NIS2 is zo’n term die je de afgelopen tijd vast voorbij hebt zien komen. Een nieuwe Europese cybersecuritywet, strenge eisen, hoge boetes. Klinkt zwaar, en voor sommige bedrijven is het dat ook. Maar geldt het ook voor jou als MKB-ondernemer in Dordrecht of de Drechtsteden?

Het antwoord is genuanceerd. Een deel van het MKB valt er direct onder, een veel groter deel krijgt er indirect mee te maken via klanten en leveranciers. In dit artikel leggen we uit wat NIS2 is, voor wie het geldt en welke stappen je nu al kunt zetten.

Wat is NIS2 en waar komt het vandaan?

NIS2 is een Europese richtlijn, officieel richtlijn 2022/2555. De afkorting staat voor Network and Information Security, en de 2 geeft aan dat het de opvolger is van de eerste NIS-richtlijn uit 2016. Het doel is om de digitale weerbaarheid van Europa te vergroten, want cyberaanvallen op vitale diensten nemen toe en raken steeds vaker een hele keten van bedrijven tegelijk.

Een Europese richtlijn werkt niet rechtstreeks. Elke lidstaat moet de regels vertalen naar eigen wetgeving. In Nederland heet die wet de Cyberbeveiligingswet, afgekort Cbw. Die wet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen.

De invoering heeft vertraging opgelopen. NIS2 had eigenlijk in oktober 2024 omgezet moeten zijn, maar dat is in Nederland en in veel andere landen niet gehaald. De Tweede Kamer stemde in april 2026 in met de Cyberbeveiligingswet, waarna de wet naar de Eerste Kamer ging. De verwachte inwerkingtreding ligt rond 1 juli 2026, al hangt die datum af van de behandeling in de Eerste Kamer. De exacte datum kan dus nog schuiven.

Voor wie geldt NIS2 direct?

Hier zit een belangrijk misverstand. NIS2 geldt niet voor elk bedrijf in Nederland en zeker niet automatisch voor het hele MKB. De wet richt zich op organisaties in een aantal aangewezen sectoren, en daarbinnen geldt meestal een grenswaarde qua omvang.

Het gaat om sectoren als energie, vervoer, drinkwater, gezondheidszorg, digitale infrastructuur, ICT-dienstverlening, levensmiddelen, afvalbeheer, chemie, post- en koeriersdiensten, productie en onderzoek. Werk je daar niet in, dan val je waarschijnlijk niet rechtstreeks onder de wet.

Binnen die sectoren maakt NIS2 onderscheid tussen twee soorten organisaties. Essentiële entiteiten zijn doorgaans de grotere spelers, denk aan organisaties met meer dan 250 medewerkers of een jaaromzet boven de 50 miljoen euro. Belangrijke entiteiten zijn vaak de middelgrote organisaties, ongeveer vanaf 50 medewerkers of een jaaromzet boven de 10 miljoen euro. Het verschil zit vooral in het toezicht. Bij essentiële entiteiten controleert de toezichthouder actief en vooraf, bij belangrijke entiteiten pas als er aanleiding voor is. Ook de maximale boetes liggen voor essentiële entiteiten hoger.

Voor de meeste kleine bedrijven in de regio betekent dit dat je er waarschijnlijk niet rechtstreeks onder valt. Maar daarmee ben je niet klaar, en dat is precies het punt.

Waarom kleinere bedrijven er toch mee te maken krijgen

NIS2 stelt eisen aan de hele toeleveringsketen. Een organisatie die wel onder de wet valt, moet de cybersecurity van haar leveranciers en dienstverleners op orde hebben. En daar kom jij in beeld.

Lever je software, onderhoud, transport, schoonmaak of welke dienst dan ook aan een bedrijf dat onder NIS2 valt, dan zal die klant verwachten dat jouw beveiliging in orde is. Steeds vaker zie je dat terug in contracten en in vragenlijsten over informatiebeveiliging. Je voldoet dan niet aan de wet zelf, maar je moet wel aantonen dat je een betrouwbare schakel bent.

In de Drechtsteden zien we dit al gebeuren bij toeleveranciers van grotere industrie- en zorgpartijen. De klant valt onder NIS2 en geeft de eisen door aan iedereen die meewerkt. Het is dus verstandig om je voorbereiding niet te laten afhangen van de vraag of je formeel onder de wet valt, maar van de vraag of je klanten het van je gaan vragen.

Welke verplichtingen brengt NIS2 mee?

Voor organisaties die er wel onder vallen, draait NIS2 om een paar kernverplichtingen. Ze zijn ook een goede leidraad als je je via de keten moet voorbereiden.

De eerste is de zorgplicht. Je moet passende technische en organisatorische maatregelen nemen om risico’s te beheersen. Denk aan goede toegangsbeveiliging, het bijhouden van updates, versleuteling waar nodig en een werkende back-up. Veel hiervan begint bij de basis, zoals een doordachte back-upstrategie en sterke authenticatie. Het inrichten van multifactorauthenticatie voor je bedrijf is een van de eenvoudigste maatregelen met de grootste impact.

De tweede is de meldplicht. Heb je een significant incident, dan moet je dat melden bij de toezichthouder. Onder NIS2 geldt een korte termijn: een eerste melding binnen 24 uur, gevolgd door een uitgebreidere melding binnen 72 uur. Dat lukt alleen als je vooraf hebt nagedacht over wie wat doet bij een incident.

De derde is risicobeheer. Je moet weten waar je kwetsbaar bent en daar bewust mee omgaan. Dat sluit goed aan op het principe van zero trust beveiliging, waarbij je niets automatisch vertrouwt.

Tot slot legt NIS2 verantwoordelijkheid bij het bestuur. De directie kan cybersecurity niet langer volledig doorschuiven naar de IT-afdeling of een externe partij. Bestuurders moeten betrokken zijn en in sommige gevallen aantoonbaar kennis hebben van de risico’s. Cybersecurity is daarmee een directiethema geworden, geen technisch detail meer.

Praktische stappen om je voor te bereiden

Je hoeft niet te wachten tot de wet definitief is. De maatregelen die NIS2 verlangt, zijn voor het grootste deel gewoon goede beveiligingspraktijk. Begin met overzicht.

Breng eerst in kaart waar je staat. Welke gegevens verwerk je, welke systemen zijn cruciaal en wat gebeurt er als die uitvallen? Bekijk daarna of je tot de aangewezen sectoren behoort en of je klanten onder NIS2 vallen. Dat bepaalt hoe streng je je moet voorbereiden.

Zet vervolgens de basis op orde. Schakel multifactorauthenticatie in op alle accounts, zorg dat software automatisch wordt bijgewerkt, controleer of je back-ups echt werken en beperk toegangsrechten tot wat mensen nodig hebben. Train daarnaast je medewerkers, want de meeste incidenten beginnen bij een verkeerde klik. In ons artikel over hoe je je bedrijf beschermt tegen phishing lees je hoe je dat aanpakt. En omdat veel incidenten met gijzelsoftware beginnen, is het verstandig om te weten hoe je ransomware voorkomt.

Werk je met persoonsgegevens, en dat doet vrijwel elk bedrijf, dan loopt NIS2 deels parallel aan privacyregels. Pak beide samen op. Lees daarover meer in AVG in de praktijk.

Leg ten slotte een eenvoudig incidentenplan vast. Wie bel je, welke systemen isoleer je en hoe meld je op tijd? Dat plan kost je een paar uur om te maken en bespaart je in een crisis enorm veel tijd. Wil je dit liever niet zelf uitzoeken, dan denkt Qware ICT graag mee. We werken al sinds 1993 vanuit Dordrecht voor ondernemers in de Drechtsteden en kennen de praktijk van het regionale MKB.

Veelgestelde vragen over NIS2

Valt mijn kleine bedrijf onder NIS2?

Waarschijnlijk niet rechtstreeks, tenzij je in een aangewezen sector werkt en boven de grens van zo’n 50 medewerkers of 10 miljoen euro omzet zit. Veel kleinere bedrijven krijgen er wel indirect mee te maken doordat klanten die onder de wet vallen eisen aan hun leveranciers stellen.

Wanneer treedt de Cyberbeveiligingswet in werking?

De verwachting is rond 1 juli 2026, maar de wet moet nog door de Eerste Kamer. De invoering is al meerdere keren uitgesteld, dus controleer de actuele status voordat je conclusies trekt over deadlines.

Wat is het verschil tussen een essentiële en een belangrijke entiteit?

Beide moeten aan de zorg- en meldplicht voldoen. Het verschil zit in het toezicht en de boetes. Bij essentiële entiteiten controleert de toezichthouder actief en vooraf, bij belangrijke entiteiten pas als daar aanleiding voor is. Essentiële entiteiten zijn doorgaans de grotere organisaties.

Wat gebeurt er als ik niet voldoe?

Voor organisaties die onder de wet vallen, kan de toezichthouder maatregelen opleggen en flinke boetes uitdelen, met hogere bedragen voor essentiële entiteiten. Val je niet onder de wet, dan riskeer je geen boete, maar wel het verlies van opdrachten als je klanten je beveiliging onvoldoende vinden.

Begin bij de basis, niet bij de paniek

NIS2 klinkt ingewikkeld, maar de kern is overzichtelijk. Een deel van het MKB valt er direct onder, een veel groter deel krijgt er via de keten mee te maken. En de maatregelen die de wet verlangt, zijn grotendeels gewoon verstandig, of je nu onder de wet valt of niet.

Zoek eerst uit waar je staat, breng je risico’s in kaart en zet de basis op orde. Dan ben je niet alleen voorbereid op de Cyberbeveiligingswet, maar sowieso een veiliger en betrouwbaarder bedrijf. En dat is precies wat je klanten van je verwachten.