Verandering biedt kansen
Home / Blogs / NIS2 voor mkb: dit moet je nú weten (en doen)
De nieuwe NIS2-richtlijn verandert de spelregels voor cybersecurity in het mkb. Collega Chris van der Naald is niet alleen RA (Registeraccountant) maar ook CISA (Certified Information Systems Auditor). Een handige combinatie met het oog op de NIS2 voor mkb. Hij heeft voor je samengevat wat NIS2 inhoudt, hoe je weet of je eraan moet voldoen, wat de impact is op jouw bedrijfsvoering én wat je nú moet regelen om boetes, reputatieschade en juridische problemen te voorkomen. Concrete inzichten waar je direct mee aan de slag kunt.
Door Chris van der Naald, Audit Manager Controle
De NIS2 (Network and Information Systems Directive 2) is Europese wetgeving die de digitale weerbaarheid van organisaties moet verbeteren. In Nederland wordt de NIS2 geïmplementeerd in nationale wetgeving in de Cyberbeveiligingswet. Deze zal naar verwachting in het derde kwartaal van 2025 in werking treden.
Waar de oude versie alleen gold voor een beperkt aantal vitale bedrijven, geldt NIS2 voor mkb-organisaties in steeds meer sectoren, ook in Nederland. Valt jouw organisatie onder de NIS2-richtlijn, dan moet je:
Veel ondernemers denken dat NIS2 alleen geldt voor grote bedrijven, maar dat klopt niet. Concreet ben je NIS2-plichtig als je:
Essentiële entiteiten zijn actief in sectoren als energie, drinkwater, transport, gezondheidszorg, bankwezen of digitale infrastructuur. Bij deze bedrijven is NIS2-toezicht streng, actief en structureel. Ze vallen onder verplichte registratie en krijgen mogelijk periodieke audits.
Belangrijke entiteiten zitten in sectoren zoals voedselproductie, afvalverwerking, IT-dienstverlening, post- en koeriersdiensten, en bepaalde maakindustrieën. Zij hebben grotendeels dezelfde NIS2-verplichtingen, maar komen pas in beeld bij incidenten of klachten — het toezicht is dus reactief in plaats van proactief.
Een belangrijk verschil met eerdere regelgeving: onder NIS2 zijn bestuurders zélf verantwoordelijk voor de naleving. Je kunt dus niet zeggen ‘dat regelt de IT-afdeling wel’. Je wordt geacht als bestuur eigenaarschap te nemen, actief toezicht te houden op cybersecuritybeleid, zelf voldoende kennis te hebben of die in te huren en maatregelen te nemen die passen bij je risico’s.
De Nederlandse overheid heeft (nog) geen definitieve handhavingsstructuur gepubliceerd, maar de contouren zijn duidelijk. De handhaving van NIS2 wordt verdeeld over meerdere toezichthouders, afhankelijk van de sector waarin je actief bent. Deze toezichthouders mogen:
Nieuw voor veel bedrijven: je moet onder NIS2 voor mkb ook kunnen aantonen dat je je leveranciersrisico’s beheerst. Als jouw hostingpartij of IT-beveiliger bijvoorbeeld steken laat vallen, kun jij daar als organisatie op worden afgerekend. Dat betekent dat je in je contracten eisen moet stellen aan cyberveiligheid, dat je je ketenpartijen beoordeelt en waar nodig maatregelen treft.
Afgezien van boetes en persoonlijke aansprakelijkheid voor bestuurders kan het niet-naleven van NIS2-verplichtingen zorgen voor:
Niet-naleving die uitkomt door een incident (bijvoorbeeld een datalek of ransomware-aanval) leidt vaak tot publieke en zakelijke schade. Klanten, partners en investeerders verliezen vertrouwen.
Grote opdrachtgevers, overheden en ketenpartners stellen steeds vaker eisen aan digitale weerbaarheid. Geen NIS2-compliance = geen contract of aanbesteding.
Geen goed incidentresponseplan betekent: langere downtime, hogere kosten en grotere schade. Je staat juridisch en praktisch zwakker bij claims of aansprakelijkheid.
Als je niet kunt aantonen dat je compliant bént of ernaartoe werkt, loop je risico bij een controle.
Als je zelf niet voldoet, kunnen klanten of ketenpartners zich van je losmaken (of jou dwingen alsnog te voldoen).
Allereerst moet je weten of jouw organisatie onder de richtlijn valt. Daarvoor is een impactanalyse of quickscan de logische eerste stap. Als je inderdaad binnen de scope valt, dan moet je werk maken van je beveiliging, beleid en procedures:
Voer een uitgebreide risicoanalyse uit van je netwerken en informatiesystemen, maar ook van je leveranciers. Zo ontdek je waar de grootste kwetsbaarheden liggen en waar verbeteringen nodig zijn.
Zorg ervoor dat technische en organisatorische maatregelen de veiligheid van je systemen waarborgen. Dit kan bijvoorbeeld vragen om het bijwerken van je ‘incidentresponsplan’ of implementatie van geavanceerde beveiligingssoftware.
Dit is geen eenmalige actie. Een cultuur van cybersecurity awareness moet diep in je organisatie geworteld zijn. Dit betekent het formaliseren van beleid, inrichten van een meldstructuur voor incidenten, het regelmatig trainen van medewerkers, het regelmatig testen van systemen en het monitoren van potentiële dreigingen.
Zorg ervoor dat je alle nodige documentatie hebt over de maatregelen die je hebt getroffen en dat je snel kunt rapporteren bij incidenten.
NIS2 raakt veel meer dan IT. Het raakt je governance, je bedrijfsvoering, je rapportagestructuur – en dus ook jouw jaarcyclus en interne controles. Vanuit onze rol als accountant kunnen mijn collega’s en ik je helpen om grip te krijgen op je nieuwe verplichtingen. Zo kunnen we je bijvoorbeeld helpen met:
En als er technische expertise nodig is, kunnen we je in contact brengen met betrouwbare IT-partijen die weten hoe het reilt en zeilt in het mkb.
Zie NIS2 voor mkb niet alleen als verplichting, maar als kans. Heeft jouw organisatie cybersecurity goed geregeld? Dan win je makkelijker aanbestedingen, maak je een sterkere indruk op klanten en ben je sneller weer operationeel als er onverhoopt toch iets misgaat.
Ben je er niet zeker van of je onder de NIS2 valt? Wil je dat ik je help met een risicoanalyse? Of heb je bijvoorbeeld ondersteuning nodig bij het opstellen van documentatie? Bel of mail me. Mijn collega’s en ik helpen je graag.
Audit Manager Controle T +31 (0)314 369 111 E chrisvandernaald@stolwijkkelderman.nl
Actueel
Van onderbuikgevoel naar onderbouwd beleid: zo haal je meer uit HR-data en dashboards
Pensioen voor ondernemers: zo bouw je aanvullend pensioen op
Zo verloopt een RI&E in de praktijk en wat jij eraan hebt als werkgever
Deel dit bericht
Nog niet uitgelezen?
Bij de bedrijfsoverdracht van een IB-onderneming komt het een en ander kijken. Je moet keuzes maken over bijvoorbeeld nu of later belasting betalen, checken of er een desinvesteringsbijtelling is, nagaan wat je me vrijgekomen reserves wilt en kunt, enzovoort.. Een verkeerde keuze kan je geld kosten of je opvolger in een lastige positie brengen. Ontdek […]
Vanaf 1 september 2025 voert het UWV opnieuw de 60-plusmaatregel in voor WIA-aanvragen. Deze tijdelijke regeling, eerder van kracht tussen 2022 en 2024, is bedoeld om de achterstanden bij WIA-beoordelingen terug te dringen. Op 3 juli 2025 stemde de Tweede Kamer in met de begroting van het ministerie van Sociale Zaken en Werkgelegenheid (SZW), waardoor […]
De Eerste Kamer heeft de Wet tegenbewijsregeling box 3 aangenomen. Daarmee zijn de regels om belasting te betalen over je werkelijk rendement box 3 nu definitief. Bovendien is sinds 10 juli 2025 ook het formulier Opgaaf Werkelijk Rendement (OWR) beschikbaar via de website van de Belastingdienst. Dus is jouw werkelijke rendement lager dan het forfaitaire […]
Data speelt een steeds grotere rol in het HR-landschap. Toch blijven veel organisaties steken in losse rapportages, Excel-overzichten of een vaag ‘onderbuikgevoel’. Zonde, want met de juiste dashboards en een slimme aanpak haal je méér uit je HR- en salarissystemen dan je denkt. In deze blog nemen we je mee in de wereld van data […]
De zomer begint met een volle wetgevingsagenda. Per 1 juli 2025 gaan meerdere nieuwe regels in die impact hebben op je HR-beleid, arbeidsrelaties en duurzaamheidsrapportage. Welke veranderingen zijn belangrijk? Wat moet je als werkgever of HR-professional regelen of scherp houden? We zetten de belangrijkste wijzigingen voor je op een rij. 1. CO₂-rapportage: vanaf 1 juli […]
© 2025 - Stolwijk Kennisnetwerk