← Terug naar blog
Security

NIS2 voor het MKB: wat de Europese cyberbeveiligingsrichtlijn concreet betekent voor uw bedrijf

Door Zarioh Digital Solutions5 min leestijd
Delen
NIS2 voor het MKB: wat de Europese cyberbeveiligingsrichtlijn concreet betekent voor uw bedrijf

NIS2 is van kracht maar wordt nog steeds onderschat door het Nederlandse MKB. Wie valt er daadwerkelijk onder, welke technische maatregelen zijn verplicht, hoe zit het met de meldplicht en wat betekent de persoonlijke aansprakelijkheid van bestuurders? Een praktische analyse.

NIS2 is op 16 oktober 2024 van kracht geworden in Europa. De richtlijn verplicht organisaties in achttien aangewezen sectoren om cyberbeveiligingsmaatregelen te treffen, incidenten te melden en hun beveiliging aantoonbaar op orde te hebben. Toch opereren begin 2026 nog veel Nederlandse MKB-bedrijven zonder dat ze hebben beoordeeld of NIS2 op hen van toepassing is. Die inschatting gaat steeds vaker fout.

De redenering 'wij zijn te klein voor NIS2' klopt voor de meerderheid, maar niet voor alle. Kleinere organisaties die als enige leverancier een essentiële dienst verzorgen, leveranciers in de toeleveringsketen van een essentiële entiteit, en bedrijven actief in specifieke sectoren vallen soms wel degelijk onder de richtlijn. En zelfs voor organisaties die formeel buiten de reikwijdte vallen, worden de technische maatregelen die NIS2 voorschrijft steeds vaker als minimale norm door grote opdrachtgevers en verzekeraars opgelegd.

Wie valt er onder NIS2?

NIS2 onderscheidt twee categorieën. Essentiële entiteiten zijn grote organisaties met meer dan 250 medewerkers of een jaaromzet boven vijftig miljoen euro in tien kritieke sectoren: energie, transport, banken, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, openbaar bestuur en ruimtevaart. Belangrijke entiteiten zijn middelgrote organisaties met vijftig tot 250 medewerkers of een omzet van tien tot vijftig miljoen euro in acht aanvullende sectoren: post en koeriers, afvalbeheer, chemicaliën, levensmiddelen, productie van kritieke producten, digitale diensten en onderzoek.

Voor MKB-bedrijven zijn twee situaties bijzonder relevant. Ten eerste de toeleveringsketen: levert u IT-diensten, software, hardware of beheerde diensten aan een essentiële entiteit? Dan zal uw klant u niet buiten beschouwing laten bij de beoordeling van hun leveranciersketen, en steeds vaker verplichten zij leveranciers contractueel tot NIS2-conforme beveiliging. Ten tweede de enige aanbieder: is uw organisatie de enige aanbieder van een dienst in een kritieke sector in een bepaalde regio? Dan kunt u ook als kleine organisatie door de toezichthouder als essentieel worden aangemerkt.

Welke verplichtingen gelden er?

NIS2 schrijft tien categorieën van risicobeheermaatregelen voor. Risicoanalyse en informatiebeveiligingsbeleid, inclusief procedures om dreigingen en zwaktes systematisch in kaart te brengen. Incidentenbeheer met een vastgesteld proces voor detectie, respons en herstel. Bedrijfscontinuïteit, back-ups en herstelplannen die aantoonbaar zijn getest. Beveiliging van de leveranciersketen, inclusief beoordeling van de beveiligingspraktijken van toeleveranciers. Beleid en procedures voor systemen in de aankoopfase. Kwetsbaarheidsbeheer en gecoördineerde bekendmaking. Cryptografiebeleid voor versleuteling en sleutelbeheer. Personeelsbeveiliging en bewustzijnstraining. Toegangsbeheer en toegangscontroles. Gebruik van meervoudige verificatie voor alle systemen die binnen de reikwijdte vallen.

Voor een MKB-organisatie hoeft dit geen zwaar compliance-traject te worden. Wat het wél vereist, is dat er beleid bestaat, dat maatregelen aantoonbaar zijn getroffen en dat er een verantwoordelijke is aangewezen. Het NCSC biedt praktische basisrichtlijnen die als vertrekpunt dienen.

Technische maatregelen die uw beveiliging raken

Concreet betekent NIS2-naleving voor de meeste MKB-bedrijven dat een aantal technische fundamenten op orde moeten zijn. Meervoudige verificatie voor alle accounts met toegang tot bedrijfssystemen, ook voor leveranciers en externe beheerders. Netwerksegmentatie, zodat een aanvaller die één systeem binnendringt niet direct de rest van de omgeving bereikt. Patchbeheer met een gedocumenteerde cyclus voor het bijwerken van besturingssystemen en toepassingen, bij voorkeur binnen een vaste termijn na publicatie van een beveiligingsupdate.

Daarnaast gelden eisen aan back-ups. De bewaarlocatie moet gescheiden zijn van de primaire omgeving, bij voorkeur offline of in een aparte cloudomgeving. Herstel moet periodiek worden getest, niet alleen voor de back-up zelf maar ook voor de hersteltijd. Kwetsbaarheidsscanning, minimaal elk kwartaal, om bekende zwaktes in uw netwerk en systemen tijdig te ontdekken. En vastlegging van beveiligingsgebeurtenissen, zodat u bij een incident kunt reconstrueren wat er is gebeurd en wanneer.

Meldplicht bij incidenten

Een van de meest concrete verplichtingen in NIS2 is de meldplicht bij significante incidenten. Een incident is significant als het de verlening van uw diensten ernstig verstoort, een groot aantal gebruikers raakt of mogelijk andere entiteiten in uw sector treft. Denk aan schadelijke software die uw systemen heeft platgelegd, een gegevenslek waarbij gevoelige klantgegevens zijn blootgesteld, of een langdurige uitval van een kritiek systeem.

De tijdlijn is strak: binnen 24 uur na ontdekking moet u een eerste melding doen bij de relevante toezichthouder, in Nederland het NCSC voor essentiële entiteiten en de sectorale toezichthouder voor belangrijke entiteiten. Binnen 72 uur volgt een gedetailleerdere melding met de aard van het incident, de vermoedelijke oorzaak en het aantal getroffen gebruikers. Binnen een maand stuurt u het eindrapport met de volledige analyse, de getroffen maatregelen en de geleerde lessen. Wie deze termijnen mist of niet meldt bij een meldingswaardig incident, riskeert een afzonderlijke sanctie bovenop eventuele boetes voor de tekortkoming zelf.

Bestuurlijke aansprakelijkheid: nieuw en serieus

Een van de meest ingrijpende elementen van NIS2 is de persoonlijke aansprakelijkheid van bestuurders. De richtlijn verplicht dat leidinggevenden actief betrokken zijn bij het goedkeuren van cyberbeveiligingsmaatregelen en toezicht houden op de uitvoering ervan. Bij ernstige overtredingen kan een toezichthouder een tijdelijk verbod op het bekleden van leidinggevende functies opleggen. Dit is voor veel bedrijven een nieuw gegeven: cyberveiligheid zit daarmee formeel op het bord van de directie, niet alleen bij de IT-afdeling.

De maximale boetes zijn aanzienlijk. Voor essentiële entiteiten lopen ze op tot tien miljoen euro of twee procent van de wereldwijde jaaromzet, voor belangrijke entiteiten tot zeven miljoen euro of 1,4 procent. Net als bij de AVG geldt het lagere bedrag voor kleinere organisaties, maar de drempel voor formele handhaving ligt lager dan onder de oorspronkelijke NIS-richtlijn. De Rijksinspectie Digitale Infrastructuur en sectorale toezichthouders zijn inmiddels operationeel met hun handhavingsbevoegdheden.

Hoe legt u een solide basis?

Vijf stappen om binnen drie maanden een werkbare NIS2-basis te leggen. Bepaal eerst uw reikwijdte: valt u onder essentieel, belangrijk of buiten NIS2? Gebruik de zelfevaluatietool op de website van het NCSC of laat dit beoordelen door een IT-partner die thuis is in de richtlijn. Ten tweede, maak een overzicht van uw huidige beveiligingsmaatregelen tegenover de tien NIS2-categorieën. Een eenvoudige spreadsheet volstaat voor deze eerste achterstandsanalyse.

Ten derde, prioriteer de technische basismaatregelen: meervoudige verificatie voor alle accounts, een getest back-upplan, patchbeheer en vastlegging van beveiligingsgebeurtenissen. Deze vier maatregelen dekken de grootste risico's en zijn ook los van NIS2 verstandig. Ten vierde, documenteer het beleid. Dit hoeft geen uitgebreid certificeringstraject te zijn, maar er moet een informatiebeveiligingsbeleid en een procedure voor incidentrespons bestaan. Ten vijfde, bespreek NIS2 met uw toeleveranciers en verwerk beveiligingseisen in uw nieuwe contracten.

NIS2 is geen administratieve last die u kunt negeren. Het is een minimumstandaard die uw organisatie weerbaar maakt tegen de meest voorkomende dreigingen en die steeds vaker wordt gevraagd door klanten, verzekeraars en aanbestedende diensten. Wilt u weten of uw organisatie onder NIS2 valt en hoe u de verplichtingen praktisch invult? Neem contact op met Zarioh voor een vrijblijvende beoordeling.

Was dit artikel nuttig?

Z

Zarioh Digital Solutions

IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

Lees ook

← Terug naar alle artikelen
Delen