS-dienstverleners
• Bepaalde overheidsorganisaties
• Bedrijven die door de minister zijn aangewezen na een risicobeoordeling
• Bedrijven die als kritieke entiteit zijn aangewezen onder de CER-richtlijn

Als je in een van deze groepen zit, gelden de regels ongeacht je bedrijfsgrootte.

Val ik indirect onder NIS2? (Dit is de grote groep)

Hier komt waar de meeste MKB-ondernemers zich onbewust van zijn: NIS2 raakt naar schatting 50.000 tot 100.000 Nederlandse MKB-bedrijven indirect, via ketenverantwoordelijkheid.

De redenering: bedrijven die direct onder NIS2 vallen, zijn verplicht om de beveiliging van hun toeleveringsketen mee te wegen. Concreet betekent dat: als jij IT-diensten, software, hardware, hosting, dataverwerking, beveiligingsdiensten, of welke andere kritieke dienst dan ook levert aan een NIS2-plichtige organisatie, kan die organisatie eisen dat jij aantoonbaar veilig werkt.

Concreet betekent dit:

• Je krijgt vragenlijsten van je grotere klanten (we zien dit al gebeuren sinds eind 2024)
• Je moet kunnen aantonen welke maatregelen je hebt genomen
• Je krijgt mogelijk een audit of certificering opgelegd als voorwaarde voor het contract
• Als je niet kunt voldoen, ga je opdrachten verliezen aan concurrenten die het wel hebben geregeld

Hoe weet ik of dit op mij van toepassing is?

Drie eerlijke vragen om jezelf te stellen:

1. Leveren wij producten of diensten waarvan klanten afhankelijk zijn voor hun continuïteit? Denk aan: software, cloud-omgevingen, ICT-beheer, securitydiensten, infrastructuur, hosting, of integraties met andere systemen.

2. Maken we deel uit van een toeleveringsketen waar NIS2-plichtige bedrijven in zitten? Lever je aan ziekenhuizen, gemeenten, energiebedrijven, banken, of fabrikanten van kritieke apparatuur?

3. Is mijn organisatie op zichzelf al een maatschappelijk risico als ze platgaat? Heb je grote klantvolumes, beheer je kritieke data, of zijn anderen sterk afhankelijk van jouw dienstverlening?

Als je op één van deze vragen "ja" antwoordt, is het waarschijnlijk dat je in scope komt, niet via de wet zelf, wel via je klanten.

Wat is een ICT-dienstverlener en val ik daaronder?

Hier ontstaat veel verwarring. De wet noemt "managed service providers" en "managed security service providers" expliciet als belangrijke entiteiten. Als je hostingdiensten levert, IT-beheer doet, security-diensten levert of cloud-beheer aanbiedt, is de kans groot dat je zelf direct onder NIS2 valt als je middelgroot bent. Voor kleine IT-bedrijven (zoals het onze) geldt vaak dat we onder de drempel zitten, maar wel via ketenverantwoordelijkheid eisen krijgen opgelegd door grotere klanten.

Wat moet je concreet doen?

NIS2 vereist 10 specifieke beveiligingsmaatregelen ("de zorgplicht"). Deze gelden in volle omvang voor directe NIS2-organisaties; voor leveranciers in de keten gelden vergelijkbare eisen, vaak iets aangepast.

De 10 verplichte maatregelen:

1. Risicoanalyse en informatiebeveiligingsbeleid. Je moet aantoonbaar in kaart hebben welke risico's je loopt en hoe je daarmee omgaat. Niet een papieren document dat één keer is geschreven, een levend beleid dat regelmatig wordt geüpdatet.

2. Incidentafhandeling. Je moet incidenten kunnen detecteren, beoordelen en oplossen. Plus de meldplicht: significante cyberincidenten moeten binnen 24 uur worden gemeld bij het Nationaal Cyber Security Centrum (vroegtijdige melding), gevolgd door een uitgebreidere incidentmelding binnen 72 uur en een eindverslag binnen één maand.

3. Bedrijfscontinuïteit en crisisbeheer. Wat doe je als je systeem dagen plat ligt? Je moet een plan hebben, en het moet werken.

4. Beveiliging van de toeleveringsketen. Je moet de beveiliging van jouw leveranciers ook beoordelen en borgen. Dit is precies waarom NIS2 naar beneden in de keten doorwerkt.

5. Beveiliging van aankoop, ontwikkeling en onderhoud. Hoe zorg je dat alles wat je gebruikt en bouwt veilig is, van inkoop tot afdanking?

6. Beleid en procedures om de effectiviteit van maatregelen te evalueren. Niet eenmalig "we hebben antivirus aangezet", wel structureel meten en aanpassen.

7. Cybersecurity-training. Basis-awareness voor alle medewerkers (denk aan: phishing herkennen, sterke wachtwoorden, MFA, omgang met klantdata). Verplicht onderdeel van NIS2.

8. Beleid voor cryptografie en encryptie. Welke data versleutel je, hoe en wanneer? Niet alles hoeft encrypted te zijn, wel moet je weten wat wel en wat niet.

9. Personeelsbeveiliging, toegangscontrole en asset-beheer. Wie heeft toegang tot wat? Hoe geef je toegang en hoe haal je het weg? Multi-factor authenticatie (MFA) wordt expliciet genoemd.

10. Gebruik van multi-factor authenticatie of continue authenticatie waar passend. Voor gevoelige systemen verplicht.

Daarnaast komt er een registratieplicht, als je onder NIS2 valt, moet je je registreren bij de toezichthouder (in Nederland: de Rijksinspectie Digitale Infrastructuur, RDI).

Wat zijn de boetes?

Hier wordt het serieus. NIS2 hanteert significante boetes:

• Essentiële entiteiten: boete tot €10 miljoen óf 2% van de wereldwijde jaaromzet, welk bedrag hoger is.
• Belangrijke entiteiten: boete tot €7 miljoen óf 1,4% van de wereldwijde jaaromzet, welk bedrag hoger is.

Naast geldboetes is er nog iets dat veel ondernemers onderschatten: persoonlijke aansprakelijkheid van bestuurders. Bij ernstige tekortkomingen kan een bestuurder persoonlijk aansprakelijk worden gesteld, en in extreme gevallen kan er een tijdelijk bestuursverbod worden opgelegd. Dit is een fundamenteel andere dynamiek dan AVG-boetes (die vooral het bedrijf raken). Bij NIS2 wordt het je persoonlijk verantwoordelijkheid.

Voor leveranciers in de keten zijn er geen directe NIS2-boetes, maar het verlies van een grote klant omdat je niet kunt aantonen dat je veilig werkt, kost ook geld. Voor veel MKB-bedrijven is het verliezen van één grote klant zwaarder dan welke boete dan ook.

Wat zou je nu praktisch moeten doen?

Of je nu direct of indirect onder NIS2 komt, deze stappen zijn verstandig:

Stap 1: Stel vast waar je staat. Doe de NIS2-zelfevaluatie van de Rijksinspectie Digitale Infrastructuur via Ondernemersplein.kvk.nl. Dit kost je 30-45 minuten en geeft je een duidelijk beeld of je in scope bent.

Stap 2: Wijs een verantwoordelijke aan. Iemand moet eigenaar zijn van het thema cybersecurity. Bij MKB hoeft dat geen fulltime CISO te zijn, wel iemand met de bevoegdheid om beslissingen te nemen en budget vrij te maken. Vaak is dat de directeur zelf, soms een operations- of finance-verantwoordelijke met IT-affiniteit.

Stap 3: Maak een informatiebeveiligingsbeleid. Niet een document van 80 pagina's, wel een werkbare beschrijving van: wat doen we met data, hoe regelen we toegang, wat is ons back-up-plan, hoe omgaan we met incidenten. 5-15 pagina's is meer dan genoeg voor het MKB.

Stap 4: Zorg dat de basis op orde is. Dit betekent in 2026 concreet:

• Multi-factor authenticatie verplicht voor alle medewerkers, voor alle zakelijke applicaties
• Back-ups die je daadwerkelijk hebt getest op herstel (niet alleen "we hebben back-up aanstaan")
• Up-to-date antivirus en endpoint-bescherming op alle devices
• Centraal beheer van werkplekken via een tool zoals Microsoft Intune
• Geüpdatete besturingssystemen en software op alle apparaten
• Een wachtwoordmanager voor het hele team
• Beveiligde e-mailfilters tegen phishing en kwaadaardige bijlagen

Stap 5: Awareness-training voor medewerkers. Tenminste eens per kwartaal een korte sessie of online module over phishing, social engineering, omgang met klantdata. Reken op €5-15 per medewerker per maand voor een professionele awareness-tool als Knowbe4 of een Nederlandse variant.

Stap 6: Maak een incidentresponsplan. Wat doe je als je morgen wordt gehackt? Met wie neem je contact op? Hoe meld je het bij het NCSC binnen 24 uur? Wie informeert klanten en pers? Dit kost een halve dag om uit te schrijven en is goud waard als er iets gebeurt.

Stap 7: Documenteer alles. Wat niet is vastgelegd, bestaat niet voor een audit. Maak een logboek van wijzigingen, beslissingen en incidenten. Hoef geen formele documenten te zijn, een gedeelde OneNote of SharePoint-pagina kan ook.

Stap 8: Overweeg ISO 27001 als je het serieus gaat doen. Voor bedrijven die regelmatig leveren aan NIS2-plichtige organisaties is ISO 27001 een logisch eindstation. Het traject duurt 12-18 maanden en kost een serieus bedrag (€5.000-25.000 inclusief begeleiding), maar het geeft je een internationaal erkend certificaat waarmee je veel ketenvragen in één keer afdoet.

Hoeveel tijd kost dit?

Realistisch:

Voor een MKB-bedrijf dat nu helemaal niets heeft: reken op 3-6 maanden om naar een werkbaar basisniveau te komen. 2-4 uur per week input van iemand intern, plus externe begeleiding.

Voor een MKB-bedrijf dat al een beetje op orde heeft: 1-3 maanden om de hiaten op te vullen.

Voor een MKB-bedrijf met ISO 27001-traject: 12-18 maanden voor certificering. Dit is een serieuze investering qua tijd en geld, alleen zinvol als je daadwerkelijk de markt in moet met dit certificaat.

Wat doen wij hierin?

Wij zijn geen NIS2-juristen. Wel doen we de praktische, technische en procesmatige kant van wet- en regelgeving voor onze klanten. Dat betekent: we doen de quick scan, we maken het beleid, we implementeren de technische maatregelen (MFA, Intune, back-ups, beveiligingstools), we trainen je medewerkers, en we begeleiden ISO 27001-trajecten wanneer dat past.

Voor de juridische interpretatie van specifieke clausules of contractonderhandelingen verwijzen we naar een specialist op dat gebied, daar zijn we eerlijk over.

Lees meer over onze Wet- en regelgeving dienst → Of plan een gratis NIS2-quickscan gesprek →

Tot slot

NIS2 wordt vaak gepresenteerd als óf paniekzaaierij ("anders moet je miljoenen betalen!") óf bagatel ("ach, dat geldt toch alleen voor grote bedrijven"). Beide framings missen de kern.

De kern is: cybersecurity-eisen worden geformaliseerd, gehandhaafd en geketend. Of je nu direct of indirect onder de wet valt, de markt gaat eisen dat je veilig werkt. Bedrijven die nu beginnen met de basis op orde brengen, hebben in 2027 een voorsprong op concurrenten die wachten tot ze gedwongen worden.

Belangrijker dan de wet zelf: de eisen die NIS2 stelt zijn gewoon goede praktijk. MFA, back-ups, awareness, incident response, leveranciersbeoordeling, dit zijn dingen die elk bedrijf in 2026 zou moeten hebben, los van de wet.

Begin niet bij de wet. Begin bij goede beveiliging. Dan komt compliance erbij als bijproduct.

Plan een gesprek voor een eerlijke quick scan →

---