Ondernemer bestudeert compliance-checklist op klembord, omringd door beveiligingsmappen en laptop op modern bureau met amberkleurig bureaulampje.

NIS2-compliance: een stappenplan voor het mkb

NIS2-compliance voor het mkb betekent concreet: bepalen of je onder de richtlijn valt, een risicobeoordeling uitvoeren, technische en organisatorische maatregelen implementeren, en een meldproces inrichten voor beveiligingsincidenten. De Nederlandse implementatie via de Cyberbeveiligingswet (Cbw) legt deze verplichtingen vast voor essentiële en belangrijke entiteiten in aangewezen sectoren. Dit artikel loopt stap voor stap door alles wat het mkb moet weten om compliant te worden.

Welke mkb-bedrijven vallen onder de NIS2-richtlijn?

Een mkb-bedrijf valt onder de NIS2-richtlijn als het actief is in een van de aangewezen sectoren én voldoet aan de drempelwaarden voor middelgrote of grote ondernemingen: minimaal 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro. Sectoren die onder de richtlijn vallen, zijn onder andere energie, transport, drinkwater, digitale infrastructuur, gezondheidszorg, financiële dienstverlening en bepaalde digitale aanbieders.

Belangrijk om te weten: ook kleinere bedrijven kunnen onder de NIS2 vallen als zij kritieke diensten leveren of als hun uitval een aanzienlijk maatschappelijk risico vormt. Bovendien geldt de richtlijn indirect voor veel meer organisaties. In Nederland vallen naar schatting ruim 10.000 organisaties direct onder de NIS2, en naar schatting krijgen 50.000 bedrijven die aan deze groep leveren eveneens met de eisen te maken wanneer er sprake is van toeleveringsrisico’s.

Ben je niet zeker of jouw organisatie onder de wet valt? Via de NIS2-zelfevaluatietool op regelhulpenvoorbedrijven.nl kun je dit zelf nagaan. Het NCSC biedt daarnaast een flowchart aan die de registratieplicht verduidelijkt. Organisaties zijn zelf verantwoordelijk voor deze beoordeling.

Wat zijn de concrete verplichtingen onder NIS2?

Onder de NIS2-richtlijn hebben organisaties vier hoofdverplichtingen: een zorgplicht voor technische en organisatorische maatregelen, een registratieplicht bij het NCSC, een meldplicht voor significante incidenten, en een trainingsplicht voor bestuurders. Samen vormen deze verplichtingen het fundament van NIS2-compliance voor het mkb.

Zorgplicht: wat moet je technisch en organisatorisch regelen?

De zorgplicht verplicht organisaties passende maatregelen te nemen om de continuïteit van dienstverlening te waarborgen en informatie te beschermen. De Cyberbeveiligingswet noemt een aantal concrete minimummaatregelen:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen
  • Maatregelen voor bedrijfscontinuïteit en crisisbeheer
  • Beveiliging van de toeleveringsketen (supply chain security)
  • Beleid en procedures voor cryptografie en encryptie
  • Beveiligingsmaatregelen voor personeel en toegangsbeheer
  • Gebruik van multi-factorauthenticatie of continue authenticatie

Registratieplicht en bestuurlijke verantwoordelijkheid

Organisaties die onder de Cbw vallen, moeten zich registreren via het NCSC-portaal. Na registratie ontvangen zij informatie over actuele cyberdreigingen. Daarnaast legt de NIS2-richtlijn de verantwoordelijkheid voor cyberweerbaarheid expliciet bij het bestuur. Bestuurders moeten voldoende kennis hebben om weloverwogen beslissingen te nemen over informatiebeveiliging, en zijn verplicht een training te volgen. Vanaf de inwerkingtreding van de Cbw hebben zij maximaal twee jaar om aan die trainingsplicht te voldoen.

Hoe begin je met een NIS2-gap-analyse?

Een NIS2-gap-analyse begint met het in kaart brengen van je huidige beveiligingsniveau en het vergelijken daarvan met de minimumvereisten uit de Cyberbeveiligingswet. Het doel is helder te krijgen welke maatregelen al aanwezig zijn, welke ontbreken, en waar de grootste risico’s liggen. Dit vormt de basis voor een realistisch en prioritair actieplan.

Praktisch gezien doorloop je de volgende stappen:

  1. Inventariseer je kritieke systemen en processen: Welke systemen zijn essentieel voor je dienstverlening? Wat zijn de gevolgen als deze uitvallen?
  2. Toets je huidige maatregelen aan de NIS2-minimumvereisten: Gebruik de mapping van het ministerie van BZK, die aangeeft welke maatregelen verplicht, optioneel of situationeel zijn in relatie tot NEN-EN-ISO/IEC 27002.
  3. Identificeer de gaps: Noteer concreet welke maatregelen ontbreken of onvoldoende zijn uitgewerkt.
  4. Prioriteer op risico: Niet alle gaps zijn even urgent. Begin bij de maatregelen die de grootste risico’s afdekken.

Een goede gap-analyse is geen eenmalige exercitie. Cyberdreigingen veranderen voortdurend, en je beveiligingsniveau moet meegroeien. Overweeg daarom om de analyse periodiek te herhalen of te laten ondersteunen door een externe specialist.

Welke maatregelen moet het mkb als eerste implementeren?

Het mkb doet er verstandig aan om eerst de maatregelen te implementeren die de meeste risico’s afdekken met de minste complexiteit: multi-factorauthenticatie, een actueel patchbeleid, toegangsbeheer op basis van het least-privilege-principe, en een gedocumenteerd incidentresponsproces. Deze vier maatregelen vormen een solide fundament voor verdere NIS2-compliance.

Daarna richt je je op de bredere organisatorische maatregelen die de NIS2 vereist:

  • Risicobeleid: Stel een formeel beleid op voor risicoanalyse en informatiebeveiliging. Dit hoeft niet complex te zijn, maar moet wel aantoonbaar zijn.
  • Bedrijfscontinuïteitsplan: Beschrijf hoe je organisatie omgaat met uitval van kritieke systemen, inclusief back-upprocessen en herstelstappen.
  • Supply chain security: Breng in kaart welke leveranciers toegang hebben tot je systemen of data, en stel eisen aan hun beveiligingsniveau.
  • Bewustwording en training: Zorg dat medewerkers weten hoe ze phishing herkennen en wat ze moeten doen bij een beveiligingsincident. Een phishingtest kan helpen om het bewustzijnsniveau te meten.

De volgorde van implementatie hangt af van de uitkomsten van je gap-analyse. Begin altijd bij de maatregelen die de grootste kwetsbaarheden dichten.

Hoe werkt de meldplicht bij een beveiligingsincident?

Bij een significant beveiligingsincident ben je als mkb-bedrijf verplicht dit te melden via het NCSC-portaal. De meldplicht bestaat uit drie stappen: een vroegtijdige waarschuwing binnen 24 uur na ontdekking, een vervolgmelding met aanvullende informatie binnen 72 uur, en een eindverslag uiterlijk één maand na de eerste melding. Het portaal stuurt de melding automatisch door naar zowel het relevante CSIRT als de toezichthouder, zodat je niet dubbel hoeft te melden.

Een incident is meldingswaardig als het de continuïteit van je dienstverlening aanzienlijk kan verstoren. Factoren die daarbij een rol spelen, zijn het aantal getroffen personen, de duur van de verstoring en de mogelijke financiële schade. De precieze drempelcriteria worden per sector uitgewerkt in ministeriële regelingen.

Praktisch advies: wacht niet tot een incident zich voordoet om je meldproces in te richten. Stel vooraf vast wie in jouw organisatie verantwoordelijk is voor het doen van een melding, welke informatie daarvoor nodig is, en hoe je intern communiceert tijdens een incident. Een vooraf getest incidentresponsplan bespaart kostbare tijd op het moment dat het er echt toe doet.

Wat zijn de gevolgen als het mkb niet voldoet aan NIS2?

Als het mkb niet voldoet aan de NIS2-verplichtingen, riskeer je aanzienlijke financiële boetes en reputatieschade. Essentiële entiteiten kunnen boetes krijgen tot maximaal 10 miljoen euro of 2% van hun wereldwijde jaaromzet. Voor belangrijke entiteiten gelden lagere maxima: tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet. Bovendien kan het senior management persoonlijk aansprakelijk worden gesteld bij ernstige overtredingen.

Naast de directe financiële gevolgen zijn er ook indirecte risico’s. Klanten en partners, zeker grotere organisaties die zelf NIS2-compliant moeten zijn, zullen steeds vaker eisen stellen aan de beveiliging van hun leveranciers. Wie niet aan die eisen voldoet, loopt het risico contracten te verliezen of uitgesloten te worden van aanbestedingen.

Het toezicht op de naleving ligt bij onafhankelijke toezichthouders. Voor de meeste sectoren is dat de Rijksinspectie Digitale Infrastructuur (RDI). De Rijksoverheid adviseert organisaties nadrukkelijk om niet af te wachten totdat de wet volledig in werking treedt: de risico’s zijn er nu al, en vroegtijdig handelen verkleint zowel de kans op incidenten als de kans op handhaving.

Hoe Q-Cyber helpt met NIS2-compliance

NIS2-compliance is voor veel mkb-bedrijven een complex traject dat zowel technische kennis als beleidsmatige expertise vereist. Wij begeleiden organisaties door dit traject op een pragmatische en onafhankelijke manier, zonder binding aan softwarepartijen of andere toeleveranciers. Concreet bieden wij het volgende:

  • Gap-analyse: We brengen je huidige beveiligingsniveau in kaart en vergelijken dit met de NIS2-minimumvereisten, zodat je precies weet waar actie nodig is.
  • Beleidsschrijving: We stellen op maat gemaakte beleidsdocumenten op die aansluiten bij jouw organisatie en voldoen aan de eisen van de Cyberbeveiligingswet.
  • Bestuurstrainingen: We verzorgen trainingen voor bestuurders waarmee zij voldoen aan de wettelijke trainingsplicht en beter in staat zijn om weloverwogen beslissingen te nemen over cyberrisico’s.
  • Technische tests: Via vulnerability scans en phishingtests meten we de technische weerbaarheid van je organisatie en identificeren we concrete kwetsbaarheden.
  • Doorlopend advies: Via onze virtuele CISO-dienst zorgen we voor structurele inbedding van cybersecurity in je organisatie, ook na de initiële implementatie.

NIS2-compliance is geen eenmalig project maar een doorlopend proces. Wil je weten waar jouw organisatie nu staat en wat de eerste stap is? Neem contact met ons op voor een vrijblijvend gesprek.