Artikel

NIS2-richtlijn voor mkb: geldt het voor jou en wat moet je doen?

NIS2 (Richtlijn EU 2022/2555) verplicht organisaties in aangewezen sectoren tot cybersecuritymaatregelen en incidentmelding. De directe reikwijdte begint bij middelgrote bedrijven (50+ medewerkers of >€10M omzet). Kleinere mkb-bedrijven worden indirect geraakt via de supply chain.

Kort antwoord
  • NIS2 (Richtlijn EU 2022/2555, Nederlandse implementatie: Cyberbeveiligingswet) geldt direct voor organisaties in aangewezen sectoren die voldoen aan de drempel van middelgroot bedrijf: 50 of meer medewerkers OF een jaaromzet of balanstotaal van meer dan €10 miljoen. Micro- en kleinbedrijven (onder 50 medewerkers EN onder €10M) vallen buiten de directe reikwijdte, met uitzondering van specifieke kritieke infrastructuur. Controleer de actuele sectorindeling en drempels op rijksoverheid.nl.
  • Valt u buiten de directe reikwijdte? Dan bent u waarschijnlijk toch indirect in scope: organisaties die NIS2-plichtig zijn, mogen ketenpartners (toeleveranciers, IT-dienstverleners, softwareleveranciers) verplichten om gelijkwaardige beveiligingsmaatregelen te nemen. Dit staat expliciet in artikel 21 lid 2 sub d NIS2 (beveiliging van de toeleveringsketen). Verwacht contractuele NIS2-eisen van grote klanten als u software, IT-diensten of digitale processen levert.
  • De tien minimummaatregelen van NIS2 (art. 21 NIS2) overlappen sterk met wat de AVG (art. 32 AVG) al vereist: risicoanalyse, toegangsbeheer, encryptie, incidentrespons, back-ups en leveranciersbeheer. Wie al AVG-compliant is voor informatiebeveiliging heeft een voorsprong. NIS2 voegt daar incidentmelding (24 uur eerste melding, 72 uur gedetailleerd, 30 dagen eindrapport) en actief bestuurlijk toezicht aan toe.

Voor welke bedrijven geldt NIS2?

NIS2 (Richtlijn EU 2022/2555) is van toepassing op organisaties in aangewezen sectoren die de drempel voor een middelgroot bedrijf overschrijden: 50 of meer medewerkers OF een jaaromzet of balanstotaal van meer dan €10 miljoen. Micro-ondernemingen (minder dan 10 medewerkers EN minder dan €2 miljoen) en kleine ondernemingen (minder dan 50 medewerkers EN minder dan €10 miljoen) vallen buiten de directe reikwijdte, tenzij ze specifieke kritieke infrastructuur beheren. De Nederlandse implementatiewet is de Cyberbeveiligingswet (CBW); controleer de actuele tekst en uw sectorclassificatie via rijksoverheid.nl of de NCSC (Nationaal Cyber Security Centrum). De wet onderscheidt twee categorieen entiteiten: essentieel (Bijlage I, hogere eisen en toezicht) en belangrijk (Bijlage II, vergelijkbare eisen, reactief toezicht).

Sectoroverzicht

Welke sectoren vallen onder NIS2?

De NIS2-richtlijn onderscheidt essentieel (Bijlage I) en belangrijk (Bijlage II). Controleer de volledige sectorindeling op rijksoverheid.nl.

Essentieel (Bijlage I)

Energie (elektriciteit, gas, warmte, olie, waterstof), transport (lucht, rail, water, weg), bankwezen, financiele marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur (DNS-diensten, TLD-beheerders, clouddiensten, datacenters, CDN, vertrouwensdiensten, elektronische communicatie), overheidsinstanties en ruimtevaart. Organisaties in deze sectoren hebben te maken met actief ex-ante toezicht en hogere boeteplafonds.

Belangrijk (Bijlage II)

Post- en koeriersdiensten, afvalbeheer, chemische stoffen, levensmiddelen, productie (medische apparaten, computers/elektronica, machines, motorvoertuigen, overig transportmaterieel), digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerken) en onderzoeksorganisaties. Organisaties in deze categorie vallen onder reactief toezicht: toezichthouders treden op bij incidenten of klachten.

Indirecte reikwijdte: supply chain

Levert u software, IT-diensten, cloud, SaaS, of digitale processen aan een NIS2-plichtige organisatie? Dan kan uw klant u contractueel verplichten tot gelijkwaardige maatregelen op grond van art. 21 lid 2 sub d NIS2 (beveiliging van de toeleveringsketen). Verwacht clauses over penetratietesten, ISO 27001-certificering, incidentmeldingen aan de klant en SLA's voor beschikbaarheid in uw leveranciersovereenkomsten.

Verplichtingen

Wat verplicht NIS2 concreet?

Artikel 21 NIS2 verplicht betrokken organisaties tot tien minimummaatregelen voor risicobeheer op het gebied van cyberbeveiliging. Artikel 23 NIS2 verplicht tot incidentmelding in drie fasen.

Tien minimummaatregelen (art. 21 NIS2)

1. Beleid inzake risicoanalyse en informatiesysteembeveiliging. 2. Incidentafhandeling. 3. Bedrijfscontinuiteit, back-upbeheer, noodherstel en crisismanagement. 4. Beveiliging van de toeleveringsketen. 5. Beveiliging bij verwerving, ontwikkeling en onderhoud van systemen, inclusief kwetsbaarhedenbeleid. 6. Beleid en procedures om de doeltreffendheid van maatregelen te beoordelen. 7. Basishygiene op het gebied van cyberbeveiliging en cyberbeveiligingstraining. 8. Beleid en procedures voor cryptografie en encryptie. 9. Personeelsbeveiliging, toegangsbeheer en activabeheer. 10. Multifactorauthenticatie (MFA) en beveiligde communicatie.

Incidentmelding (art. 23 NIS2)

Significante incidenten (aanval die de dienstverlening verstoort of persoonsgegevens treft) moeten worden gemeld: eerste melding ('vroegtijdige waarschuwing') binnen 24 uur na ontdekking; gedetailleerde melding binnen 72 uur (met eerste beoordeling, ernst, indicatoren voor compromittering); eindrapport met volledige analyse en getroffen herstelmaatregelen binnen 30 dagen. Meldpunt in Nederland: NCSC of de sectorspecifieke toezichthouder. Controleer actuele meldprocedures op ncsc.nl.

Bestuurdersaansprakelijkheid

NIS2 introduceert expliciete aansprakelijkheid van bestuurders: leidinggevende personen van essentieel en belangrijk entiteiten kunnen persoonlijk aansprakelijk worden gesteld als nalatigheid leidt tot een inbreuk. Bestuurders moeten cyberbeveiligingsopleidingen volgen en cybersecurity-risicobeheer actief aansturen. Dit is een breuk met de pre-NIS2-praktijk waarbij compliance vrijwel altijd op operationeel IT-niveau belegd was.

Boetes en handhaving

NIS2 onderscheidt twee boeteplafonds: essentieel en belangrijk. Alle bedragen zijn maxima; toezichthouders beoordelen proportionaliteit.

Essentieel entiteiten (Bijlage I)

Maximumboete: €10.000.000 of 2% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Toezicht: actief ex-ante (audits, inspecties, periodieke rapportage).

Belangrijke entiteiten (Bijlage II)

Maximumboete: €7.000.000 of 1,4% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Toezicht: reactief (naar aanleiding van incidenten, klachten of signalen).

Wie handhaaft in Nederland?

De toezichthouder is sectorafhankelijk: voor de meeste digitale sectoren is dit de RDI (Rijksinspectie Digitale Infrastructuur) of de NCSC in samenwerking met sectorale toezichthouders (DNB voor financieel, IGJ voor zorg, etc.). Controleer welk toezichtorgaan uw sector heeft via rijksoverheid.nl.

NIS2 en AVG: overlap en aanvulling

NIS2 en de AVG (Algemene Verordening Gegevensbescherming) overlappen sterk op het gebied van technische en organisatorische beveiligingsmaatregelen: art. 32 AVG vereist 'passende technische en organisatorische maatregelen' om persoonsgegevens te beschermen; art. 21 NIS2 vereist tien concrete minimummaatregelen voor cybersecurity. In de praktijk zijn de meeste NIS2-maatregelen ook AVG-maatregelen: encryptie, toegangsbeheer, incidentrespons, back-ups en leveranciersbeheer zijn in beide kaders verplicht. Het belangrijkste verschil: de AVG is primair gericht op bescherming van persoonsgegevens en wordt gehandhaafd door de Autoriteit Persoonsgegevens; NIS2 is breder (ook niet-persoonsgebonden systemen en continuiteit van diensten) en wordt gehandhaafd door sectorale toezichthouders. Een datalek dat ook de dienstverlening verstoort, kan dus zowel een AVG-melding (bij de AP, binnen 72 uur) als een NIS2-melding (bij de NCSC/sectortoezichthouder, binnen 24 uur vroegmelding) vereisen.

Veelgestelde vragen

Veelgestelde vragen over NIS2 en mkb

Geldt NIS2 voor een bedrijf met minder dan 50 medewerkers?
In principe niet direct. NIS2 geldt voor middelgrote ondernemingen (50 of meer medewerkers OF meer dan €10 miljoen jaaromzet of balanstotaal) in aangewezen sectoren. Micro- (onder 10 medewerkers EN onder €2M) en kleine (onder 50 medewerkers EN onder €10M) bedrijven vallen buiten de directe reikwijdte, met uitzondering van specifieke kritieke infrastructuuraanbieders (TLD-beheerders, vertrouwensdiensten, enzovoorts). Check uw situatie via rijksoverheid.nl of de NCSC.
Wat moet ik doen als mijn klant NIS2-plichtig is en ik als toeleverancier eisen krijgt?
Uw klant mag op grond van art. 21 lid 2 sub d NIS2 contractueel eisen dat u passende cybersecuritymaatregelen neemt. In de praktijk betekent dit: u kunt gevraagd worden om bewijs van ISO 27001-certificering of SOC 2-rapport, een penetratietest, incidentmeldprocedures richting uw klant, en SLA's voor beschikbaarheid en hersteltijd. Bespreek met uw klant wat ze concreet verwachten: veel organisaties zijn nog bezig met hun eigen NIS2-implementatie en weten nog niet precies wat ze van leveranciers eisen.
Wanneer moet ik een incident melden onder NIS2?
NIS2 verplicht tot melding van 'significante incidenten': aanvallen of storingen die de dienstverlening ernstig verstoren of persoonsgegevens treffen. De meldingsplanning is: eerste vroegtijdige waarschuwing binnen 24 uur na ontdekking; gedetailleerde melding binnen 72 uur (met ernst, impact en eerste oorzaakanalyse); eindrapport binnen 30 dagen. Meldpunt in Nederland: NCSC of de sectorspecifieke toezichthouder. Een ransomware-aanval die uw systemen verstoort, is een typisch meldplichtig incident.
Hoe verhouden NIS2 en de AVG zich tot elkaar?
Beide kaders vereisen technische en organisatorische beveiligingsmaatregelen, maar ze zijn complementair. De AVG (art. 32) focust op bescherming van persoonsgegevens en wordt gehandhaafd door de Autoriteit Persoonsgegevens. NIS2 (art. 21) is breder: ook continuiteit van diensten en niet-persoonsgebonden systemen. Een incident dat persoonsgegevens treft EN de dienstverlening verstoort, vereist mogelijk twee meldingen: AVG-melding bij de AP (binnen 72 uur) en NIS2-melding bij de NCSC (binnen 24 uur vroegmelding). Wie al goed AVG-compliant is op informatiebeveiliging heeft een goede basis voor NIS2.
Wat is de rol van bestuurders onder NIS2?
NIS2 introduceert expliciete bestuurdersaansprakelijkheid: leidinggevenden van essentieel en belangrijk entiteiten kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid. Bestuurders moeten cyberbeveiligingsopleidingen volgen, cybersecurityrisico's actief sturen en de tien minimummaatregelen van art. 21 NIS2 goedkeuren. Dit is een bewuste beleidswijziging ten opzichte van de eerste NIS-richtlijn, waarbij compliance vrijwel altijd op operationeel IT-niveau belegd was zonder bestuurlijke betrokkenheid.
Hoe begin ik als mkb met NIS2-compliance?
Stap 1: stel vast of u direct in scope valt (sector + grootte via rijksoverheid.nl). Stap 2: inventariseer of grote klanten u als toeleverancier indirect in scope kunnen trekken. Stap 3: voer een gap-analyse uit ten opzichte van de tien minimummaatregelen van art. 21 NIS2 (risicoanalyse, toegangsbeheer, MFA, back-ups, incidentrespons, leveranciersbeheer). Stap 4: stel een incidentresponsplan op met meldtijden. Stap 5: documenteer alles. Veel NIS2-maatregelen overlappen met AVG-vereisten: gebruik een bestaand ISO 27001-framework of het NCSC Basisnormen Beveiliging als startpunt. Vraag extern advies als uw sector direct in scope valt.

Wil je weten of NIS2 voor jouw bedrijf geldt en wat je concreet moet regelen?

Plan een gratis gesprek. We kijken samen naar uw sector, bedrijfsgrootte en huidige IT-processen, en adviseren of u direct in scope valt, hoe u uw supply chain-positie beoordeelt, en welke stappen het meeste opleveren.

Plan een gratis gesprek →

Gratis en vrijblijvend · Reactie binnen een werkdag · Vaste prijs vooraf, geen verrassingen