Agnes onderzoekt met een vergrootglas een NIS2-document op een bureau in een klein kantoor

NIS2-audit voor het MKB: zo bereid je je voor op de Cyberbeveiligingswet

NIS2, Compliance, MKB

Je hebt net gelezen dat de Cyberbeveiligingswet er medio 2026 aankomt. De Nederlandse vertaling van NIS2. En nu vraag je je af: hoe weet ik eigenlijk of mijn bedrijf klaar is?

Daar heb je een audit voor nodig. Niet de soort waar een accountant drie weken door je boekhouding spit, maar een gestructureerde check van je cybersecuritymaatregelen. In dit artikel lees je wat een NIS2-audit precies inhoudt, hoe je er als mkb mee begint, en welke vragen je jezelf moet stellen voordat een toezichthouder dat doet.

Wat is een NIS2-audit?

Een NIS2-audit is een beoordeling van hoe goed je organisatie voldoet aan de eisen uit de NIS2-richtlijn. Je loopt je beveiligingsmaatregelen, processen en documentatie door en controleert of ze op orde zijn.

Er zijn twee smaken. Een interne audit doe je zelf, aan de hand van een checklist en je eigen kennis van de organisatie. Een externe audit laat je uitvoeren door een onafhankelijke partij, die met frisse ogen naar je processen kijkt.

Voor de meeste mkb-bedrijven is het slim om te beginnen met een zelfbeoordeling. Daarmee breng je de grootste gaten snel in kaart. Is er meer nodig, dan weet je precies waar je externe hulp moet zoeken.

Een NIS2-audit is geen eenmalige actie. De Cyberbeveiligingswet verwacht dat je continu kunt aantonen dat je cybersecurity op orde is. Een jaarlijkse check is het minimum.

Val je onder de Cyberbeveiligingswet?

Voordat je een audit start, wil je weten of NIS2 op jouw bedrijf van toepassing is. De richtlijn richt zich op organisaties in bepaalde sectoren met meer dan 50 medewerkers of een jaaromzet boven 10 miljoen euro.

De sectoren in het kort: energie, transport, zorg, digitale infrastructuur, ICT-dienstverlening, water, post, chemie, voedsel, productie, overheid en onderzoek. Een volledige uitleg vind je in ons artikel Wat is NIS2?.

Maar ook als je onder de drempel zit, kun je indirect geraakt worden. Klanten die wel onder NIS2 vallen, stellen steeds vaker cybersecurityeisen aan hun leveranciers. Als je IT-diensten levert aan een ziekenhuis of een energiebedrijf, kan dat contract straks eisen bevatten die je nu nog niet hebt ingevuld.

Wat wordt er getoetst bij een NIS2-audit?

Een NIS2-audit draait niet alleen om techniek. De toezichthouder wil zien dat je als organisatie bewust met cybersecurity omgaat en dat je keuzes kunt uitleggen.

De audit dekt doorgaans deze gebieden:

Risicobeheer. Heb je een actuele risicoanalyse? Weet je welke systemen en data kritiek zijn voor je bedrijfsvoering? En heb je maatregelen genomen op basis van die risico's, niet op basis van onderbuikgevoel?

Leveranciersbeheer. Ken je al je leveranciers die toegang hebben tot je systemen of data? Heb je afspraken over beveiliging vastgelegd in contracten? Heb je een proces om leveranciers periodiek te beoordelen? Meer hierover lees je in leveranciersbeheer onder NIS2.

Incidentrespons. Heb je een draaiboek voor cyberincidenten? Weet je team wie er belt als er iets misgaat? Kun je binnen 24 uur een eerste melding doen bij de toezichthouder?

Toegangsbeheer en technische maatregelen. Wie heeft toegang tot welke systemen? Gebruik je multifactorauthenticatie? Zijn je systemen up-to-date met patches?

Training en bewustzijn. Weten je medewerkers wat phishing is? Wat ze moeten doen als ze een verdachte e-mail ontvangen? Kun je aantonen dat je hier structureel aandacht aan besteedt?

Documentatie. Misschien wel het meest onderschatte onderdeel. Alles wat je doet aan cybersecurity moet vastliggen. Niet omdat papier het doel is, maar omdat je anders bij een controle niets kunt laten zien.

NIS2-zelfbeoordelingschecklist voor het MKB

Voordat je een externe partij inschakelt, kun je met onderstaande checklist zelf een eerste beoordeling doen. Loop elk punt langs en noteer de status: op orde, gedeeltelijk op orde, of nog te doen.

1. Risicoanalyse uitgevoerd en gedocumenteerd

Heb je je kritieke systemen en datastromen in kaart gebracht? Weet je welke dreigingen het meest realistisch zijn voor jouw type organisatie? En heb je op basis daarvan maatregelen genomen?

Als je hier nog niets hebt: begin met een inventarisatie van je systemen, de data die erin zit, en wat er gebeurt als ze uitvallen. Dat is geen maandenlang project. Voor een mkb met 20-50 medewerkers kun je dit in een paar dagen doen.

2. Leveranciers geïnventariseerd en beoordeeld

Heb je een lijst van alle externe partijen die toegang hebben tot je IT-omgeving of data verwerken? Heb je per leverancier vastgelegd welk risiconiveau ze vertegenwoordigen? Staan er beveiligingsafspraken in de contracten?

De meeste mkb's ontdekken bij dit punt dat ze meer leveranciers hebben dan ze dachten. Elke SaaS-tool, elke cloudservice, elke IT-partner telt mee.

3. Incidentresponsproces beschreven en getest

Staat er een draaiboek op papier? Weten minimaal twee mensen in de organisatie wat ze moeten doen bij een cyberincident? Heb je het ooit getest, al is het maar een tabletop-oefening?

Een draaiboek dat je nog nooit hebt doorgenomen is niet veel meer dan een intentieverklaring. Plan minimaal een keer per jaar een simulatie.

4. Medewerkers getraind in cybersecuritybewustzijn

Kunnen je medewerkers een phishingmail herkennen? Weten ze hoe ze een verdacht incident melden? Is er een onboardingprocedure voor nieuwe collega's die cybersecurity omvat?

Dit hoeft geen uitgebreid trainingsprogramma te zijn. Een kwartaalupdate met actuele dreigingen en duidelijke richtlijnen voor wachtwoorden en thuiswerken is een goed begin.

5. Alles gedocumenteerd en vindbaar

Staan je beleidsdocumenten, registers en logboeken op een centrale plek? Kun je binnen een uur de risicoanalyse, leverancierslijst en het incidentresponsplan vinden en tonen aan een toezichthouder?

Als het antwoord "het staat ergens in een gedeelde map" is, dan is dat een actie-punt. Documentatie die je niet kunt vinden, bestaat niet voor een auditor.

Veelgestelde vragen over de NIS2-audit

Wanneer moet ik een NIS2-audit doen?

De Cyberbeveiligingswet wordt verwacht medio 2026. Wacht niet tot die datum. Een audit kost tijd, en de maatregelen die eruit voortkomen kosten nog meer tijd. Begin nu met een zelfbeoordeling, zodat je weet waar je staat en kunt prioriteren.

Wie voert de NIS2-audit uit?

Dat mag je zelf doen. Een interne audit is een prima startpunt. Voor een grondigere beoordeling kun je een externe cybersecurityconsultant of auditor inschakelen. De Cyberbeveiligingswet schrijft (voor de meeste mkb's) geen verplichte externe audit voor, maar je moet wel kunnen aantonen dat je je cybersecurity serieus neemt.

Wat kost een NIS2-audit voor een mkb?

Dat hangt af van de omvang. Een zelfbeoordeling kost je een paar dagen werk. Een externe audit voor een mkb met 50-100 medewerkers kost doorgaans tussen de 5.000 en 15.000 euro, afhankelijk van de scope en de auditor. Begin intern. Zo weet je precies waar je externe hulp nodig hebt en voorkom je dat je betaalt voor zaken die je zelf kunt oppakken.

Wat zijn de consequenties als ik niks doe?

De Cyberbeveiligingswet voorziet in sancties. De exacte bedragen worden nog vastgesteld, maar kijk naar de NIS2-richtlijn zelf: voor belangrijke entiteiten kunnen boetes oplopen tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet. Maar los van boetes: een klant die je een cybersecurityvragenlijst stuurt en geen goed antwoord krijgt, is een klant die je kunt verliezen.

Hoe vaak moet ik een NIS2-audit herhalen?

Minimaal jaarlijks. Daarnaast bij elke grote verandering: nieuwe systemen, nieuwe leveranciers, een incident, of een reorganisatie. De toezichthouder verwacht dat je continu grip hebt op je cybersecurity, niet dat je een keer per drie jaar een check doet.

Stappenplan: van zelfbeoordeling naar audit-readiness

Stap 1: Doe de zelfbeoordeling. Loop de vijf punten uit de checklist hierboven door. Noteer per punt wat op orde is en wat niet.

Stap 2: Prioriteer de gaten. Niet alles hoeft tegelijk. Focus op de punten met het hoogste risico. Geen risicoanalyse? Begin daar. Geen incidentresponsplan? Dat is nummer twee.

Stap 3: Pak de documentatie aan. Zet je beleidsdocumenten, registers en draaiboeken op een centrale plek. Zorg dat ze actueel zijn en dat de juiste mensen erbij kunnen.

Stap 4: Plan een interne review. Laat iemand die niet dagelijks met de systemen werkt je documentatie en processen doorlopen. Frisse ogen vinden gaten die je zelf niet meer ziet.

Stap 5: Overweeg externe hulp. Als je zelfbeoordeling grote gaten toont, of als je in een sector zit met hoge risico's (zorg, ICT-dienstverlening, energie), kan een externe audit de investering waard zijn.

Stap 6: Herhaal. Zet de volgende beoordeling in je agenda. Cybersecurity is geen project met een einddatum.

Begin met overzicht

De NIS2-audit begint bij weten waar je staat. ComplianceHive helpt mkb-bedrijven om leveranciers, softwareinventaris en beveiligingsdocumentatie op een plek te beheren. Geen losse spreadsheets, geen documenten die verdwijnen in gedeelde mappen. Een helder overzicht dat je kunt tonen als het erop aankomt.

Probeer ComplianceHive 30 dagen gratis en begin vandaag met je NIS2-auditvoorbereiding.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis