Een cartoonachtige afbeelding van Agnes die met een checklist in de hand staat voor een klein kantoorgebouw met een NIS2-schild erboven.

NIS2 voor het MKB: waar begin je als je niks geregeld hebt?

NIS2

Je hebt het voorbij zien komen op een branche-event, in een e-mail van een klant, of in een LinkedIn-post van iemand die je al maanden negeert. NIS2. Weer een afkorting, weer een Europese wet. En ergens zit dat knagend gevoel: moet ik hier iets mee?

Waarschijnlijk wel. Maar je hoeft niet alles tegelijk te doen. Hieronder lees je hoe je bepaalt of NIS2 voor jou geldt, en waar je begint zonder dat je vastloopt.

Val jij onder NIS2? (Snelle zelfcheck)

Voordat je in actie schiet, wil je weten of NIS2 daadwerkelijk op jouw organisatie van toepassing is. De richtlijn onderscheidt twee groepen: essentiële entiteiten en belangrijke entiteiten. Beide hebben verplichtingen, maar de handhaving verschilt.

De NIS2-sectorenlijst in gewoon Nederlands:

  • Energie (elektriciteit, gas, olie, warmte)
  • Transport (luchtvaart, spoor, water, weg)
  • Bankwezen en financiële marktinfrastructuur
  • Gezondheidszorg (ziekenhuizen, labs, farmaceuten)
  • Drinkwater en afvalwater
  • Digitale infrastructuur (datacenters, DNS, cloud, telecom)
  • ICT-dienstverlening (MSP's, MSSP's)
  • Overheid
  • Ruimtevaart
  • Post- en koeriersdiensten
  • Afvalbeheer
  • Chemie en productie (voedsel, machines, elektronica, medische apparatuur)
  • Onderzoek

De drempelwaarden zijn in de meeste gevallen: 50+ medewerkers of een jaaromzet boven 10 miljoen euro. Maar let op: als je toeleverancier bent van een organisatie die onder NIS2 valt, kun je indirect ook geraakt worden. Jouw klant kan contractueel eisen dat jij je zaakjes op orde hebt.

Het verschil tussen essentieel en belangrijk? Essentiële entiteiten (denk aan energie, zorg, digitale infrastructuur) worden proactief gecontroleerd. Belangrijke entiteiten worden vooral achteraf gecontroleerd, bij incidenten of klachten. De eisen zelf zijn grotendeels hetzelfde.

Twijfel je of je in scope valt? Lees dan eerst wat NIS2 precies is en wat het voor jouw bedrijf betekent.

Wat NIS2 in de praktijk van je vraagt

NIS2 gaat niet alleen over techniek. De wet verwacht dat je als organisatie kunt aantonen dat je cybersecurity serieus neemt. Concreet:

  • Risicobeheer: je kent je risico's en hebt maatregelen genomen
  • Leveranciersbeheer: je weet welke externe partijen toegang hebben tot je systemen en data
  • Incidentrespons: je hebt een proces voor als het misgaat
  • Training: je medewerkers weten wat ze moeten doen
  • Documentatie: je kunt alles aantonen met bewijs, niet alleen met woorden

Voor een mkb zonder security-team klinkt dat als heel veel. Klopt, het is ook niet niks. NIS2 implementatie voor mkb hoeft niet in één keer: je hoeft niet morgen een compleet managementsysteem neer te zetten. Je moet wel kunnen laten zien dat je ermee bezig bent en de juiste richting op beweegt.

Stap 1: Breng je risico's in kaart

De risicoanalyse is waar je begint. Zonder dat weet je niet waar je kwetsbaar bent, en kun je ook niet uitleggen waarom je bepaalde maatregelen wel of niet hebt genomen.

Wat je moet doen:

  • Inventariseer je kritieke systemen en processen. Welke systemen zijn onmisbaar voor je bedrijfsvoering? Welke data is gevoelig?
  • Benoem dreigingen. Denk aan ransomware, phishing, ongeautoriseerde toegang, uitval van een cloudleverancier.
  • Bepaal de impact. Wat gebeurt er als een systeem 24 uur plat ligt? Of als klantdata op straat komt te liggen?
  • Categoriseer je risico's. Werk met risicocategorieën (hoog, midden, laag) zodat je kunt prioriteren.

Je hebt hier geen ingewikkelde methodologie voor nodig. Een gestructureerde inventarisatie op basis van je systemen, leveranciers en datastromen is genoeg om mee te beginnen. Leg het vast. Dat bewijs heb je later nodig.

Stap 2: Zet leveranciersbeheer op

Dit is het onderdeel dat veel mkb's onderschatten. NIS2 legt de verantwoordelijkheid bij jou om je leveranciersketen te beheren. Je moet weten welke externe partijen toegang hebben tot je systemen, welke data ze verwerken, en welke risico's ze meebrengen.

Begin concreet:

  1. Maak een lijst van al je leveranciers. Softwareleveranciers, hosting, IT-beheer, cloudtools, externe verwerkers.
  2. Classificeer ze op risico. Heeft de leverancier toegang tot kritieke systemen of persoonsgegevens? Dan is het een hoog-risico leverancier.
  3. Controleer contracten. Staan er beveiligingseisen in? Is er een verwerkersovereenkomst? Zijn incidentmeldingsafspraken vastgelegd?
  4. Leg alles vast. Niet in een spreadsheet die je over drie maanden niet meer terugvindt, maar in een centraal systeem.

Wil je weten welke eisen je aan leveranciers kunt stellen? Lees dan welke eisen leveranciers moeten voldoen.

ComplianceHive brengt je leveranciers, softwareinventaris en verwerkingsregister samen in een overzicht. Zo zie je direct welke leveranciers aandacht nodig hebben. Bekijk de mogelijkheden.

Stap 3: Stel een incidentresponsproces in

Als er een cyberincident plaatsvindt, is het te laat om na te denken over wie wat doet. NIS2 verwacht dat je een incidentresponsproces hebt en ernstige incidenten binnen 24 uur meldt bij de toezichthouder.

Voor een mkb hoeft dit geen document van 50 pagina's te zijn. Het gaat om de basis:

  • Wijs iemand aan die bij een incident de leiding neemt. In een mkb is dat vaak de directeur of de IT-verantwoordelijke.
  • Schrijf de stappen uit in een kort draaiboek: detecteren, beoordelen, indammen, herstellen, melden.
  • Weet wanneer je extern meldt. NIS2 schrijft voor dat je bij ernstige incidenten binnen 24 uur een eerste melding doet, gevolgd door een volledig rapport binnen 72 uur.
  • Regel interne communicatie. Wie informeer je? Hoe bereik je medewerkers buiten kantooruren?

Oefen dit proces minimaal een keer per jaar. Een incidentresponsplan dat in een la ligt, telt niet.

Stap 4: Train je medewerkers

De meeste cyberincidenten beginnen bij een mens. Een verkeerde klik, een hergebruikt wachtwoord, een USB-stick van onbekende herkomst. NIS2 verwacht dat je medewerkers traint in cybersecurity-bewustzijn.

Dat hoeft geen driedaagse cursus te zijn. Wat voor mkb's goed werkt:

  • Een kwartaalupdate met de belangrijkste dreigingen en tips
  • Phishing-simulaties om alertheid te testen
  • Duidelijke richtlijnen voor wachtwoordgebruik, thuiswerken en het melden van verdachte situaties
  • Een onboarding-module voor nieuwe medewerkers

Perfectie is niet het doel. Wel dat je kunt laten zien dat je er structureel aandacht aan besteedt.

Stap 5: Documenteer alles

Hier gaat het bij veel organisaties mis. Bij NIS2 draait alles om aantoonbaarheid. Je kunt het beste beveiligingsbeleid ter wereld hebben, maar als je het niet kunt laten zien, bestaat het niet voor een toezichthouder.

Wat "gedocumenteerd" betekent in NIS2-context:

  • Beleidsdocumenten die beschrijven wat je doet en waarom
  • Registers van je verwerkingen, leveranciers en systemen
  • Logboeken van genomen maatregelen, beoordelingen en incidenten
  • Bewijs van training: wie is wanneer getraind, waarop?
  • Versiegeschiedenis, zodat je kunt laten zien dat documenten actueel zijn

Het verwerkingsregister dat je misschien al hebt voor de AVG is een goed startpunt. Maar NIS2 vraagt breder: ook je softwareinventaris, leveranciersbeoordelingen en beveiligingsmaatregelen moeten vastliggen.

Wat is een realistisch tijdpad?

De Nederlandse implementatie van NIS2, de Cyberbeveiligingswet, wordt verwacht medio 2026. Dat klinkt ver weg, maar implementatie kost tijd. Zeker als je van nul begint.

Een realistisch schema voor een mkb:

| Periode | Actie | |---|---| | Maand 1-2 | Risicoanalyse uitvoeren, leveranciers inventariseren | | Maand 2-3 | Leveranciersbeoordelingen afmaken, contracten reviewen | | Maand 3-4 | Incidentresponsproces opstellen en testen | | Maand 4-5 | Medewerkerstraining opzetten en uitvoeren | | Maand 5-6 | Documentatie completeren, eerste interne audit doen |

Wie is verantwoordelijk? In een mkb zonder CISO moet je een duidelijke eigenaar aanwijzen. Dat kan de directeur zijn, een IT-manager, of een externe adviseur. Maar iemand moet het trekken, anders gebeurt het niet.

De urgentie is reëel. Begin je nu, dan heb je nog voldoende tijd om je goed voor te bereiden. Wacht je tot de wet in werking treedt, dan loop je het risico dat de toezichthouder sneller aanklopt dan verwacht.

Begin vandaag

Je hoeft niet morgen volledig NIS2-compliant te zijn. Maar je moet wel ergens beginnen. De meest concrete eerste actie: maak een overzicht van je leveranciers en systemen. Doe een risicoanalyse. Leg het vast.

In ComplianceHive zet je de eerste stappen gestructureerd: leveranciersbeheer, softwareinventaris en AVG-documentatie op een plek. Geen losse spreadsheets, geen rondslingerende documenten. Een helder startpunt.

Probeer ComplianceHive 30 dagen gratis en begin vandaag met je NIS2-voorbereiding.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis