NIS2-richtlijn voor mkb: geldt het voor jou en wat moet je doen?
NIS2 (Richtlijn EU 2022/2555) verplicht organisaties in aangewezen sectoren tot cybersecuritymaatregelen en incidentmelding. De directe reikwijdte begint bij middelgrote bedrijven (50+ medewerkers of >€10M omzet). Kleinere mkb-bedrijven worden indirect geraakt via de supply chain.
- NIS2 (Richtlijn EU 2022/2555, Nederlandse implementatie: Cyberbeveiligingswet) geldt direct voor organisaties in aangewezen sectoren die voldoen aan de drempel van middelgroot bedrijf: 50 of meer medewerkers OF een jaaromzet of balanstotaal van meer dan €10 miljoen. Micro- en kleinbedrijven (onder 50 medewerkers EN onder €10M) vallen buiten de directe reikwijdte, met uitzondering van specifieke kritieke infrastructuur. Controleer de actuele sectorindeling en drempels op rijksoverheid.nl.
- Valt u buiten de directe reikwijdte? Dan bent u waarschijnlijk toch indirect in scope: organisaties die NIS2-plichtig zijn, mogen ketenpartners (toeleveranciers, IT-dienstverleners, softwareleveranciers) verplichten om gelijkwaardige beveiligingsmaatregelen te nemen. Dit staat expliciet in artikel 21 lid 2 sub d NIS2 (beveiliging van de toeleveringsketen). Verwacht contractuele NIS2-eisen van grote klanten als u software, IT-diensten of digitale processen levert.
- De tien minimummaatregelen van NIS2 (art. 21 NIS2) overlappen sterk met wat de AVG (art. 32 AVG) al vereist: risicoanalyse, toegangsbeheer, encryptie, incidentrespons, back-ups en leveranciersbeheer. Wie al AVG-compliant is voor informatiebeveiliging heeft een voorsprong. NIS2 voegt daar incidentmelding (24 uur eerste melding, 72 uur gedetailleerd, 30 dagen eindrapport) en actief bestuurlijk toezicht aan toe.
Voor welke bedrijven geldt NIS2?
NIS2 (Richtlijn EU 2022/2555) is van toepassing op organisaties in aangewezen sectoren die de drempel voor een middelgroot bedrijf overschrijden: 50 of meer medewerkers OF een jaaromzet of balanstotaal van meer dan €10 miljoen. Micro-ondernemingen (minder dan 10 medewerkers EN minder dan €2 miljoen) en kleine ondernemingen (minder dan 50 medewerkers EN minder dan €10 miljoen) vallen buiten de directe reikwijdte, tenzij ze specifieke kritieke infrastructuur beheren. De Nederlandse implementatiewet is de Cyberbeveiligingswet (CBW); controleer de actuele tekst en uw sectorclassificatie via rijksoverheid.nl of de NCSC (Nationaal Cyber Security Centrum). De wet onderscheidt twee categorieen entiteiten: essentieel (Bijlage I, hogere eisen en toezicht) en belangrijk (Bijlage II, vergelijkbare eisen, reactief toezicht).
Welke sectoren vallen onder NIS2?
De NIS2-richtlijn onderscheidt essentieel (Bijlage I) en belangrijk (Bijlage II). Controleer de volledige sectorindeling op rijksoverheid.nl.
Essentieel (Bijlage I)
Energie (elektriciteit, gas, warmte, olie, waterstof), transport (lucht, rail, water, weg), bankwezen, financiele marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur (DNS-diensten, TLD-beheerders, clouddiensten, datacenters, CDN, vertrouwensdiensten, elektronische communicatie), overheidsinstanties en ruimtevaart. Organisaties in deze sectoren hebben te maken met actief ex-ante toezicht en hogere boeteplafonds.
Belangrijk (Bijlage II)
Post- en koeriersdiensten, afvalbeheer, chemische stoffen, levensmiddelen, productie (medische apparaten, computers/elektronica, machines, motorvoertuigen, overig transportmaterieel), digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerken) en onderzoeksorganisaties. Organisaties in deze categorie vallen onder reactief toezicht: toezichthouders treden op bij incidenten of klachten.
Indirecte reikwijdte: supply chain
Levert u software, IT-diensten, cloud, SaaS, of digitale processen aan een NIS2-plichtige organisatie? Dan kan uw klant u contractueel verplichten tot gelijkwaardige maatregelen op grond van art. 21 lid 2 sub d NIS2 (beveiliging van de toeleveringsketen). Verwacht clauses over penetratietesten, ISO 27001-certificering, incidentmeldingen aan de klant en SLA's voor beschikbaarheid in uw leveranciersovereenkomsten.
Wat verplicht NIS2 concreet?
Artikel 21 NIS2 verplicht betrokken organisaties tot tien minimummaatregelen voor risicobeheer op het gebied van cyberbeveiliging. Artikel 23 NIS2 verplicht tot incidentmelding in drie fasen.
Tien minimummaatregelen (art. 21 NIS2)
1. Beleid inzake risicoanalyse en informatiesysteembeveiliging. 2. Incidentafhandeling. 3. Bedrijfscontinuiteit, back-upbeheer, noodherstel en crisismanagement. 4. Beveiliging van de toeleveringsketen. 5. Beveiliging bij verwerving, ontwikkeling en onderhoud van systemen, inclusief kwetsbaarhedenbeleid. 6. Beleid en procedures om de doeltreffendheid van maatregelen te beoordelen. 7. Basishygiene op het gebied van cyberbeveiliging en cyberbeveiligingstraining. 8. Beleid en procedures voor cryptografie en encryptie. 9. Personeelsbeveiliging, toegangsbeheer en activabeheer. 10. Multifactorauthenticatie (MFA) en beveiligde communicatie.
Incidentmelding (art. 23 NIS2)
Significante incidenten (aanval die de dienstverlening verstoort of persoonsgegevens treft) moeten worden gemeld: eerste melding ('vroegtijdige waarschuwing') binnen 24 uur na ontdekking; gedetailleerde melding binnen 72 uur (met eerste beoordeling, ernst, indicatoren voor compromittering); eindrapport met volledige analyse en getroffen herstelmaatregelen binnen 30 dagen. Meldpunt in Nederland: NCSC of de sectorspecifieke toezichthouder. Controleer actuele meldprocedures op ncsc.nl.
Bestuurdersaansprakelijkheid
NIS2 introduceert expliciete aansprakelijkheid van bestuurders: leidinggevende personen van essentieel en belangrijk entiteiten kunnen persoonlijk aansprakelijk worden gesteld als nalatigheid leidt tot een inbreuk. Bestuurders moeten cyberbeveiligingsopleidingen volgen en cybersecurity-risicobeheer actief aansturen. Dit is een breuk met de pre-NIS2-praktijk waarbij compliance vrijwel altijd op operationeel IT-niveau belegd was.
Boetes en handhaving
NIS2 onderscheidt twee boeteplafonds: essentieel en belangrijk. Alle bedragen zijn maxima; toezichthouders beoordelen proportionaliteit.
Essentieel entiteiten (Bijlage I)
Maximumboete: €10.000.000 of 2% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Toezicht: actief ex-ante (audits, inspecties, periodieke rapportage).
Belangrijke entiteiten (Bijlage II)
Maximumboete: €7.000.000 of 1,4% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Toezicht: reactief (naar aanleiding van incidenten, klachten of signalen).
Wie handhaaft in Nederland?
De toezichthouder is sectorafhankelijk: voor de meeste digitale sectoren is dit de RDI (Rijksinspectie Digitale Infrastructuur) of de NCSC in samenwerking met sectorale toezichthouders (DNB voor financieel, IGJ voor zorg, etc.). Controleer welk toezichtorgaan uw sector heeft via rijksoverheid.nl.
NIS2 en AVG: overlap en aanvulling
NIS2 en de AVG (Algemene Verordening Gegevensbescherming) overlappen sterk op het gebied van technische en organisatorische beveiligingsmaatregelen: art. 32 AVG vereist 'passende technische en organisatorische maatregelen' om persoonsgegevens te beschermen; art. 21 NIS2 vereist tien concrete minimummaatregelen voor cybersecurity. In de praktijk zijn de meeste NIS2-maatregelen ook AVG-maatregelen: encryptie, toegangsbeheer, incidentrespons, back-ups en leveranciersbeheer zijn in beide kaders verplicht. Het belangrijkste verschil: de AVG is primair gericht op bescherming van persoonsgegevens en wordt gehandhaafd door de Autoriteit Persoonsgegevens; NIS2 is breder (ook niet-persoonsgebonden systemen en continuiteit van diensten) en wordt gehandhaafd door sectorale toezichthouders. Een datalek dat ook de dienstverlening verstoort, kan dus zowel een AVG-melding (bij de AP, binnen 72 uur) als een NIS2-melding (bij de NCSC/sectortoezichthouder, binnen 24 uur vroegmelding) vereisen.
Veelgestelde vragen over NIS2 en mkb
Geldt NIS2 voor een bedrijf met minder dan 50 medewerkers?
Wat moet ik doen als mijn klant NIS2-plichtig is en ik als toeleverancier eisen krijgt?
Wanneer moet ik een incident melden onder NIS2?
Hoe verhouden NIS2 en de AVG zich tot elkaar?
Wat is de rol van bestuurders onder NIS2?
Hoe begin ik als mkb met NIS2-compliance?
Wil je weten of NIS2 voor jouw bedrijf geldt en wat je concreet moet regelen?
Plan een gratis gesprek. We kijken samen naar uw sector, bedrijfsgrootte en huidige IT-processen, en adviseren of u direct in scope valt, hoe u uw supply chain-positie beoordeelt, en welke stappen het meeste opleveren.
Plan een gratis gesprek →Gratis en vrijblijvend · Reactie binnen een werkdag · Vaste prijs vooraf, geen verrassingen