Om NIS2-compliant te worden, moet je als bedrijf een aantal concrete stappen doorlopen: breng je huidige beveiligingsniveau in kaart, voer de verplichte technische en organisatorische maatregelen door, stel een meldproces op voor incidenten en zorg dat je governance op orde is. De meeste MKB-bedrijven vallen niet direct onder de NIS2-richtlijn, maar worden er wel indirect door geraakt via hun klanten of leveranciers. In dit artikel beantwoorden we de meest gestelde vragen over NIS2 stap voor stap.
Voor welke organisaties geldt de NIS2-richtlijn?
De NIS2-richtlijn geldt direct voor middelgrote en grote organisaties in sectoren die als kritiek worden beschouwd, zoals energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur en overheid. Een middelgrote organisatie heeft meer dan 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro. Kleine bedrijven vallen in principe buiten de directe reikwijdte, maar kunnen er indirect mee te maken krijgen.
Dat indirecte effect is voor het MKB het meest relevant. Als je levert aan een organisatie die wel onder NIS2 valt, kun je worden gevraagd om aan te tonen dat jouw beveiliging op orde is. Grote opdrachtgevers stellen steeds vaker eisen aan hun leveranciers op het gebied van digitale weerbaarheid. De NIS2 MKB checklist die je verderop in dit artikel vindt, helpt je ook als je niet direct onder de wet valt, maar je klanten wel.
Nederland heeft de NIS2-richtlijn omgezet in de Cyberbeveiligingswet. De precieze drempelwaarden en sectorindeling zijn daarin vastgelegd. Twijfel je of jouw organisatie direct onder de wet valt? Controleer dan de sectorbijlagen van de Cyberbeveiligingswet of vraag advies aan een juridisch of technisch specialist.
Wat zijn de concrete verplichtingen onder NIS2?
Onder NIS2 zijn organisaties verplicht om passende technische en organisatorische maatregelen te nemen om risico’s voor hun netwerk- en informatiesystemen te beheersen. Daarnaast geldt een meldplicht bij beveiligingsincidenten en moeten bestuurders aantoonbaar betrokken zijn bij het cyberbeveiligingsbeleid. De wet hanteert een risicogebaseerde aanpak: je maatregelen moeten in verhouding staan tot de risico’s die je loopt.
De verplichtingen vallen uiteen in een aantal hoofdcategorieën:
- Risicoanalyse en beveiligingsbeleid: je documenteert welke risico’s je loopt en hoe je die aanpakt.
- Incidentbeheer: je hebt een proces om incidenten te detecteren, te melden en te herstellen.
- Bedrijfscontinuïteit: je hebt back-upbeleid en een herstelplan klaarliggen.
- Beveiliging van de toeleveringsketen: je beoordeelt de beveiligingspraktijken van je leveranciers.
- Opleiding en bewustwording: medewerkers zijn getraind op cyberveiligheid.
- Bestuurlijke verantwoordelijkheid: het management is eindverantwoordelijk en moet aantoonbaar betrokken zijn.
Dit laatste punt is nieuw ten opzichte van de vorige NIS-richtlijn en heeft grote gevolgen. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld als de organisatie de verplichtingen niet nakomt.
Hoe beoordeel je je huidige beveiligingsniveau voor NIS2?
Je beoordeelt je huidige beveiligingsniveau door een nulmeting te doen: breng in kaart welke systemen en data je beheert, welke risico’s daaraan kleven en welke maatregelen je al hebt getroffen. Vergelijk dat vervolgens met de verplichtingen uit de NIS2-richtlijn om te zien waar de gaten zitten. Dit noemen we ook wel een gap-analyse.
Een praktische aanpak voor deze nulmeting:
- Maak een overzicht van al je kritieke systemen, applicaties en data.
- Breng in kaart wie toegang heeft tot wat, en of dat noodzakelijk is.
- Controleer of je back-ups actueel zijn en of je ze ooit hebt getest.
- Ga na of je leveranciers en cloudproviders voldoen aan jouw beveiligingseisen.
- Beoordeel of je medewerkers weten wat ze moeten doen bij een phishingmail of datalek.
Digitale afhankelijkheid speelt hierbij een grote rol. Veel MKB-bedrijven werken met Amerikaanse cloudplatformen zoals Microsoft 365 of Google Workspace. Dat brengt specifieke risico’s mee, zoals de CLOUD Act, die Amerikaanse autoriteiten het recht geeft om data op te vragen bij Amerikaanse bedrijven, ook als die data in Europa staat. Dit is een relevant aandachtspunt bij je risicoanalyse.
Welke technische maatregelen zijn verplicht onder NIS2?
NIS2 schrijft geen specifieke producten voor, maar verplicht je wel om een aantal technische basismaatregelen te implementeren. Denk aan meerfactorauthenticatie, versleuteling van data, netwerksegmentatie, patchbeheer en toegangscontrole op basis van het principe van minimale rechten. De exacte invulling hangt af van de risico’s die jouw organisatie loopt.
De meest genoemde technische verplichtingen zijn:
- Meerfactorauthenticatie (MFA): verplicht voor toegang tot systemen met gevoelige data.
- Encryptie: data moet versleuteld zijn, zowel tijdens opslag als tijdens transport.
- Patchbeheer: beveiligingsupdates moeten tijdig worden doorgevoerd.
- Toegangsbeheer: medewerkers krijgen alleen toegang tot wat ze nodig hebben voor hun werk.
- Logging en monitoring: je registreert wie wanneer toegang heeft gehad tot welke systemen.
- Back-ups: regelmatige, geteste en liefst offline of geografisch gespreide kopieën van kritieke data.
Bedrijven die overwegen om over te stappen van Microsoft 365 naar een EU-alternatief voor Google Workspace, doen dat soms vanwege zorgen over de CLOUD Act en de wens om meer controle te houden over hun data. Europese alternatieven zoals Nextcloud of Proton bieden meer zekerheid op het gebied van dataregie, maar vergen ook een zorgvuldige migratieplanning.
Hoe werkt de meldplicht bij een beveiligingsincident?
Onder NIS2 ben je verplicht om een significant beveiligingsincident binnen 24 uur te melden bij de bevoegde nationale autoriteit. Binnen 72 uur volgt een uitgebreidere melding, en binnen een maand lever je een eindrapport aan. Een incident is significant als het grote gevolgen heeft voor je dienstverlening of voor de veiligheid van anderen.
De meldplicht geldt niet voor elk klein incident. De wet hanteert drempelwaarden: er moet sprake zijn van een verstoring die de beschikbaarheid, integriteit of vertrouwelijkheid van je systemen aantast op een manier die impact heeft op de dienstverlening. In Nederland is het Nationaal Cyber Security Centrum (NCSC) of de relevante sectorale toezichthouder de ontvangende partij.
Praktisch betekent dit dat je van tevoren een intern meldproces moet hebben klaarstaan. Wie is verantwoordelijk voor het doen van de melding? Wie beoordeelt of een incident significant is? Hoe snel kun je de benodigde informatie verzamelen? Dit zijn vragen die je niet voor het eerst wilt beantwoorden op het moment dat er iets misgaat.
Wat zijn de boetes voor niet-naleving van NIS2?
De boetes voor niet-naleving van NIS2 kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Dit geldt voor organisaties in de zogeheten essentiële sectoren. Voor belangrijke sectoren liggen de maxima iets lager: 7 miljoen euro of 1,4% van de wereldwijde omzet.
Naast financiële boetes kunnen toezichthouders ook andere maatregelen opleggen, zoals tijdelijke schorsing van een dienst of het verplicht aanstellen van een toezichthouder binnen de organisatie. Bestuurders kunnen bovendien persoonlijk aansprakelijk worden gesteld als ze aantoonbaar nalatig zijn geweest. Dit maakt NIS2 fundamenteel anders dan veel eerdere regelgeving, waarbij de organisatie als geheel aansprakelijk was, maar individuele bestuurders buiten schot bleven.
Hoe pak je NIS2-compliance stap voor stap aan?
Je pakt NIS2-compliance aan door te beginnen met een nulmeting, vervolgens een prioriteitenlijst op te stellen op basis van de gevonden risico’s, en daarna de maatregelen stapsgewijs door te voeren. Zorg dat het management betrokken is, leg alles schriftelijk vast en test je plannen regelmatig. Compliance is geen eenmalig project maar een doorlopend proces.
Een praktisch stappenplan voor MKB-bedrijven:
- Bepaal of je direct onder NIS2 valt en zo niet, of je er indirect mee te maken hebt via klanten of opdrachtgevers.
- Voer een nulmeting uit op je huidige beveiligingsniveau, inclusief je leveranciers en cloudproviders.
- Stel een risicoanalyse op en documenteer welke risico’s je loopt en hoe groot de impact is.
- Maak een actieplan met prioriteiten: begin met de maatregelen die de grootste risico’s aanpakken.
- Implementeer de technische maatregelen zoals MFA, encryptie en patchbeheer.
- Richt een meldproces in voor beveiligingsincidenten en test dit.
- Train je medewerkers en zorg dat het management aantoonbaar betrokken is.
- Herhaal en verbeter: plan jaarlijkse reviews en pas je maatregelen aan op nieuwe risico’s.
Een NIS2 MKB checklist zoals deze helpt je om overzicht te houden en niets over het hoofd te zien. Het is ook een handig document om te delen met je accountant, IT-partner of opdrachtgever als bewijs dat je serieus bezig bent met digitale weerbaarheid.
Wij van GreenAumatic hebben de Digitale Weerbaarheid pre-scan ontwikkeld om je snel inzicht te geven in waar je staat. Benieuwd waar jouw bedrijf staat op het gebied van digitale weerbaarheid? Doe de gratis Digitale Weerbaarheid pre-scan en weet het in tien minuten. Geen registratie, direct resultaat.
Frequently Asked Questions
Hoe lang duurt het gemiddeld om NIS2-compliant te worden?
De doorlooptijd verschilt sterk per organisatie, maar reken voor een gemiddeld MKB-bedrijf op drie tot twaalf maanden. Bedrijven die al een basisniveau van beveiliging hebben ingericht — zoals MFA en regelmatige back-ups — zijn sneller klaar dan organisaties die vanaf nul beginnen. Begin daarom zo vroeg mogelijk met de nulmeting, zodat je weet hoe groot de afstand tot compliance is en je realistische deadlines kunt stellen.
Wat als mijn leverancier niet voldoet aan de NIS2-eisen — ben ik dan zelf ook in overtreding?
Je bent zelf verantwoordelijk voor de beveiliging van je toeleveringsketen, ook als een leverancier tekortschiet. Dat betekent dat je actief moet beoordelen of jouw leveranciers voldoen aan jouw beveiligingseisen, en daar contractuele afspraken over moet maken. Voldoet een leverancier niet, dan moet je ofwel eisen dat ze verbeteren, ofwel overwegen om over te stappen naar een alternatief. Documenteer dit proces, want toezichthouders kunnen vragen hoe je leveranciersrisico's beheert.
Moet ik een externe specialist inhuren voor NIS2-compliance, of kan ik dit zelf doen?
Voor kleinere organisaties is het goed mogelijk om een groot deel zelf op te pakken, zeker met behulp van checklists en beschikbare frameworks zoals ISO 27001 of de NCSC-basismaatregelen. Toch is het verstandig om voor de nulmeting en de juridische interpretatie van de wet een specialist te raadplegen — fouten in de beginfase kunnen later duur uitpakken. Een IT-partner of cybersecurityadviseur kan je helpen prioriteiten te stellen en de technische maatregelen correct te implementeren.
Hoe zorg ik ervoor dat mijn medewerkers NIS2-bewust blijven, niet alleen bij de start?
Eenmalige training is niet voldoende; bewustwording vraagt om een doorlopende aanpak. Denk aan korte, regelmatige phishingsimulaties, maandelijkse security-updates via e-mail of intranet, en het opnemen van cyberveiligheid als vast agendapunt in teamoverleggen. Maak het concreet en herkenbaar voor medewerkers — een praktijkvoorbeeld uit de eigen sector werkt beter dan abstracte theorie.
Wat is het verschil tussen een 'essentiële' en een 'belangrijke' entiteit onder NIS2, en waarom maakt dat uit?
NIS2 maakt onderscheid tussen essentiële entiteiten (zoals energie, drinkwater en gezondheidszorg) en belangrijke entiteiten (zoals post, afvalverwerking en bepaalde digitale diensten). Het verschil zit vooral in de toezichtintensiteit en de maximale boetes: essentiële entiteiten worden proactief gecontroleerd, terwijl belangrijke entiteiten doorgaans reactief worden gecontroleerd — pas na een incident of klacht. De verplichtingen zelf zijn grotendeels gelijk, maar de financiële risico's bij niet-naleving zijn hoger voor essentiële entiteiten.
Welke documenten moet ik kunnen overleggen als een toezichthouder of opdrachtgever om bewijs vraagt?
Zorg minimaal voor een gedocumenteerde risicoanalyse, een actueel beveiligingsbeleid, een incidentresponsplan, bewijs van uitgevoerde trainingen en een overzicht van je leveranciersbeoordelingen. Ook logbestanden en testresultaten van je back-ups zijn waardevolle bewijsstukken. Bewaar deze documenten gestructureerd en zorg dat ze altijd up-to-date zijn — verouderde documentatie telt in de praktijk nauwelijks als bewijs van naleving.
Kan ik NIS2-compliance combineren met andere regelgeving zoals de AVG of ISO 27001?
Ja, en dat is zelfs aan te raden. NIS2, de AVG en ISO 27001 overlappen op veel punten, zoals risicoanalyse, toegangsbeheer en incidentbeheer. Door deze kaders geïntegreerd aan te pakken, voorkom je dubbel werk en bouw je aan een samenhangend beveiligingssysteem. Een ISO 27001-certificering kan bovendien dienen als aantoonbaar bewijs van een volwassen informatiebeveiligingsniveau, wat zowel toezichthouders als opdrachtgevers geruststelt.
Related Articles
- Hoe bereid ik mijn bedrijf voor op B-Corp certificering?
- Wat is het verschil tussen een EcoVadis zilver, goud en platina score?
- Hoe rapporteer ik over sociale impact voor mijn B-Corp certificering?
- Hoe combineer ik EcoVadis en B-Corp trajecten efficiënt?
- 5 risico's van de CLOUD Act voor jouw bedrijfsdata
- Wat kost een B-Corp certificering?
- Wat kost het opzetten van sociaal beleid voor een klein bedrijf?
- Wat is een loonkloof en hoe bereken ik die voor mijn bedrijf?
- Hoe ondersteun ik medewerkers met een afstand tot de arbeidsmarkt?
- Welke sociale gegevens moet ik kunnen aanleveren aan mijn opdrachtgever?
- Waarom is nu investeren in duurzaamheid slim voor later?
- Duurzaamheidsmoe? Zo houd je het behapbaar als MKB
- Is een duurzaamheidsverslag verplicht voor MKB?
- Wat zijn de grootste risico's voor mijn bedrijf op lange termijn?
- Hoe toon ik aan mijn klant dat ik duurzaam werk?
- Waar begin je met verduurzamen als MKB?
- Wat levert digitalisering én verduurzaming financieel op?
- Waarom vragen steeds meer bedrijven om duurzaamheidsgegevens?
- Hoe maak ik mijn bedrijf toekomstbestendig?
- Welke duurzaamheidscriteria tellen mee bij aanbestedingen?