Gele en groene netwerkkabels netjes aangesloten in een serverkast
Gids26 juni · 19:039 min leestijd

NIS2 voor het MKB: van scope-check tot meldplicht en supply chain-eisen

De Cyberbeveiligingswet maakt cybersecurity een wettelijke plicht. Zo bepaal je of je eronder valt en welke stappen je in welke volgorde zet om op tijd te voldoen.

De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, treedt naar verwachting rond 1 juli 2026 in werking. Daarmee verandert er iets fundamenteels voor duizenden organisaties: cyberbeveiliging is geen vrijblijvende best practice meer, maar een wettelijke verplichting met toezicht, harde meldtermijnen en boetes die tot in de miljoenen lopen. En anders dan veel ondernemers aannemen, raakt het niet alleen banken en energiebedrijven. Een middelgroot productiebedrijf, een afvalverwerker, een ICT-dienstverlener of de vaste toeleverancier van een groot concern kan er net zo goed onder vallen.

Naar schatting vallen 8.000 tot 10.000 Nederlandse organisaties rechtstreeks onder de wet, en nog eens tienduizenden toeleveranciers krijgen er indirect mee te maken via de eisen die hun klanten doorgeven. Deze gids loopt stap voor stap door wat je moet doen: bepalen of NIS2 op jou van toepassing is, je risicobeheer op orde brengen, een meldproces inrichten en je keten beoordelen. Voor de ondernemer, IT-verantwoordelijke of bestuurder die niet in juridische taal wil verdwalen, maar wil weten welke acties tellen en in welke volgorde.

Eerst de scope: val je er eigenlijk onder?

De wet kent twee categorieën: essentiële entiteiten (zwaarder toezicht) en belangrijke entiteiten (lichter toezicht, maar dezelfde zorg- en meldplicht). In welke categorie je valt, hangt af van twee dingen samen: je sector en je omvang.

De omvangsdrempels volgen de Europese mkb-definitie. Je bent een belangrijke entiteit als je een middelgrote organisatie bent: minimaal 50 medewerkers, of een jaaromzet en balanstotaal van meer dan 10 miljoen euro. Je bent een essentiële entiteit als je een grote organisatie bent in een van de meest kritieke sectoren: vanaf 250 medewerkers, of een jaaromzet boven 50 miljoen euro en een balanstotaal boven 43 miljoen euro. Sommige organisaties vallen er bovendien onder ongeacht hun omvang, zoals aanbieders van telecomnetwerken, DNS-dienstverleners, vertrouwensdiensten en de overheid.

De sectoren zijn verdeeld over twee bijlagen. Tot de meest kritieke (bijlage 1) horen onder meer energie, transport, bankwezen, drinkwater en afvalwater, gezondheidszorg, digitale infrastructuur, het beheer van ICT-diensten en de overheid. Tot de overige kritieke sectoren (bijlage 2) horen post- en koeriersdiensten, afvalbeheer, de chemische en de levensmiddelenindustrie, een breed deel van de maakindustrie, digitale aanbieders en onderzoeksorganisaties.

Kom je er met deze hoofdlijnen niet uit, dan is de officiële NIS2-zelfevaluatie van de Rijksoverheid de snelste manier om je status te bepalen. Twijfel niet te lang: ook als je net onder de drempel zit, kan een grote klant de eisen contractueel aan je opleggen.

Wat je nodig hebt voordat je begint

Voor een serieus NIS2-traject heb je drie dingen nodig. Mandaat van het bestuur, want de wet legt de eindverantwoordelijkheid uitdrukkelijk bij de leiding en niet bij de IT-afdeling. Een actueel overzicht van je systemen en data: je kunt niet beschermen wat je niet in kaart hebt. En tijd: een realistisch implementatietraject duurt al gauw drie tot zes maanden, terwijl de overgangsperiode na inwerkingtreding kort is. Begin dus niet op de dag dat de wet ingaat.

Reken ook op terugkerende inzet, geen eenmalig project. NIS2 vraagt om een continu proces van risico's beoordelen, maatregelen bijstellen en incidenten kunnen melden. Dat ontwerp je het beste meteen goed, in plaats van het er later bovenop te plakken.

De stappen, in volgorde

In het kort: je brengt eerst je scope en je risico's in kaart, voert daarna de tien verplichte risicobeheermaatregelen uit de zorgplicht door, richt een meldproces in dat de termijnen van 24 uur, 72 uur en een maand haalt, beoordeelt je toeleveringsketen en verankert het geheel bij het bestuur. Vijf stappen, in deze volgorde.

Doorloop ze als een checklist:

1. Bepaal je scope en registreer je

Stel met de zelfevaluatie en je sector vast of je een essentiële of belangrijke entiteit bent, en leg dat onderbouwd vast. Valt je organisatie eronder, dan geldt een registratieplicht: je moet je aanmelden in het entiteitenregister via mijn.ncsc.nl. Met die registratie geef je formeel aan dat je onder de wet valt en koppel je je aan het juiste sectorale CSIRT en de bevoegde toezichthouder.

2. Voer de zorgplicht door: de tien maatregelen

De kern van de wet is de zorgplicht: passende en evenredige technische, operationele en organisatorische maatregelen om je netwerk- en informatiesystemen te beveiligen. De tien categorieën risicobeheermaatregelen die het NCSC voorschrijft vormen je feitelijke werklijst:

  1. Risicoanalyse en beveiligingsbeleid voor je informatiesystemen.
  2. Incidentbehandeling: detecteren, afhandelen en evalueren.
  3. Bedrijfscontinuïteit: back-upbeheer, herstelplannen en crisisbeheer.
  4. Beveiliging van de toeleveringsketen, inclusief de relatie met je leveranciers.
  5. Veilige inkoop, ontwikkeling en onderhoud van systemen, inclusief kwetsbaarhedenbeheer.
  6. Beleid om de effectiviteit van je maatregelen te meten.
  7. Cyberhygiëne en training voor medewerkers.
  8. Cryptografie en encryptie waar passend.
  9. Personeelsbeveiliging, toegangsbeleid en assetbeheer.
  10. Multifactor-authenticatie of continue authenticatie.

Veel hiervan is geen nieuwe kost. Een groot deel overlapt met de basismaatregelen die je in vijf lagen zelf kunt nalopen, van wachtwoordmanagers en MFA tot de 3-2-1-regel voor back-ups. NIS2 tilt diezelfde hygiëne alleen op van aanbeveling naar verplichting, met bewijslast.

3. Richt je meldproces in op de termijnen

Dit is waar veel organisaties op vastlopen, want het is een proceseis, geen tool. Bij een significant incident, een incident dat de continuïteit of de veiligheid van je dienstverlening ernstig raakt, geldt een getrapte meldplicht in drie stappen:

Binnen 24 uur een vroegtijdige waarschuwing, binnen 72 uur een melding met een eerste beoordeling, en binnen één maand een eindverslag, allemaal bij je CSIRT en toezichthouder. Een toezichthouder kan tussentijds een voortgangsverslag opvragen. Die 24 uur is kort: zorg dat je vooraf weet wie 's nachts en in het weekend mag melden, langs welk kanaal, en op basis van welke drempel je iets significant noemt. Een meldproces dat je voor het eerst tijdens een echte aanval bedenkt, haalt de termijn niet.

4. Beoordeel je toeleveringsketen

De ketenverantwoordelijkheid is het onderdeel dat het verst reikt. Je bent niet alleen verantwoordelijk voor je eigen beveiliging, maar ook voor de manier waarop je de risico's van leveranciers en dienstverleners beheerst. Breng in kaart welke partijen toegang hebben tot je systemen of data, beoordeel hun beveiliging en leg afspraken vast in je contracten. Dit werkt twee kanten op: ben je zelf toeleverancier van een entiteit die onder NIS2 valt, dan zullen die eisen via je klant alsnog bij jou terechtkomen, ook als je formeel buiten scope blijft.

5. Veranker het bij het bestuur

NIS2 maakt cyberrisico een bestuurszaak. Het bestuur moet de risicobeheermaatregelen goedkeuren, toezien op de uitvoering en zelf een training over cyberbeveiligingsrisico's volgen. De aansprakelijkheid is reëel: een bestuurder die nalaat de vereiste maatregelen goed te keuren, loopt het risico dat dit als onbehoorlijke taakvervulling in de zin van artikel 2:9 BW geldt. Leg besluiten, goedkeuringen en de onderbouwing daarom aantoonbaar vast.

Valkuilen

  • "Te klein om mee te tellen." De drempel ligt lager dan gedacht, en de keteneis trekt ook kleinere toeleveranciers mee. Doe de zelfevaluatie voordat je concludeert dat je buiten schot blijft.
  • NIS2 als IT-project. De wet legt de verantwoordelijkheid bij het bestuur. Wie het volledig naar de IT-afdeling delegeert, mist het governance-deel waar de aansprakelijkheid zit.
  • Het meldproces pas bedenken tijdens een incident. Onder druk haal je de 24-uurstermijn niet. Oefen de meldketen, net als een ontruiming.
  • Compliance op papier. Een map vol beleidsdocumenten zonder werkende maatregelen is schijnzekerheid. De wet vraagt aantoonbaar effect, geen verzameling sjablonen.
  • Denken dat vereenvoudiging je werk lichter maakt. Het kabinet waarschuwt dat de Brusselse poging om NIS2 te vereenvoudigen juist meer certificeringslast kan opleveren. Wacht er niet op; begin met wat nu vaststaat.

De boetes onderstrepen waarom dit geen papieren exercitie is. Voor essentiële entiteiten loopt de maximale boete op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, het hoogste van de twee; voor belangrijke entiteiten tot 7 miljoen euro of 1,4%.

Type entiteitToezichtMaximale boete
Essentieel (groot, kritieke sector)Proactief, ook zonder incident10 miljoen euro of 2% van de wereldwijde jaaromzet
Belangrijk (middelgroot)Reactief, na een signaal of incident7 miljoen euro of 1,4% van de wereldwijde jaaromzet

Kant-en-klaar vs. maatwerk

Voor de uitvoering zijn er grofweg drie wegen, die elkaar prima aanvullen.

AanpakWat het isPast bijLet op
Standaard GRC- of compliance-toolingEen platform dat de zorgplicht-maatregelen, het beleid en de auditlogs structureertOrganisaties die vooral structuur en bewijslast missenEen tool dekt het papierwerk, niet de techniek; je moet de maatregelen nog echt doorvoeren
Externe consultant of auditIemand die je scope, gap-analyse en beleid eenmalig inrichtWie snel een onderbouwd startpunt en een onafhankelijke blik wilKennis verdwijnt weer als ze vertrekken; borg dat het in je eigen proces landt
Maatwerk in je eigen systemenDetectie, logging, MFA en meldworkflows ingebouwd in de tools die je al gebruiktWie de eisen wil laten meelopen in bestaande processen, niet ernaastVraagt ontwerp- en bouwwerk vooraf, maar voorkomt een tweede los systeem dat niemand bijhoudt

De meeste organisaties combineren: een tool voor de administratie, eventueel een consultant voor de eerste gap-analyse, en maatwerk waar de eisen in je echte werk moeten landen. Het meldproces, bijvoorbeeld, is zelden af met een standaardformulier; het moet aansluiten op je eigen monitoring en je mensen. Datzelfde geldt voor continuïteit: een back-up is pas een herstelplan als je het ontwerpt, want continuïteit na een cyberaanval ontwerp je vooraf in plaats van hem achteraf te kopen.

NIS2 voelt als een last, en deels is dat ook zo. Maar de maatregelen die de wet eist, zijn grotendeels de maatregelen die je sowieso zou willen hebben: weten wat je hebt draaien, je leveranciers kennen, een incident kunnen overleven. De wet is daarmee minder een nieuwe horde dan een deadline voor iets dat al lang verstandig was. Wie de scope-check nu doet en de stappen in volgorde zet, heeft straks geen paniektraject nodig, maar een organisatie die een incident gewoon aankan. En dat laatste is, deadline of niet, de eigenlijke winst.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

NIS2 in je systemen laten landen

Ik help je de zorgplicht en het meldproces niet naast je werk te zetten maar erin: van scope-check en gap-analyse tot detectie, logging en meldworkflows ingebouwd in de tools die je al gebruikt. Ik denk mee, ontwerp en bouw het end-to-end.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Brussel daagt Nederland voor het EU-Hof om te late NIS2-omzetting
Nieuws
3 min

8 jul 14:48

Brussel daagt Nederland voor het EU-Hof om te late NIS2-omzetting

De Europese Commissie daagt Nederland, Ierland, Spanje en Frankrijk voor het EU-Hof wegens te late omzetting van de NIS2-cyberrichtlijn en vraagt om boetes. Voor Nederlandse organisaties bevestigt de zaak dat de Cyberbeveiligingswet op 15 augustus onverbiddelijk ingaat.

Eerste Kamer neemt Cyberbeveiligingswet aan: op 15 augustus van kracht
Nieuws
4 min

7 jul 16:11

Eerste Kamer neemt Cyberbeveiligingswet aan: op 15 augustus van kracht

De Eerste Kamer nam de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aan. Beide gaan op 15 augustus in, waarmee ruim 8.000 Nederlandse organisaties nog maar weken hebben om aan de nieuwe cyberplichten te voldoen.

Cyberbeveiligingswet naar de Eerste Kamer: stemming 7 juli, invoering mogelijk al op 15 augustus
Nieuws
5 min

1 jul 15:23

Cyberbeveiligingswet naar de Eerste Kamer: stemming 7 juli, invoering mogelijk al op 15 augustus

De Eerste Kamer stemt 7 juli over de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Bij een ja kan de wet al op 15 augustus ingaan voor ruim 8.000 organisaties.

AI vergroot de NIS2-kloof: Nederlandse bedrijven zien compliance juist complexer worden
Nieuws
5 min

2 jul 16:24

AI vergroot de NIS2-kloof: Nederlandse bedrijven zien compliance juist complexer worden

Vers Veeam-onderzoek onder 300 Nederlandse beslissers laat zien dat AI het naleven van NIS2 en DORA juist ingewikkelder maakt. 62 procent verwacht meer complexiteit, terwijl de Cyberbeveiligingswet dit kwartaal bestuurders persoonlijk aansprakelijk gaat maken.

Kabinet schrapt of vereenvoudigt 403 regels voor ondernemers, net geen 500
Nieuws
5 min

29 jun 12:31

Kabinet schrapt of vereenvoudigt 403 regels voor ondernemers, net geen 500

Het kabinet pakte 403 van de beoogde 500 regels aan om de administratieve last voor ondernemers te verlichten. Minister Herbert noemt het een succes, maar wat merk je er in de praktijk van?

Botverkeer overtreft mensen: CISO's investeren massaal in monitoring
Nieuws
5 min

26 jun 10:20

Botverkeer overtreft mensen: CISO's investeren massaal in monitoring

Voor het eerst zijn bots in de meerderheid op het web. De IG&H CISO Pulse toont dat tachtig procent van de securityleiders extra in monitoring investeert. Wat die verschuiving betekent voor de kosten en risico's van jouw bedrijf.