NIS2 zorgplicht: de 10 maatregelen volgens het NCSC, vertaald naar het MKB
Het NCSC publiceerde de officiële handreiking voor de NIS2-zorgplicht. We lopen alle 10 maatregelen langs en vertalen ze naar concrete acties voor het Nederlandse MKB.
Het Nationaal Cyber Security Centrum (NCSC) heeft een officiële handreiking gepubliceerd voor de zorgplicht onder de Cyberbeveiligingswet (NIS2). Daarin staan de 10 maatregelen die elke entiteit onder de wet moet treffen — gestructureerd op twee niveaus: eerste stappen voor wie nog op nul staat, en een stap verder voor wie wil doorgroeien.
In dit artikel lopen we alle 10 langs en vertalen we ze naar concrete acties voor het Nederlandse MKB.
Officiële bron: NCSC — Zorgplicht NIS2. Dit artikel is een MKB-vertaling, geen vervanging.
Wat is de zorgplicht?
De zorgplicht is een van de drie hoofdverplichtingen onder NIS2 (naast meld- en registratieplicht). Concreet: je moet passende technische en organisatorische maatregelen treffen om de continuïteit en veiligheid van je netwerk- en informatiesystemen te waarborgen.
NCSC vertaalt dat naar 10 specifieke maatregelen. Geen vrijblijvende suggestie — dit is wat de toezichthouder gaat checken.
Niet zeker of je onder NIS2 valt? Doe eerst de gratis check — in 2 minuten.
De 10 maatregelen
1. Risicoanalyse
Wat NCSC zegt: een risicoanalyse is de eerste stap naar cyberweerbaarheid. Inventariseer waar je organisatie kwetsbaar is en bepaal de impact als het misgaat.
MKB-vertaling: maak een lijst van je kritieke processen (boekhouding, klantsysteem, productie). Bedenk per proces: wat als dit een week stilligt? Documenteer de top-5 risico's en wat je eraan doet.
Eerste stap: een eenvoudige spreadsheet met kolommen risico, kans, impact, maatregel. Goed startpunt — geen consultantsproject.
2. Incidentafhandeling
Wat NCSC zegt: stel een incident response plan op zodat je weet wat te doen bij een beveiligingsincident.
MKB-vertaling: één pagina volstaat als startpunt. Wie is incident-coördinator? Wie bel je 's nachts? Wat zet je offline? Hoe communiceer je intern? Plus de melding bij toezichthouder (24u/72u).
Eerste stap: print een eenvoudig actieplan en hang dat op bij de IT-balie. Test het 1× per jaar in een tabletop-oefening.
3. Bedrijfscontinuïteit en backup
Wat NCSC zegt: zorg voor backups én test of je die ook daadwerkelijk kunt terugzetten.
MKB-vertaling: hanteer de 3-2-1 regel — 3 kopieën, 2 verschillende media, 1 offsite (offline). Backup zonder testen is geen backup.
Eerste stap: maandelijks een willekeurig bestand terugzetten uit je backup om te verifiëren dat het werkt. Zet het in je agenda.
4. Toeleveringsketen
Wat NCSC zegt: neem ketenrisico's mee in je risicomanagement. Je leveranciers zijn een potentiële zwakke plek.
MKB-vertaling: maak een register van leveranciers met IT- of datatoegang (hosters, cloud-leveranciers, accountantssoftware, MSP's). Per leverancier: welke toegang? Welk contract? Welk bewijs van hun cybersecurity?
Eerste stap: vraag je top-5 leveranciers naar hun ISO 27001-certificaat of NIS2-conformiteitsverklaring. Verwerk dit standaard in nieuwe contracten.
5. Cyberhygiëne en bewustwording
Wat NCSC zegt: train medewerkers op de basisprincipes van digitale weerbaarheid. De meeste aanvallen beginnen bij menselijk gedrag.
MKB-vertaling: phishing-simulaties + jaarlijkse trainingen + speciale aandacht voor de directie (verplicht onder NIS2 vanwege persoonlijke aansprakelijkheid).
Eerste stap: één phishing-simulatie + een korte instructievideo bij onboarding. Wat goedkoop start kan groot uitgroeien.
6. Netwerk- en IT-beveiliging
Wat NCSC zegt: implementeer goed patchmanagement en kwetsbaarhedenbeheer. Houd systemen up-to-date.
MKB-vertaling: alle security patches binnen 30 dagen na release installeren. Voor kritieke kwetsbaarheden binnen 7 dagen.
Eerste stap: maak een lijst van alle systemen en wie verantwoordelijk is voor patches. Stel een maandelijkse "patch-Tuesday" in.
7. Personeel, toegang en assets
Wat NCSC zegt: voer toegangsbeleid, personeelsscreening en assetbeheer (CMDB).
MKB-vertaling: principe van least privilege — medewerkers krijgen alleen toegang tot wat ze nodig hebben. Bij uitstroom: toegang direct ontnemen, niet pas weken later.
Eerste stap: doe een toegangsreview op je top-10 systemen. Schrap alle accounts van mensen die er niet meer werken. Doe dit elk halfjaar opnieuw.
8. Authenticatie (MFA)
Wat NCSC zegt: gebruik multifactorauthenticatie en passkeys.
MKB-vertaling: MFA verplicht voor alle admin-accounts en remote toegang. Bij voorkeur authenticator-apps of FIDO2 hardware keys — geen SMS (SIM-swapping).
Eerste stap: schakel MFA in op je e-mailomgeving (Microsoft 365 / Google Workspace) — voor iedereen, vandaag nog. Dat is je grootste risicoreductie voor minste moeite.
9. Cryptografie
Wat NCSC zegt: stel een encryptiebeleid op voor data in opslag en data in transport.
MKB-vertaling: full-disk encryption op alle laptops, HTTPS/TLS 1.3 op websites en API's, sleutelbeheer met rotatie. Vermijd verouderde algoritmes (MD5, SHA-1, TLS 1.0/1.1).
Eerste stap: BitLocker of FileVault inschakelen op alle werkplekken. Standaard. Geen uitzonderingen.
10. Effectiviteitsmeting
Wat NCSC zegt: toets periodiek of de maatregelen die je hebt getroffen ook daadwerkelijk werken.
MKB-vertaling: minimaal 1× per jaar een controle: tabletop-incident, externe pentest, audit van je beleid. Toezicht is reactief — maar audit-bewijs is je verdediging.
Eerste stap: zet een jaarplanning op met 4 momenten (Q1: tabletop, Q2: pentest, Q3: toegangsreview, Q4: beleid herzien). Documenteer alles.
Hoe ga je dit aanpakken?
Tien maatregelen tegelijk lijkt veel. Drie quick wins die de grootste risicoreductie geven:
- MFA op alle admin-accounts (maatregel 8) — kost je 1 dag, voorkomt 80% van de aanvallen
- Werkende offline-backup met testroutine (maatregel 3) — beste verzekering tegen ransomware
- Patching binnen 30 dagen (maatregel 6) — sluit het invalpunt voor de meeste exploits
Daarna: risicoanalyse (1) en incident response plan (2) als basis voor de rest.
Volledig overzicht? Download onze gratis whitepaper "De 10 stappen naar NIS2-compliance" — per maatregel: wat het is, concrete acties, en de valkuil. Inclusief 12-maanden tijdlijn naar 1 juli 2026.
Volgende stappen
- Doe de gratis NIS2-check — bepaal of je überhaupt onder de zorgplicht valt
- Lees ook: NIS2 uitgelegd voor MKB en NIS2 boetes en risico's
- Download de whitepaper voor een werkbare gids per maatregel
- Diepere context bij NCSC: zorgplicht NIS2, voorbereiding, meldplicht
Veelgestelde vragen
Geldt de zorgplicht voor alle bedrijven die onder NIS2 vallen? Ja. Alle "essentiële" en "belangrijke" entiteiten moeten alle 10 maatregelen treffen. Het verschil zit niet in de zorgplicht zelf, maar in het toezichtsregime: essentiële entiteiten krijgen proactieve audits, belangrijke entiteiten reactief toezicht.
Wat als ik al ISO 27001 heb? Dan dek je 70-80% van de zorgplicht. NCSC's structuur sluit goed aan op ISO 27001 (Annex A controls). Aandachtspunten die specifiek zijn voor NIS2: supply chain (4), incidentmeldingsplicht en bestuurlijke aansprakelijkheid.
Hoe weet ik of ik op niveau "Eerste stappen" of "Ga nog een stap verder" moet zitten? NCSC schrijft niet voor welk niveau verplicht is — dat hangt af van je risicoprofiel. Vuistregel: belangrijke entiteiten kunnen vaak op "Eerste stappen" volstaan, essentiële entiteiten worden geacht door te groeien naar "Ga nog een stap verder".
Komt er een audittool of zelfevaluatie voor de zorgplicht? Op NIS2based.com werken we aan een gap-analyse tool die je per maatregel laat scoren op het NCSC-rijpheidsmodel. Schrijf je in voor onze nieuwsbrief om als eerste te horen wanneer die live gaat.
Gratis whitepaper · 12 pagina's
De 10 stappen naar NIS2-compliance
Per maatregel: wat het is, concrete acties, en de valkuil. Direct als PDF in je inbox.
Vraag de whitepaper aanBlijf op de hoogte van NIS2
Periodiek de belangrijkste updates over de Cyberbeveiligingswet, plus praktische tips voor het MKB. Geen spam, uitschrijven kan altijd.
Door je in te schrijven ga je akkoord met onze verwerking van je e-mailadres. Geen spam, makkelijk uitschrijven.