Ondernemer bestudeert AVG-nalevingsdocument aan minimalistisch bureau met stalen hangslot op de papieren, natuurlijk daglicht.

NIS2-richtlijn uitgelegd: verplichtingen voor het mkb

De NIS2-richtlijn geldt voor mkb-bedrijven die actief zijn in sectoren die als essentieel of belangrijk worden aangemerkt, zoals energie, transport, digitale infrastructuur, gezondheidszorg en voedselproductie. Voldoe je aan de drempelwaarden van minimaal 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro, dan val je hoogstwaarschijnlijk onder de richtlijn. Dit artikel beantwoordt de meest gestelde vragen over NIS2 voor het mkb: van wie er precies onder valt tot hoe je je voorbereidt op compliance.

Voor welke mkb-bedrijven geldt de NIS2-richtlijn?

De NIS2-richtlijn geldt voor mkb-bedrijven die actief zijn in een van de aangewezen sectoren én die voldoen aan de drempelwaarden voor middelgrote ondernemingen: minimaal 50 medewerkers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro. Kleine ondernemingen vallen in principe buiten de scope, tenzij ze een kritieke rol spelen in hun sector.

In Nederland vallen naar schatting ruim 10.000 organisaties direct onder de NIS2-richtlijn. Daarbovenop krijgen naar schatting 50.000 bedrijven die aan deze groep leveren indirect met de richtlijn te maken, omdat zij moeten kunnen aantonen dat ook hun cybersecurity op orde is. Dat maakt de reikwijdte van NIS2 in de praktijk veel groter dan de formele drempelwaarden suggereren.

De richtlijn maakt onderscheid tussen twee categorieën:

  • Essentiële entiteiten: bedrijven in sectoren zoals energie, transport, drinkwater, gezondheidszorg en digitale infrastructuur. Voor hen gelden de strengste eisen en het intensiefste toezicht.
  • Belangrijke entiteiten: bedrijven in sectoren zoals voedselproductie, chemie, post en digitale dienstverleners. Zij vallen ook onder NIS2, maar het toezicht is minder intensief.

Ben je niet zeker of jouw organisatie onder de NIS2-regelgeving valt? Via de NIS2 Zelfevaluatietool op regelhulpenvoorbedrijven.nl kun je zelf bepalen of je verplichtingen hebt.

Wat zijn de concrete verplichtingen onder NIS2?

Onder de NIS2-richtlijn moeten organisaties vier hoofdcategorieën van verplichtingen nakomen: risicobeheer, meldplicht, bestuurlijke verantwoordelijkheid en registratie. De kern is dat cybersecurity structureel wordt ingebed in beleid, processen en het bestuur van de organisatie, en niet alleen technisch wordt opgelost.

De verplichtingen op het gebied van cyberrisicobeheer omvatten onder meer:

  • Beleid voor beveiliging van netwerk- en informatiesystemen
  • Toegangsbeheer en cryptografie
  • Supply chain-beveiliging: ook de beveiliging van leveranciers en partners
  • Bedrijfscontinuïteit en incidentrespons
  • Bewustzijnstrainingen voor medewerkers

De meldplicht is een van de meest concrete verplichtingen. Bij een significant cyberincident moet je binnen 24 uur een vroegtijdige waarschuwing sturen aan de bevoegde autoriteit, binnen 72 uur een aanvullende melding doen, en uiterlijk één maand na het incident een eindverslag indienen. Een incident is meldingswaardig als het de continuïteit van je dienstverlening aanzienlijk kan verstoren.

Daarnaast moeten bestuurders aantoonbaar betrokken zijn bij cybersecurity. Zij zijn verantwoordelijk voor beslissingen over beveiliging en moeten een training volgen die hen leert risico’s te herkennen, maatregelen te beoordelen en de impact voor de organisatie in te schatten.

Wat is het verschil tussen NIS1 en NIS2?

NIS2 is een aanzienlijk uitgebreidere en strengere opvolger van de originele NIS-richtlijn uit 2016. Het belangrijkste verschil is de reikwijdte: NIS1 richtte zich op een beperkte groep aanbieders van essentiële diensten, terwijl NIS2 veel meer sectoren en organisaties omvat, inclusief middelgrote bedrijven in het mkb.

De voornaamste verschillen op een rij:

  • Meer sectoren: NIS2 voegt nieuwe sectoren toe zoals voedselproductie, afvalbeheer, chemie en digitale dienstverleners die buiten NIS1 vielen.
  • Strengere eisen: NIS2 stelt expliciete minimumeisen aan risicobeheer, supply chain-beveiliging en incidentrespons die in NIS1 veel vager waren geformuleerd.
  • Bestuurlijke aansprakelijkheid: NIS2 legt de verantwoordelijkheid expliciet bij het bestuur neer. Senior management kan persoonlijk aansprakelijk worden gesteld bij ernstige overtredingen.
  • Hogere boetes: Essentiële entiteiten kunnen boetes krijgen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten loopt dit op tot 7 miljoen euro of 1,4%.
  • Harmonisatie: NIS2 zorgt voor meer uniformiteit tussen EU-lidstaten, zodat organisaties die in meerdere landen actief zijn niet langer te maken hebben met sterk uiteenlopende nationale regels.

Wat gebeurt er als een mkb-bedrijf niet voldoet aan NIS2?

Als een mkb-bedrijf niet voldoet aan de NIS2-verplichtingen, kan de toezichthouder handhavend optreden met boetes, aanwijzingen en in ernstige gevallen tijdelijke beperkingen op de bedrijfsvoering. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Naast financiële sancties zijn er nog andere gevolgen:

  • Persoonlijke aansprakelijkheid van bestuurders: Bij ernstige nalatigheid kunnen individuele bestuurders aansprakelijk worden gesteld. Dit maakt NIS2 tot een boardroomissue dat niet kan worden gedelegeerd aan de IT-afdeling.
  • Reputatieschade: Toezichthouders kunnen in bepaalde gevallen besluiten overtredingen openbaar te maken, wat directe gevolgen heeft voor het vertrouwen van klanten en partners.
  • Verlies van opdrachten: Bedrijven die leveren aan NIS2-plichtige organisaties lopen het risico uit aanbestedingen te worden geweerd als zij hun cybersecurity niet op orde hebben.

Het is belangrijk te begrijpen dat de toezichthouder niet zomaar boetes uitdeelt. De aanpak is doorgaans risico- en proportionaliteitsgebaseerd, waarbij de ernst van de overtreding en de mate van nalatigheid bepalend zijn voor de reactie.

Hoe bereidt een mkb-bedrijf zich voor op NIS2-compliance?

Een mkb-bedrijf bereidt zich voor op NIS2-compliance door eerst te bepalen of het onder de richtlijn valt, vervolgens een gap-analyse uit te voeren om te zien waar de organisatie staat, en daarna gericht maatregelen te implementeren op het gebied van beleid, techniek en bestuur. Een gefaseerde aanpak werkt het best.

Praktische stappen voor voorbereiding:

  1. Bepaal of je onder NIS2 valt: Gebruik de NIS2 Zelfevaluatietool of de flowchart van het NCSC om je status te bepalen.
  2. Voer een gap-analyse uit: Breng in kaart welke maatregelen je al hebt en waar de gaten zitten ten opzichte van de NIS2-vereisten.
  3. Stel een risicogebaseerd beveiligingsbeleid op: Documenteer je aanpak voor toegangsbeheer, incidentrespons, continuïteitsplanning en supply chain-beveiliging.
  4. Train je bestuur: Zorg dat directie en management de verplichte training volgen en aantoonbaar betrokken zijn bij cybersecurity-beslissingen.
  5. Richt een meldproces in: Zorg dat je weet hoe je een incident meldt, wie daarvoor verantwoordelijk is en binnen welke termijnen dat moet gebeuren.
  6. Registreer je bij het NCSC: Essentiële en belangrijke entiteiten kunnen zich al vrijwillig registreren via het NCSC-portaal.

Voor bedrijven die ook technisch willen weten hoe sterk hun beveiliging is, biedt een penetratietest waardevolle inzichten in kwetsbaarheden voordat een aanvaller ze ontdekt.

Wanneer moet een mkb-bedrijf compliant zijn met NIS2?

De Europese NIS2-richtlijn had in oktober 2024 geïmplementeerd moeten zijn in nationale wetgeving van alle EU-lidstaten. In Nederland loopt de implementatie via de Cyberbeveiligingswet (Cbw), die in 2026 naar verwachting in werking treedt. Zodra de Cbw van kracht is, gelden de verplichtingen direct voor alle organisaties die onder de wet vallen.

De boodschap van de Rijksoverheid is duidelijk: wacht niet af. De risico’s waar NIS2 op reageert zijn er nu al, en wie pas in actie komt als de wet van kracht is, loopt achter. Bovendien hebben organisaties na inwerkingtreding een beperkte tijd om aan alle verplichtingen te voldoen, waaronder de trainingsplicht voor bestuurders waarvoor maximaal twee jaar geldt.

In 2026 is het dus zaak om niet alleen de wet te kennen, maar ook aantoonbaar te kunnen laten zien dat je maatregelen hebt getroffen. Toezichthouders zoals de Rijksinspectie Digitale Infrastructuur (RDI) zijn al actief en de verwachting is dat handhaving snel volgt na inwerkingtreding.

Hoe Q-Cyber helpt met NIS2-compliance

Wij begeleiden mkb-bedrijven door het volledige NIS2-traject, van de eerste oriëntatie tot aantoonbare compliance. Onze aanpak combineert technische kennis met beleidsmatige expertise, zodat je niet alleen de juiste maatregelen treft maar ze ook kunt verantwoorden richting toezichthouders en klanten.

Wat wij concreet doen:

  • Gap-analyse: We brengen in kaart waar jouw organisatie staat ten opzichte van de NIS2-vereisten en welke stappen prioriteit verdienen.
  • Beleidsvorming: We schrijven op maat gemaakt beveiligingsbeleid op het gebied van toegangsbeheer, incidentrespons, continuïteit en supply chain-beveiliging.
  • Bestuurstrainingen: We verzorgen trainingen voor directie en management die voldoen aan de trainingsplicht onder de Cyberbeveiligingswet.
  • Technische testen: Via vulnerability scans en penetratietesten brengen we kwetsbaarheden in kaart voordat aanvallers dat doen.
  • Virtuele CISO: Via Continuous-Q® bieden we een team van specialisten dat structureel de cybersecurity van jouw organisatie bewaakt en verbetert.
  • Onafhankelijk advies: We zijn niet gebonden aan softwarepartijen of leveranciers, zodat ons advies altijd in jouw belang is.

Wil je weten waar jouw organisatie staat en welke stappen je als eerste moet zetten? Neem contact met ons op voor een vrijblijvend gesprek.