De NIS2-richtlijn geldt voor middelgrote en grote bedrijven in sectoren die als kritiek worden beschouwd, zoals energie, transport, financiën, gezondheidszorg en digitale infrastructuur. Voor de meeste kleine MKB-bedrijven geldt NIS2 niet rechtstreeks, maar via hun klanten of leveranciers kunnen zij er wel degelijk mee te maken krijgen. Dit artikel beantwoordt de meest gestelde vragen over NIS2, zodat je precies weet waar je aan toe bent.
Voor welke bedrijven geldt de NIS2-richtlijn?
De NIS2-richtlijn geldt voor organisaties die actief zijn in sectoren die als kritiek of belangrijk worden aangemerkt, én die voldoen aan bepaalde drempelwaarden voor omzet en personeelsomvang. Concreet gaat het om middelgrote bedrijven met minstens 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro, en om grote bedrijven met meer dan 250 medewerkers of een omzet boven de 50 miljoen euro.
De sectoren die onder NIS2 vallen, zijn onder andere energie, drinkwater, transport, bankwezen, gezondheidszorg, digitale infrastructuur en overheidsdiensten. Daarnaast zijn er zogenoemde “belangrijke sectoren” zoals post- en koeriersdiensten, afvalverwerking, voedselproductie en chemische industrie.
Kleine bedrijven vallen in principe buiten de directe reikwijdte van NIS2. Maar let op: als jouw bedrijf als toeleverancier of dienstverlener werkt voor een organisatie die wél onder NIS2 valt, kun je indirect verplicht worden om aan bepaalde beveiligingseisen te voldoen. NIS2 legt namelijk ook verplichtingen op rondom de beveiliging van de toeleveringsketen. Dat is precies waarom digitale weerbaarheid ook voor kleinere bedrijven steeds relevanter wordt.
Wat zijn de gevolgen als je niet aan NIS2 voldoet?
Bedrijven die onder NIS2 vallen en niet aan de verplichtingen voldoen, riskeren forse boetes. Voor organisaties in essentiële sectoren kan de boete oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor bedrijven in belangrijke sectoren gelden lagere maxima: 7 miljoen euro of 1,4 procent van de jaaromzet.
Naast financiële sancties kunnen toezichthouders ook operationele maatregelen opleggen, zoals het tijdelijk verbieden van bepaalde activiteiten of het verplichten van een onafhankelijke audit. In ernstige gevallen kan de persoonlijke aansprakelijkheid van bestuurders in beeld komen, wat NIS2 onderscheidt van veel eerdere regelgeving op dit vlak.
De reputatieschade bij een beveiligingsincident dat voortkwam uit nalatigheid is minstens zo schadelijk als de boete zelf. Klanten en partners verwachten dat je hun data serieus neemt, en een openbaar incident kan dat vertrouwen snel beschadigen.
Welke maatregelen moet je als bedrijf nemen onder NIS2?
Onder NIS2 ben je als organisatie verplicht om passende technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van je netwerk- en informatiesystemen te beheersen. Dat klinkt abstract, maar in de praktijk gaat het om een concrete set van basismaatregelen.
De belangrijkste verplichte maatregelen zijn:
- Een risicoanalyse en beveiligingsbeleid opstellen
- Procedures voor incidentbeheer en bedrijfscontinuïteit inrichten
- Beveiliging van de toeleveringsketen beoordelen en aanpakken
- Technische beveiligingsmaatregelen treffen, zoals encryptie en toegangsbeheer
- Medewerkers trainen op cybersecurity
- Multifactorauthenticatie (MFA) verplicht stellen voor toegang tot systemen
Bestuurders zijn persoonlijk verantwoordelijk voor het toezicht op deze maatregelen. NIS2 verwacht niet dat je een perfect systeem hebt, maar wel dat je aantoonbaar actief bezig bent met het beheersen van risico’s.
Hoe verschilt NIS2 van de oorspronkelijke NIS1-richtlijn?
NIS2 is een forse uitbreiding ten opzichte van de oorspronkelijke NIS1-richtlijn uit 2016. Het grootste verschil is de reikwijdte: NIS1 gold voor een beperkte groep aanbieders van essentiële diensten en digitale dienstverleners, terwijl NIS2 een veel groter aantal sectoren en organisaties omvat.
Andere belangrijke verschillen zijn:
- Strengere meldplicht: onder NIS2 moet je een ernstig incident binnen 24 uur melden bij de toezichthouder, in plaats van de ruimere termijnen die NIS1 hanteerde
- Persoonlijke aansprakelijkheid: NIS2 maakt bestuurders expliciet verantwoordelijk, iets wat in NIS1 niet het geval was
- Harmonisatie: NIS2 zorgt voor meer gelijkheid in de uitvoering tussen EU-lidstaten, zodat er minder verschil is in handhaving per land
- Toeleveringsketen: NIS2 verplicht organisaties ook om de beveiligingsrisico’s van hun leveranciers te beoordelen
Kortom: NIS2 is geen kleine update, maar een fundamenteel strengere en bredere opvolger van NIS1.
Wanneer moet je een beveiligingsincident melden onder NIS2?
Onder NIS2 ben je verplicht om een beveiligingsincident te melden als het een aanzienlijke impact heeft op de beschikbaarheid, integriteit of vertrouwelijkheid van je diensten. De meldplicht geldt dus niet voor elk klein technisch probleem, maar wel voor incidenten die de continuïteit van je dienstverlening serieus verstoren.
De meldtermijnen zijn strikt:
- Binnen 24 uur: een eerste melding (“early warning”) bij de bevoegde nationale autoriteit, zodra je weet dat er een ernstig incident heeft plaatsgevonden
- Binnen 72 uur: een uitgebreidere melding met de eerste beoordeling van het incident, inclusief de ernst en mogelijke oorzaak
- Binnen één maand: een eindrapport met een volledige analyse, de getroffen maatregelen en de lessen die je hebt getrokken
In Nederland is het Nationaal Cyber Security Centrum (NCSC) of de relevante sectorale toezichthouder het meldpunt. Zorg dat je intern weet wie verantwoordelijk is voor het herkennen en doorsturen van dergelijke meldingen, want snelheid is hier letterlijk een wettelijke verplichting.
Hoe kom je erachter of jouw bedrijf NIS2-compliant is?
Om te bepalen of jouw bedrijf NIS2-compliant is, doorloop je drie stappen: vaststellen of je onder de richtlijn valt, beoordelen of je huidige beveiligingsmaatregelen voldoen aan de eisen, en de eventuele gaten dichten. Dat klinkt overzichtelijk, maar in de praktijk weten veel bedrijven niet goed waar ze beginnen.
Een goed startpunt is een eerlijke zelfevaluatie op het gebied van digitale weerbaarheid. Denk aan vragen als: Heb ik een actueel risicobeleid? Zijn er procedures voor incidentrespons? Weet ik welke leveranciers toegang hebben tot mijn systemen? Is MFA overal ingericht?
Daarnaast is het verstandig om te kijken naar je afhankelijkheid van externe software en cloudproviders. Veel MKB-bedrijven werken met Amerikaanse platforms zoals Microsoft 365 of Google Workspace. Dat brengt risico’s met zich mee rondom de CLOUD Act, die Amerikaanse autoriteiten het recht geeft om toegang te eisen tot data die door Amerikaanse bedrijven wordt beheerd, ook als die data fysiek in Europa staat. Dit raakt direct aan de digitale afhankelijkheid van het MKB en is een punt dat steeds vaker terugkomt in NIS2-assessments.
Wil je snel en concreet weten waar jouw bedrijf staat? Bij GreenAumatic hebben we daarvoor een gratis instrument ontwikkeld dat je in tien minuten duidelijkheid geeft, zonder registratie of technische kennis.
Benieuwd waar jouw bedrijf staat op het gebied van digitale weerbaarheid? Doe de gratis Digitale Weerbaarheid pre-scan en weet het in tien minuten. Geen registratie, direct resultaat.
Frequently Asked Questions
Geldt NIS2 ook als mijn bedrijf geen ICT-bedrijf is?
Ja, NIS2 is nadrukkelijk niet beperkt tot technologiebedrijven. Ook organisaties in sectoren zoals voedselproductie, transport, gezondheidszorg en afvalverwerking kunnen onder de richtlijn vallen, mits ze aan de drempelwaarden voor omzet en personeelsomvang voldoen. Zelfs als jouw bedrijf zelf niet onder NIS2 valt, kunnen klanten of opdrachtgevers eisen dat je als toeleverancier toch aan bepaalde beveiligingsstandaarden voldoet.
Wat is de eerste concrete stap die ik moet zetten om met NIS2-compliance te beginnen?
De meest praktische eerste stap is het uitvoeren van een gap-analyse: breng in kaart welke beveiligingsmaatregelen je al hebt en welke er nog ontbreken ten opzichte van de NIS2-vereisten. Begin met de basisvragen: is er een actueel risicobeleid, zijn er incidentresponsprocedures, en is MFA overal ingericht? Vanuit dat overzicht kun je prioriteiten stellen en gericht actie ondernemen, zonder dat je alles tegelijk hoeft aan te pakken.
Wie binnen mijn organisatie is eindverantwoordelijk voor NIS2-naleving?
Onder NIS2 ligt de eindverantwoordelijkheid expliciet bij het bestuur of de directie van de organisatie, niet bij de IT-afdeling. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld als blijkt dat zij onvoldoende toezicht hebben gehouden op de naleving van de beveiligingsverplichtingen. Het is daarom essentieel dat NIS2 als een bestuurlijk thema wordt behandeld en niet uitsluitend als een technische aangelegenheid.
Wat als ik een beveiligingsincident niet op tijd meld? Wat zijn de gevolgen?
Het niet tijdig melden van een ernstig beveiligingsincident wordt beschouwd als een afzonderlijke overtreding van NIS2, los van het incident zelf. Dit kan leiden tot extra boetes bovenop eventuele sancties voor het incident. Zorg daarom dat je intern een duidelijk meldproces hebt ingericht, inclusief een aangewezen verantwoordelijke die weet wanneer en bij welke instantie een melding gedaan moet worden.
Hoe ga ik om met de NIS2-verplichtingen rondom mijn leveranciers en softwarepakketten?
NIS2 verplicht je om de beveiligingsrisico's van je toeleveringsketen actief te beoordelen. Dat betekent in de praktijk dat je in kaart brengt welke externe partijen toegang hebben tot jouw systemen of data, en welke beveiligingsmaatregelen zij hanteren. Vraag leveranciers om informatie over hun beveiligingsbeleid, leg afspraken contractueel vast en houd rekening met specifieke risico's rondom Amerikaanse cloudproviders en de CLOUD Act.
Moet ik als MKB-bedrijf een externe cybersecurity-expert inhuren om NIS2-compliant te worden?
Dat is niet per se verplicht, maar voor veel MKB-bedrijven is externe ondersteuning wel aan te raden, zeker als interne kennis op het gebied van informatiebeveiliging beperkt is. Een externe specialist kan helpen bij de gap-analyse, het opstellen van beleid en het trainen van medewerkers. Als startpunt kun je ook gebruikmaken van gratis hulpmiddelen, zoals de Digitale Weerbaarheid pre-scan van GreenAumatic, om snel een eerste beeld te krijgen van waar je staat.
Hoe vaak moet ik mijn NIS2-maatregelen herzien of updaten?
NIS2 schrijft geen vaste herzieningsfrequentie voor, maar verwacht wel dat je beveiligingsmaatregelen aantoonbaar actueel en effectief zijn. In de praktijk betekent dit dat je risicoanalyse en beveiligingsbeleid minimaal jaarlijks herzien worden, en ook na significante wijzigingen in je organisatie, systemen of dreigingslandschap. Regelmatige interne audits en medewerkerstrainingen helpen je om continu compliant te blijven en dit ook te kunnen aantonen aan toezichthouders.
Related Articles
- Hoe werkt de MVO Prestatieladder en voor welke bedrijven is het relevant?
- Hoe verzamel ik sociale data zonder extra administratie?
- Duurzaamheidsmoe? Zo houd je het behapbaar als MKB
- Hoe weet ik of mijn bedrijf duurzaam genoeg is?
- Is een duurzaamheidsverslag verplicht voor MKB?
- Hoe meet ik hoeveel ik verspil als bedrijf?
- Hoe draagt duurzaamheid bij aan lange termijn succes?
- Hoe bewijs ik dat mijn verduurzaming echt werkt?
- Welke duurzaamheidscriteria tellen mee bij aanbestedingen?
- Wat betekent toekomstbestendig ondernemen?