NIS2-cyberbeveiligingswet
Kennisbank

NIS2-richtlijn: wat betekent de nieuwe Cyberbeveiligingswet voor jouw bedrijf?

De NIS2-richtlijn is de nieuwe Europese cyberbeveiligingswet die ook Nederlandse MKB-bedrijven raakt. Lees wat het is, of jij eronder valt, en wat je nú moet doen.

Oscar van TechTovenaar

Oscar — TechTovenaar

De NIS2-richtlijn is de nieuwe Europese wet die bedrijven verplicht om hun digitale beveiliging serieus te nemen, op straffe van flinke boetes. Of jij er nou een klein IT-bedrijfje runt of als toeleverancier werkt voor een grote organisatie: de kans is groter dan je denkt dat NIS2 ook voor jou geldt.

Maar geen paniek. We leggen het gewoon uit.

Wat is de NIS2-richtlijn precies?

NIS2 staat voor “Network and Information Security Directive 2” en is de opvolger van de originele NIS-richtlijn uit 2016. Die eerste versie was, eerlijk gezegd, een beetje tandeloos. Te vaag, te weinig bedrijven vielen eronder, en handhaving was een wassen neus.

Dat is veranderd. De nieuwe versie, in Nederland omgezet in de Cyberbeveiligingswet, heeft meer tanden. Meer sectoren vallen eronder, eisen zijn concreter, en toezichthouders krijgen bevoegdheden om daadwerkelijk te handhaven.

De Europese deadline voor implementatie was oktober 2024. Nederland loopt iets achter op schema met de nationale wetgeving, maar dat betekent niet dat je kunt wachten. De inhoudelijke verplichtingen gelden gewoon.

Geldt NIS2 ook voor mij?

Dat is de vraag die iedereen stelt. Het antwoord hangt af van twee dingen: je sector en je bedrijfsgrootte.

NIS2 onderscheidt twee categorieën:

Essentiële entiteiten zijn grote organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg, drinkwater, bankwezen en digitale infrastructuur. Denk aan ziekenhuizen, energiebedrijven en telecomaanbieders.

Belangrijke entiteiten is de bredere categorie waar veel meer bedrijven onder vallen. Hieronder vallen onder andere:

  • Aanbieders van managed services (IT-dienstverleners, cloud, hosting)
  • Producenten van software en hardware
  • Digitale dienstverleners (zoekmachines, marktplaatsen, sociale netwerken)
  • Post- en koeriersdiensten
  • Afvalverwerking
  • Voedselproductie en -distributie
  • Chemische industrie

De drempel voor “belangrijk” is grofweg: 50 of meer medewerkers of meer dan 10 miljoen euro omzet. Ben je kleiner? Dan val je waarschijnlijk buiten de directe verplichtingen, maar let op het volgende punt.

En als toeleverancier?

Dit is het gedeelte dat veel kleine bedrijven over het hoofd zien. Als jij levert aan een organisatie die WEL onder NIS2 valt, kunnen zij eisen stellen aan jouw beveiliging. Dat staat letterlijk in de richtlijn: bedrijven moeten hun toeleveringsketen meenemen in hun risicobeleid.

Werk jij voor een gemeente, een ziekenhuis of een grote IT-organisatie? Dan kun je te maken krijgen met vragen over jouw beveiligingsmaatregelen, ook als je zelf maar met drie man werkt.

Wat moet je concreet regelen?

NIS2 schrijft geen kant-en-klaar stappenplan voor, maar legt wel een aantal basisverplichtingen op. De hoofdlijnen:

Risicoanalyse en beveiligingsbeleid Je moet in kaart brengen welke risico’s jouw organisatie loopt en aantonen dat je daar beleid op hebt. Niet eenmalig, maar structureel.

Incidentbeheer Als er iets misgaat, moet je dat snel kunnen detecteren, beheersen en melden. Bij ernstige incidenten geldt een meldplicht bij de toezichthouder (in Nederland: het NCSC of de sectorale toezichthouder) binnen 24 uur voor de eerste melding en 72 uur voor een volledige rapportage.

Bedrijfscontinuïteit Heb je een plan als je systemen uitvallen? Denk aan back-upbeheer, herstelplannen en crisisprotocollen. Geen luxe, maar basisvereiste.

Beveiliging van de toeleveringsketen Zoals hierboven al genoemd: je bent ook verantwoordelijk voor de risico’s die via leveranciers binnenkomen. Dat vraagt om bewuste keuzes in wie je inhuurt en welke toegang je ze geeft.

Toegangsbeveiliging en encryptie Multi-factor authenticatie, sterke wachtwoorden, versleuteling van gevoelige data. Dit zijn geen optionele extra’s meer.

Bewustwording en training Medewerkers die niet weten wat phishing is, zijn een beveiligingsrisico. Opleiding en bewustwording vallen ook onder de NIS2-verplichtingen.

Bestuursverantwoordelijkheid Een opvallend nieuw element: het bestuur van een organisatie is persoonlijk aansprakelijk als de beveiliging aantoonbaar tekortschiet. Directeuren kunnen dus niet meer wegkijken.

Wat zijn de boetes als je niks doet?

Fors. Voor essentiële entiteiten loopt de maximale boete op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet (wat hoger is). Voor belangrijke entiteiten is dat 7 miljoen euro of 1,4% van de omzet.

Ja, dat zijn de maxima en in de praktijk zal het niet altijd zo lopen. Maar het geeft wel aan dat dit geen papieren tijger is.

Hoe pak je dit aan als MKB?

Eerlijk? Het voelt overweldigend als je er voor het eerst naar kijkt. De verleiding is om het voor je uit te schuiven, maar dat is precies de verkeerde strategie.

Een paar praktische eerste stappen:

  1. Bepaal of je onder de wet valt (of indirect via je klanten). Gebruik de zelfscan van het Digital Trust Center als startpunt.
  2. Breng je huidige situatie in kaart. Wat heb je al geregeld? Welke gaten zijn er? Een nulmeting is de basis voor alles.
  3. Prioriteer de basics. MFA, actuele software, goede back-ups en een heldere incidentprocedure geven je al een flinke voorsprong.
  4. Documenteer alles. NIS2 draait voor een groot deel om aantoonbaarheid. Wat je niet kunt bewijzen, heb je voor de wet niet gedaan.
  5. Schakel hulp in als de technische of administratieve kant je boven het hoofd groeit.

Waar kan TechTovenaar bij helpen?

Cyberbeveiliging voelt soms als een wereld op zich, en dat snap ik. Maar veel van wat NIS2 vraagt, is gewoon degelijk IT-beheer: systemen up-to-date houden, toegang goed inrichten, back-ups die écht werken, en processen die niet afhangen van één persoon.

Bij TechTovenaar helpen we ZZP’ers en MKB-bedrijven om hun digitale fundament op orde te krijgen, inclusief de zaken die NIS2 van je vraagt. Van een praktische nulmeting tot concrete implementatie van beveiligingsmaatregelen.

Wil je weten waar jij staat en wat de volgende stap is? Doe een AVG-scan voor een vrijblijvend gesprek. Geen ingewikkeld technische praat, gewoon een eerlijk verhaal over wat wel en niet nodig is voor jouw situatie.

Meer lezen over digitale veiligheid en slimme IT voor je bedrijf? Bekijk ook de andere artikelen in de TechTovenaar kennisbank.

Terug naar alle blogposts