1. Wat is NIS2 eigenlijk?

De NIS2-richtlijn is de vernieuwde Europese wetgeving voor cybersecurity. Het doel is simpel: zorgen dat organisaties beter bestand zijn tegen cyberaanvallen, dat incidenten sneller worden gemeld én dat de digitale weerbaarheid in heel Europa omhooggaat. De richtlijn bouwt voort op de eerdere NIS-wetgeving, maar pakt het groter en strenger aan.

Veel ondernemers zoeken daarom naar duidelijke NIS2-uitleg: wat is NIS2, waarom komt die wetgeving er, waar staat NIS2 precies voor en wanneer treedt NIS2 in werking?

De richtlijn is in Nederland ondergebracht in de nieuwe Cyberbeveiligingswet. Die wet liep vertraging op, waardoor de inwerkingtreding is verschoven naar Q2 2026. De verplichtingen gaan dus niet morgen al gelden, maar de status is duidelijk: NIS2 komt eraan en organisaties moeten straks kunnen aantonen dat ze cybersecurity serieus nemen.

2. Wanneer valt jouw mkb-bedrijf onder NIS2?

Veel mkb-bedrijven vragen zich af: wanneer is NIS2 verplicht voor mij? Het antwoord begint bij de sectoren. De richtlijn kent twee groepen: essentiële sectoren en belangrijke sectoren. Denk aan zorg, energie, ICT-dienstverleners, vervoersbedrijven, waterbeheer, cloudproviders en digitale infrastructuur.

Daarnaast kijkt NIS2 naar omvang:

• meer dan 50 medewerkers, of
• meer dan 10 miljoen euro omzet.

In dat geval val je in principe onder de wetgeving, tenzij je in een niet-relevante sector zit. Maar voor het mkb is vooral één categorie cruciaal: leveranciers in de keten.

Ben jij bijvoorbeeld een hardwareleverancier van netwerkcomponenten bij een ziekenhuis? Dan kun je alsnog onder de NIS2-wetgeving vallen, omdat jouw diensten direct impact hebben op de continuïteit van anderen. Dit gaat de grootste groep worden binnen het mkb.

3. Hoe weet je voor wie NIS2 van toepassing is?

Er is geen magische checklist. Maar je kunt jezelf drie eerlijke vragen stellen:

1. Leveren wij producten of diensten waarvan anderen afhankelijk zijn voor hun continuïteit? Denk aan applicaties, cloudomgevingen, securitydiensten, infrastructuur, hosting of koppelingen.
2. Maak je deel uit van een keten waarin wél NIS2-plichtige bedrijven zitten? Grote organisaties gaan eisen stellen aan hun leveranciers. Zelfs als je zelf niet officieel onder de wet valt, kun je wél verplicht worden tot NIS2-achtige maatregelen.
3. Ben je zelf een groot of maatschappelijk risico op het moment dat jouw organisatie platgaat? Bijvoorbeeld door kritieke functies, grote klantvolumes of sterke afhankelijkheid van jouw dienstverlening.

Als je op één van deze vragen “ja” antwoordt, is de kans groot dat je te maken krijgt met de NIS2-richtlijn (direct of wegens ketenverantwoordelijkheid).

‍

4. Wat moet je doen als je onder NIS2 valt?

De vraag “hoe voldoen aan NIS2?” krijgt vaak een lang antwoord, maar als we het beknopt willen houden, dan draait het om vijf onderdelen. Je moet jouw organisatie in ieder geval registreren als NIS2-entiteit, mits je dit bent (registratieplicht).

‍

1. Risicoanalyse en beleid

Inzicht in dreigingen, kwetsbaarheden en maatregelen. NIS2 verwacht dat organisaties structureel risico’s beoordelen en beleid opstellen. Lees hier hoe je een risicoanalyse uitvoert.

2. Technische beveiliging

Van patchmanagement en monitoring tot toegangsbeheer, encryptie en detectie. De richtlijn is streng op basisbeveiliging. Veel kun je ondervangen met een ISO 27001 implementatie – je leest hier in onze whitepaper meer over.

3. Meldplicht bij incidenten

Binnen 24 uur moet je ernstige incidenten melden bij het Nationaal Cyber Security Centrum (of de betreffende toezichthouder).

4. Training en bewustwording

Medewerkers zijn een groot risico en dus is het een verplicht onderdeel van de wet om aandacht aan awareness te besteden, bijvoorbeeld middels Guardey.

5. Leveranciersbeheer en ketenverantwoordelijkheid

Je moet aantonen dat leveranciers jouw cybersecurityniveau niet verzwakken. Dit raakt vrijwel elk mkb-bedrijf.

ISO 27001 sluit hier logisch op aan. Het biedt structuur, aantoonbaarheid en een goede basis voor compliance.

5. Wat betekent NIS2 concreet voor jou als mkb’er?

Zelfs wanneer jouw bedrijf formeel niet onder de NIS2-wetgeving valt, ga je er alsnog mee te maken krijgen. Grote organisaties leggen de eisen door aan leveranciers. Cyberverzekeraars worden kritischer. Offertes en aanbestedingen vragen steeds vaker om bewijs van cybersecuritymaatregelen.

Kortom: NIS2 raakt het mkb sowieso. Of als verplichting, of als marktontwikkeling.

6. Hoe te beginnen met NIS2?

Start klein, begin slim. Een gratis gap-analyse is een logische eerste stap. Daarmee krijg je direct inzicht in waar je staat en welke maatregelen nodig zijn. Daarna volgt de implementatie: documentatie, processen, techniek, training, leveranciersbeheer – alles wat nodig is om te voldoen aan de NIS2-richtlijn.

Voor aantoonbaarheid kun je bijvoorbeeld kiezen voor ISO 27001 als framework voor informatiebeveiliging, waarmee je de NIS2 kunt toepassen (lees hier over de verschillen en overeenkomsten met NIS2) of het NIS2 Supply Chain-certificaat. Daarmee ben je transparant richting klanten én klaar voor de toekomst.

De NIS2 voor het mkb

NIS2 klinkt groot en ingewikkeld, maar voor de meeste mkb-bedrijven komt het neer op drie dingen:

• Je veiligheid op orde brengen.
• Duidelijke processen en verantwoordelijkheden vastleggen.
• Aantonen dat je cybersecurity serieus neemt.

Of je nu wel of niet formeel onder de wet valt: dit is het moment om je organisatie weerbaarder te maken en klaar te zetten voor de toekomst.

‍

Wil je zeker weten waar jouw organisatie staat?

Plan hieronder een vrijblijvend adviesgesprek. Samen kijken we waar de risico’s zitten, welke stappen nodig zijn en begeleiden we je in hoe je dit slim en praktisch invoert.

Liever zelf nog even verder lezen? Onze nieuws & insights pagina staat vol met handige uitleg, downloads en praktijkvoorbeelden.

‍

‍