Verandering biedt kansen
Home / Blogs / NIS2 voor mkb: dit moet je nú weten (en doen)
De nieuwe NIS2-richtlijn verandert de spelregels voor cybersecurity in het mkb. Collega Chris van der Naald is niet alleen RA (Registeraccountant) maar ook CISA (Certified Information Systems Auditor). Een handige combinatie met het oog op de NIS2 voor mkb. Hij heeft voor je samengevat wat NIS2 inhoudt, hoe je weet of je eraan moet voldoen, wat de impact is op jouw bedrijfsvoering én wat je nú moet regelen om boetes, reputatieschade en juridische problemen te voorkomen. Concrete inzichten waar je direct mee aan de slag kunt.
Door Chris van der Naald, Audit Manager Controle
De NIS2 (Network and Information Systems Directive 2) is Europese wetgeving die de digitale weerbaarheid van organisaties moet verbeteren. In Nederland wordt de NIS2 geïmplementeerd in nationale wetgeving in de Cyberbeveiligingswet. Deze zal naar verwachting in het derde kwartaal van 2025 in werking treden.
Waar de oude versie alleen gold voor een beperkt aantal vitale bedrijven, geldt NIS2 voor mkb-organisaties in steeds meer sectoren, ook in Nederland. Valt jouw organisatie onder de NIS2-richtlijn, dan moet je:
Veel ondernemers denken dat NIS2 alleen geldt voor grote bedrijven, maar dat klopt niet. Concreet ben je NIS2-plichtig als je:
Essentiële entiteiten zijn actief in sectoren als energie, drinkwater, transport, gezondheidszorg, bankwezen of digitale infrastructuur. Bij deze bedrijven is NIS2-toezicht streng, actief en structureel. Ze vallen onder verplichte registratie en krijgen mogelijk periodieke audits.
Belangrijke entiteiten zitten in sectoren zoals voedselproductie, afvalverwerking, IT-dienstverlening, post- en koeriersdiensten, en bepaalde maakindustrieën. Zij hebben grotendeels dezelfde NIS2-verplichtingen, maar komen pas in beeld bij incidenten of klachten — het toezicht is dus reactief in plaats van proactief.
Een belangrijk verschil met eerdere regelgeving: onder NIS2 zijn bestuurders zélf verantwoordelijk voor de naleving. Je kunt dus niet zeggen ‘dat regelt de IT-afdeling wel’. Je wordt geacht als bestuur eigenaarschap te nemen, actief toezicht te houden op cybersecuritybeleid, zelf voldoende kennis te hebben of die in te huren en maatregelen te nemen die passen bij je risico’s.
De Nederlandse overheid heeft (nog) geen definitieve handhavingsstructuur gepubliceerd, maar de contouren zijn duidelijk. De handhaving van NIS2 wordt verdeeld over meerdere toezichthouders, afhankelijk van de sector waarin je actief bent. Deze toezichthouders mogen:
Nieuw voor veel bedrijven: je moet onder NIS2 voor mkb ook kunnen aantonen dat je je leveranciersrisico’s beheerst. Als jouw hostingpartij of IT-beveiliger bijvoorbeeld steken laat vallen, kun jij daar als organisatie op worden afgerekend. Dat betekent dat je in je contracten eisen moet stellen aan cyberveiligheid, dat je je ketenpartijen beoordeelt en waar nodig maatregelen treft.
Afgezien van boetes en persoonlijke aansprakelijkheid voor bestuurders kan het niet-naleven van NIS2-verplichtingen zorgen voor:
Niet-naleving die uitkomt door een incident (bijvoorbeeld een datalek of ransomware-aanval) leidt vaak tot publieke en zakelijke schade. Klanten, partners en investeerders verliezen vertrouwen.
Grote opdrachtgevers, overheden en ketenpartners stellen steeds vaker eisen aan digitale weerbaarheid. Geen NIS2-compliance = geen contract of aanbesteding.
Geen goed incidentresponseplan betekent: langere downtime, hogere kosten en grotere schade. Je staat juridisch en praktisch zwakker bij claims of aansprakelijkheid.
Als je niet kunt aantonen dat je compliant bént of ernaartoe werkt, loop je risico bij een controle.
Als je zelf niet voldoet, kunnen klanten of ketenpartners zich van je losmaken (of jou dwingen alsnog te voldoen).
Allereerst moet je weten of jouw organisatie onder de richtlijn valt. Daarvoor is een impactanalyse of quickscan de logische eerste stap. Als je inderdaad binnen de scope valt, dan moet je werk maken van je beveiliging, beleid en procedures:
Voer een uitgebreide risicoanalyse uit van je netwerken en informatiesystemen, maar ook van je leveranciers. Zo ontdek je waar de grootste kwetsbaarheden liggen en waar verbeteringen nodig zijn.
Zorg ervoor dat technische en organisatorische maatregelen de veiligheid van je systemen waarborgen. Dit kan bijvoorbeeld vragen om het bijwerken van je ‘incidentresponsplan’ of implementatie van geavanceerde beveiligingssoftware.
Dit is geen eenmalige actie. Een cultuur van cybersecurity awareness moet diep in je organisatie geworteld zijn. Dit betekent het formaliseren van beleid, inrichten van een meldstructuur voor incidenten, het regelmatig trainen van medewerkers, het regelmatig testen van systemen en het monitoren van potentiële dreigingen.
Zorg ervoor dat je alle nodige documentatie hebt over de maatregelen die je hebt getroffen en dat je snel kunt rapporteren bij incidenten.
NIS2 raakt veel meer dan IT. Het raakt je governance, je bedrijfsvoering, je rapportagestructuur – en dus ook jouw jaarcyclus en interne controles. Vanuit onze rol als accountant kunnen mijn collega’s en ik je helpen om grip te krijgen op je nieuwe verplichtingen. Zo kunnen we je bijvoorbeeld helpen met:
En als er technische expertise nodig is, kunnen we je in contact brengen met betrouwbare IT-partijen die weten hoe het reilt en zeilt in het mkb.
Zie NIS2 voor mkb niet alleen als verplichting, maar als kans. Heeft jouw organisatie cybersecurity goed geregeld? Dan win je makkelijker aanbestedingen, maak je een sterkere indruk op klanten en ben je sneller weer operationeel als er onverhoopt toch iets misgaat.
Ben je er niet zeker van of je onder de NIS2 valt? Wil je dat ik je help met een risicoanalyse? Of heb je bijvoorbeeld ondersteuning nodig bij het opstellen van documentatie? Bel of mail me. Mijn collega’s en ik helpen je graag.
Audit Manager Controle T +31 (0)314 369 111 E chrisvandernaald@stolwijkkelderman.nl
Actueel
Voorbereiding accountantscontrole: zonder stress richting de controle
De RI&E: zorg dat het méér wordt dan een verplicht nummer
Waarom zou je een interim HR-adviseur inschakelen?
Deel dit bericht
Nog niet uitgelezen?
Gisteren openden we officieel ons nieuwe kantoor in Deventer. Met extra werk- en overlegruimte voor verdere groei en verankering van Stolwijk Kelderman (SK) en heel Stolwijk Kennisnetwerk (SKN) in Oost-Nederland. “Een uitdagende maar zeker haalbare ambitie”, aldus Bart Kuipers, accountant bij Stolwijk Kelderman Deventer. Daar waar anderen de regio verlaten kiest SKN met volle overtuiging […]
Nu de zon zich weer vaker laat zien, is het hét moment om medewerkers – of jezelf als dga – te stimuleren vaker de fiets te pakken. Met een fietsregeling en fiets van de zaak combineer je vitaliteit met fiscale voordelen. Hoe zit dat precies? We zetten de regels voor je op een rij. Bijtelling […]
Overweeg je vastgoed over te dragen via een juridische splitsing? Let op: vanaf 1 juli 2025 gelden strengere eisen overdrachtsbelasting en vrijstelling hiervan. Wil je nog profiteren van de huidige regels? Kom dan nu meteen in actie. Momenteel geldt dat je bij een juridische splitsing vrijstelling kunt krijgen van overdrachtsbelasting, mits de splitsing niet primair […]
Het podium vragen past niet bij Diana Aalderink, bestuurder en aandeelhouder van Stolwijk Kelderman (SK) en Stolwijk Kennisnetwerk (SKN). Sommige gelegenheden – zoals een 25-jarig werkjubileum – vragen volgens collega’s echter om welverdiende aandacht. Dus vierden we Diana’s jubileum op 27 maart 2025 met familie en alle collega’s in theater Amphion in Doetinchem. Inclusief een […]
De Europese Commissie publiceerde op 26 februari 2025 het zogenoemde Omnibus-pakket. Dit pakket brengt belangrijke veranderingen met zich mee voor de invoering van de CSRD (Corporate Sustainability Reporting Directive). Wat betekent dit in de praktijk? De hoofdpunten op een rij. 1. Alleen bedrijven met 1.000+ medewerkers Het Europese Parlement moet nog instemmen met de voorgestelde […]
© 2025 - Stolwijk Kennisnetwerk