Skip to main content
7 maart 2025

NIS2 voor mkb: dit moet je nú weten (en doen)

De nieuwe NIS2-richtlijn verandert de spelregels voor cybersecurity in het mkb. Collega Chris van der Naald is niet alleen RA (Registeraccountant) maar ook CISA (Certified Information Systems Auditor). Een handige combinatie met het oog op de NIS2 voor mkb. Hij heeft voor je samengevat wat NIS2 inhoudt, hoe je weet of je eraan moet voldoen, wat de impact is op jouw bedrijfsvoering én wat je nú moet regelen om boetes, reputatieschade en juridische problemen te voorkomen. Concrete inzichten waar je direct mee aan de slag kunt.

Door Chris van der Naald, Audit Manager Controle

De NIS2 (Network and Information Systems Directive 2) is Europese wetgeving die de digitale weerbaarheid van organisaties moet verbeteren. In Nederland wordt de NIS2 geïmplementeerd in nationale wetgeving in de Cyberbeveiligingswet. Deze zal naar verwachting in het derde kwartaal van 2025 in werking treden.

Waar de oude versie alleen gold voor een beperkt aantal vitale bedrijven, geldt NIS2 voor mkb-organisaties in steeds meer sectoren, ook in Nederland. Valt jouw organisatie onder de NIS2-richtlijn, dan moet je:

  • Risico’s in kaart brengen
  • Je systemen te beveiligen
  • Incidenten binnen 24 uur melden
  • Intern verantwoordelijkheid beleggen bij het bestuur

Wanneer val je onder NIS2 voor mkb?

Veel ondernemers denken dat NIS2 alleen geldt voor grote bedrijven, maar dat klopt niet. Concreet ben je NIS2-plichtig als je:

  • Meer dan 250 medewerkers hebt
  • Een jaaromzet hebt van meer dan €50 miljoen én een balanstotaal van meer dan €43 miljoen
  • Een essentiële of belangrijke entiteit bent
  • Leverancier bent in een keten die wél onder NIS2 valt

Essentiële entiteiten zijn actief in sectoren als energie, drinkwater, transport, gezondheidszorg, bankwezen of digitale infrastructuur. Bij deze bedrijven is NIS2-toezicht streng, actief en structureel. Ze vallen onder verplichte registratie en krijgen mogelijk periodieke audits.

Belangrijke entiteiten zitten in sectoren zoals voedselproductie, afvalverwerking, IT-dienstverlening, post- en koeriersdiensten, en bepaalde maakindustrieën. Zij hebben grotendeels dezelfde NIS2-verplichtingen, maar komen pas in beeld bij incidenten of klachten — het toezicht is dus reactief in plaats van proactief.

NIS2 legt de bal bij het bestuur

Een belangrijk verschil met eerdere regelgeving: onder NIS2 zijn bestuurders zélf verantwoordelijk voor de naleving. Je kunt dus niet zeggen ‘dat regelt de IT-afdeling wel’. Je wordt geacht als bestuur eigenaarschap te nemen, actief toezicht te houden op cybersecuritybeleid, zelf voldoende kennis te hebben of die in te huren en maatregelen te nemen die passen bij je risico’s.

Handhaving van NIS2 voor mkb

De Nederlandse overheid heeft (nog) geen definitieve handhavingsstructuur gepubliceerd, maar de contouren zijn duidelijk. De handhaving van NIS2 wordt verdeeld over meerdere toezichthouders, afhankelijk van de sector waarin je actief bent. Deze toezichthouders mogen:

  • Boetes opleggen tot €10 miljoen of 2% van de wereldwijde omzet
  • Bestuurders persoonlijk verantwoordelijk stellen
  • Afdwingen dat je beveiligingsmaatregelen treft of verbetert
  • Publiceren dat je niet compliant bent (reputatieschade)
  • Je (tijdelijk) uitsluiten van overheidsopdrachten of aanbestedingen

Leveranciers óók onder jouw verantwoordelijkheid

Nieuw voor veel bedrijven: je moet onder NIS2 voor mkb ook kunnen aantonen dat je je leveranciersrisico’s beheerst. Als jouw hostingpartij of IT-beveiliger bijvoorbeeld steken laat vallen, kun jij daar als organisatie op worden afgerekend. Dat betekent dat je in je contracten eisen moet stellen aan cyberveiligheid, dat je je ketenpartijen beoordeelt en waar nodig maatregelen treft.

Waarom je NIS2 voor mkb absoluut wilt naleven

Afgezien van boetes en persoonlijke aansprakelijkheid voor bestuurders kan het niet-naleven van NIS2-verplichtingen zorgen voor:

Niet-naleving die uitkomt door een incident (bijvoorbeeld een datalek of ransomware-aanval) leidt vaak tot publieke en zakelijke schade. Klanten, partners en investeerders verliezen vertrouwen.

Grote opdrachtgevers, overheden en ketenpartners stellen steeds vaker eisen aan digitale weerbaarheid. Geen NIS2-compliance = geen contract of aanbesteding.

Geen goed incidentresponseplan betekent: langere downtime, hogere kosten en grotere schade. Je staat juridisch en praktisch zwakker bij claims of aansprakelijkheid.

Als je niet kunt aantonen dat je compliant bént of ernaartoe werkt, loop je risico bij een controle.

Als je zelf niet voldoet, kunnen klanten of ketenpartners zich van je losmaken (of jou dwingen alsnog te voldoen).

Wat nu doen voor NIS2 voor mkb?

Allereerst moet je weten of jouw organisatie onder de richtlijn valt. Daarvoor is een impactanalyse of quickscan de logische eerste stap. Als je inderdaad binnen de scope valt, dan moet je werk maken van je beveiliging, beleid en procedures:

Voer een uitgebreide risicoanalyse uit van je netwerken en informatiesystemen, maar ook van je leveranciers. Zo ontdek je waar de grootste kwetsbaarheden liggen en waar verbeteringen nodig zijn.

Zorg ervoor dat technische en organisatorische maatregelen de veiligheid van je systemen waarborgen. Dit kan bijvoorbeeld vragen om het bijwerken van je ‘incidentresponsplan’ of implementatie van geavanceerde beveiligingssoftware.

Dit is geen eenmalige actie. Een cultuur van cybersecurity awareness moet diep in je organisatie geworteld zijn. Dit betekent het formaliseren van beleid, inrichten van een meldstructuur voor incidenten, het regelmatig trainen van medewerkers, het regelmatig testen van systemen en het monitoren van potentiële dreigingen.

Zorg ervoor dat je alle nodige documentatie hebt over de maatregelen die je hebt getroffen en dat je snel kunt rapporteren bij incidenten.

Wat ik als accountant voor je kan doen

NIS2 raakt veel meer dan IT. Het raakt je governance, je bedrijfsvoering, je rapportagestructuur – en dus ook jouw jaarcyclus en interne controles. Vanuit onze rol als accountant kunnen mijn collega’s en ik je helpen om grip te krijgen op je nieuwe verplichtingen. Zo kunnen we je bijvoorbeeld helpen met:

    • Uitvoeren van een eerste impactanalyse
    • Beoordelen van je risicobeheersing
    • Inrichten van een meldproces dat ook in de praktijk werkt

    En als er technische expertise nodig is, kunnen we je in contact brengen met betrouwbare IT-partijen die weten hoe het reilt en zeilt in het mkb.

    Met NIS2 voor mkb heb je een voorsprong

    Zie NIS2 voor mkb niet alleen als verplichting, maar als kans. Heeft jouw organisatie cybersecurity goed geregeld? Dan win je makkelijker aanbestedingen, maak je een sterkere indruk op klanten en ben je sneller weer operationeel als er onverhoopt toch iets misgaat.

    Meer weten?

    Ben je er niet zeker van of je onder de NIS2 valt? Wil je dat ik je help met een risicoanalyse? Of heb je bijvoorbeeld ondersteuning nodig bij het opstellen van documentatie? Bel of mail me. Mijn collega’s en ik helpen je graag.

    Chris-van-der-Naald

    Chris van der Naald

    Audit Manager Controle
    T +31 (0)314 369 111
    E chrisvandernaald@stolwijkkelderman.nl

    Terug

    Nog niet uitgelezen?