NIS2based
Terug naar kennisbank
24 april 20265 min lezenBasis

NIS2 uitgelegd voor MKB: wat moet je weten in 10 minuten

Een heldere, niet-juridische uitleg van NIS2 voor het Nederlandse MKB. Wat is NIS2, waarom is er zoveel om te doen, en wat moet je als bedrijf concreet regelen?

NIS2. Cyberbeveiligingswet. Cybersecurity-richtlijn. Je hoort het overal, maar wat is het nu eigenlijk — en moet je er als MKB-bedrijf écht iets mee?

In dit artikel leggen we NIS2 uit in normale taal: geen juridisch jargon, geen vaagheid. Aan het eind weet je precies wat NIS2 is, waarom het belangrijk is, en wat je morgen kunt doen.

Wat is NIS2 in één zin?

NIS2 is een Europese wet die bedrijven in kritieke sectoren verplicht hun cybersecurity op orde te hebben — en die directies persoonlijk aansprakelijk stelt als het misgaat.

Belangrijk: NIS2 zelf is een Europese richtlijn. In Nederland wordt die geïmplementeerd via de Cyberbeveiligingswet (Cbw), die per 1 juli 2026 in werking treedt.

Snel weten of jij erbij hoort? Doe de gratis NIS2-check — in 2 minuten heb je antwoord.

Waarom is er een NIS2?

De voorganger (NIS1, uit 2016) bleek te beperkt. Drie problemen:

  1. Te weinig sectoren — alleen energie, transport, water, banken, gezondheidszorg en digitale infrastructuur
  2. Te weinig bedrijven — alleen "essentiële operators" werden aangewezen, ongeveer 100 in Nederland
  3. Te weinig handhaving — boetes waren laag, toezicht zwak

Ondertussen explodeerde het aantal cyberaanvallen op Europese bedrijven. Ransomware legde ziekenhuizen, gemeentes en logistieke bedrijven plat. De EU greep in met NIS2 — veel breder, veel strenger, veel duidelijker.

Voor wie geldt NIS2?

NIS2 geldt voor bedrijven die:

  1. Actief zijn in een gereguleerde sector (Annex I of Annex II — zie ons artikel "Val ik onder NIS2?")
  2. Middelgroot of groot zijn (≥50 medewerkers óf ≥€10 miljoen omzet)

Dat betekent in Nederland: van ongeveer 100 bedrijven onder NIS1 naar naar schatting 8.000–10.000 bedrijven onder NIS2. Een gigantische uitbreiding.

Ook de overheid valt eronder. Gemeenten, provincies, waterschappen — allemaal.

Wat moet je doen als je onder NIS2 valt?

Dit is de kern. NIS2 verplicht je tot vier dingen:

1. Een cybersecurity-managementsysteem opzetten

Concreet: je moet kunnen aantonen dat je 10 specifieke maatregelen hebt getroffen:

  1. Risicobeheer-beleid
  2. Incidentafhandeling
  3. Bedrijfscontinuïteit en backup
  4. Beveiliging van de toeleveringsketen (supply chain)
  5. Beveiliging van netwerken en systemen
  6. Cryptografie-beleid
  7. Toegangsbeveiliging en personeelsbeleid
  8. Multi-factor authenticatie
  9. Beveiligde communicatie
  10. Activabeheer (welke systemen heb je en wat doen ze?)

2. Incidenten melden — snel

Als er iets misgaat, moet je melden:

  • Binnen 24 uur: een eerste melding aan de toezichthouder
  • Binnen 72 uur: een uitgebreide melding met details
  • Binnen 1 maand: een volledig eindrapport

Geen melding? Dat alleen al kan een boete opleveren.

3. Je registreren bij de toezichthouder

In Nederland is de RDI (Rijksinspectie Digitale Infrastructuur) de hoofdtoezichthouder. Andere sectoren hebben eigen toezichthouders (DNB voor banken, IGJ voor zorg, NCSC voor incidentrespons).

4. Bestuurders trainen — en aansprakelijk maken

Dit is nieuw én belangrijk: de directie is persoonlijk aansprakelijk. Niet langer "de IT-afdeling regelt het wel". Bestuurders moeten:

  • Goedkeuring geven aan het cybersecurity-beleid
  • Trainingen volgen over cyberrisico's
  • Toezien op de naleving

Bij overtredingen kunnen bestuurders persoonlijk boetes krijgen, en in ernstige gevallen tijdelijk worden ontheven uit hun functie.

Wat als je niets doet?

De boetes zijn fors:

  • Essentiële entiteiten: tot €10 miljoen of 2% wereldwijde jaaromzet
  • Belangrijke entiteiten: tot €7 miljoen of 1,4% wereldwijde jaaromzet

Voor een MKB-bedrijf met €15 miljoen omzet kan dat dus oplopen tot €210.000–€300.000 per overtreding. En dan hebben we het nog niet over de reputatieschade en de directe schade van een cyberincident zelf.

Wat als ik al ISO 27001 heb?

Goed nieuws: ISO 27001 dekt 70-80% van wat NIS2 vraagt. Je hebt al een managementsysteem, je hebt al risicobeheer, je hebt al de meeste controls.

Maar: NIS2 vraagt specifiek aandacht voor:

  • Supply chain security (vaak licht in ISO 27001)
  • Incidentmeldingsplicht (24/72-uur regime)
  • Bestuurlijke aansprakelijkheid
  • Verplichte registratie bij de toezichthouder

Dus: ISO 27001 = stevige basis, maar geen vrijbrief.

Hoeveel tijd heb je nog?

De Cyberbeveiligingswet treedt in werking op 1 juli 2026. Dat lijkt nog ver weg, maar:

  • Je hebt 6-12 maanden nodig om beleid en processen op te zetten als je nog op nul staat
  • Auditors en consultants zijn de komende maanden volgeboekt
  • Toezichthouders beginnen met handhaven vanaf de eerste dag

Begin vandaag. Niet morgen.

Wat is de eerste stap?

  1. Bepaal of je onder NIS2 valt — doe de gratis check
  2. Doe een gap-analyse — welke maatregelen heb je al, welke niet?
  3. Maak een actieplan — prioriteer op basis van risico
  4. Begin met de basis — multi-factor authenticatie, backups, incident response plan

Nog 1 jaar te gaan. Op 1 juli 2026 wordt de Cyberbeveiligingswet van kracht. Begin met de gratis check — daarna helpen we je verder.

Veelgestelde vragen

Geldt NIS2 ook voor mijn webshop? Alleen als je een "online marktplaats" bent (zoals bol.com of Marktplaats), niet als je je eigen producten verkoopt. Een gewone webshop valt niet onder NIS2.

Wat is het verschil tussen NIS2 en GDPR? GDPR gaat over persoonsgegevens (privacy). NIS2 gaat over cybersecurity en continuïteit (kunnen je systemen blijven werken). Beide kunnen tegelijk van toepassing zijn.

Moet ik nu al iets melden bij de toezichthouder? Nee, pas vanaf 1 juli 2026. Maar registreren wordt waarschijnlijk verplicht binnen drie maanden na inwerkingtreding — dus uiterlijk 1 oktober 2026.

Wat als mijn IT volledig is uitbesteed? Dan ben jij nog steeds verantwoordelijk. Je moet contractuele afspraken maken met je IT-leverancier en kunnen aantonen dat zij ook NIS2-conform werken.

Gratis whitepaper · 12 pagina's

De 10 stappen naar NIS2-compliance

Per maatregel: wat het is, concrete acties, en de valkuil. Direct als PDF in je inbox.

Vraag de whitepaper aan
Nieuwsbrief

Blijf op de hoogte van NIS2

Periodiek de belangrijkste updates over de Cyberbeveiligingswet, plus praktische tips voor het MKB. Geen spam, uitschrijven kan altijd.

Door je in te schrijven ga je akkoord met onze verwerking van je e-mailadres. Geen spam, makkelijk uitschrijven.