Verandering biedt kansen
Home / Blogs / NIS2 voor mkb: dit moet je nú weten (en doen)
De nieuwe NIS2-richtlijn verandert de spelregels voor cybersecurity in het mkb. Collega Chris van der Naald is niet alleen RA (Registeraccountant) maar ook CISA (Certified Information Systems Auditor). Een handige combinatie met het oog op de NIS2 voor mkb. Hij heeft voor je samengevat wat NIS2 inhoudt, hoe je weet of je eraan moet voldoen, wat de impact is op jouw bedrijfsvoering én wat je nú moet regelen om boetes, reputatieschade en juridische problemen te voorkomen. Concrete inzichten waar je direct mee aan de slag kunt.
Door Chris van der Naald, Audit Manager Controle
De NIS2 (Network and Information Systems Directive 2) is Europese wetgeving die de digitale weerbaarheid van organisaties moet verbeteren. In Nederland wordt de NIS2 geïmplementeerd in nationale wetgeving in de Cyberbeveiligingswet. Deze zal naar verwachting in het derde kwartaal van 2025 in werking treden.
Waar de oude versie alleen gold voor een beperkt aantal vitale bedrijven, geldt NIS2 voor mkb-organisaties in steeds meer sectoren, ook in Nederland. Valt jouw organisatie onder de NIS2-richtlijn, dan moet je:
Veel ondernemers denken dat NIS2 alleen geldt voor grote bedrijven, maar dat klopt niet. Concreet ben je NIS2-plichtig als je:
Essentiële entiteiten zijn actief in sectoren als energie, drinkwater, transport, gezondheidszorg, bankwezen of digitale infrastructuur. Bij deze bedrijven is NIS2-toezicht streng, actief en structureel. Ze vallen onder verplichte registratie en krijgen mogelijk periodieke audits.
Belangrijke entiteiten zitten in sectoren zoals voedselproductie, afvalverwerking, IT-dienstverlening, post- en koeriersdiensten, en bepaalde maakindustrieën. Zij hebben grotendeels dezelfde NIS2-verplichtingen, maar komen pas in beeld bij incidenten of klachten — het toezicht is dus reactief in plaats van proactief.
Een belangrijk verschil met eerdere regelgeving: onder NIS2 zijn bestuurders zélf verantwoordelijk voor de naleving. Je kunt dus niet zeggen ‘dat regelt de IT-afdeling wel’. Je wordt geacht als bestuur eigenaarschap te nemen, actief toezicht te houden op cybersecuritybeleid, zelf voldoende kennis te hebben of die in te huren en maatregelen te nemen die passen bij je risico’s.
De Nederlandse overheid heeft (nog) geen definitieve handhavingsstructuur gepubliceerd, maar de contouren zijn duidelijk. De handhaving van NIS2 wordt verdeeld over meerdere toezichthouders, afhankelijk van de sector waarin je actief bent. Deze toezichthouders mogen:
Nieuw voor veel bedrijven: je moet onder NIS2 voor mkb ook kunnen aantonen dat je je leveranciersrisico’s beheerst. Als jouw hostingpartij of IT-beveiliger bijvoorbeeld steken laat vallen, kun jij daar als organisatie op worden afgerekend. Dat betekent dat je in je contracten eisen moet stellen aan cyberveiligheid, dat je je ketenpartijen beoordeelt en waar nodig maatregelen treft.
Afgezien van boetes en persoonlijke aansprakelijkheid voor bestuurders kan het niet-naleven van NIS2-verplichtingen zorgen voor:
Niet-naleving die uitkomt door een incident (bijvoorbeeld een datalek of ransomware-aanval) leidt vaak tot publieke en zakelijke schade. Klanten, partners en investeerders verliezen vertrouwen.
Grote opdrachtgevers, overheden en ketenpartners stellen steeds vaker eisen aan digitale weerbaarheid. Geen NIS2-compliance = geen contract of aanbesteding.
Geen goed incidentresponseplan betekent: langere downtime, hogere kosten en grotere schade. Je staat juridisch en praktisch zwakker bij claims of aansprakelijkheid.
Als je niet kunt aantonen dat je compliant bént of ernaartoe werkt, loop je risico bij een controle.
Als je zelf niet voldoet, kunnen klanten of ketenpartners zich van je losmaken (of jou dwingen alsnog te voldoen).
Allereerst moet je weten of jouw organisatie onder de richtlijn valt. Daarvoor is een impactanalyse of quickscan de logische eerste stap. Als je inderdaad binnen de scope valt, dan moet je werk maken van je beveiliging, beleid en procedures:
Voer een uitgebreide risicoanalyse uit van je netwerken en informatiesystemen, maar ook van je leveranciers. Zo ontdek je waar de grootste kwetsbaarheden liggen en waar verbeteringen nodig zijn.
Zorg ervoor dat technische en organisatorische maatregelen de veiligheid van je systemen waarborgen. Dit kan bijvoorbeeld vragen om het bijwerken van je ‘incidentresponsplan’ of implementatie van geavanceerde beveiligingssoftware.
Dit is geen eenmalige actie. Een cultuur van cybersecurity awareness moet diep in je organisatie geworteld zijn. Dit betekent het formaliseren van beleid, inrichten van een meldstructuur voor incidenten, het regelmatig trainen van medewerkers, het regelmatig testen van systemen en het monitoren van potentiële dreigingen.
Zorg ervoor dat je alle nodige documentatie hebt over de maatregelen die je hebt getroffen en dat je snel kunt rapporteren bij incidenten.
NIS2 raakt veel meer dan IT. Het raakt je governance, je bedrijfsvoering, je rapportagestructuur – en dus ook jouw jaarcyclus en interne controles. Vanuit onze rol als accountant kunnen mijn collega’s en ik je helpen om grip te krijgen op je nieuwe verplichtingen. Zo kunnen we je bijvoorbeeld helpen met:
En als er technische expertise nodig is, kunnen we je in contact brengen met betrouwbare IT-partijen die weten hoe het reilt en zeilt in het mkb.
Zie NIS2 voor mkb niet alleen als verplichting, maar als kans. Heeft jouw organisatie cybersecurity goed geregeld? Dan win je makkelijker aanbestedingen, maak je een sterkere indruk op klanten en ben je sneller weer operationeel als er onverhoopt toch iets misgaat.
Ben je er niet zeker van of je onder de NIS2 valt? Wil je dat ik je help met een risicoanalyse? Of heb je bijvoorbeeld ondersteuning nodig bij het opstellen van documentatie? Bel of mail me. Mijn collega’s en ik helpen je graag.
Audit Manager Controle T +31 (0)314 369 111 E chrisvandernaald@stolwijkkelderman.nl
Actueel
Voorbereiding accountantscontrole: zonder stress richting de controle
De RI&E: zorg dat het méér wordt dan een verplicht nummer
Waarom zou je een interim HR-adviseur inschakelen?
Deel dit bericht
Nog niet uitgelezen?
Het podium vragen past niet bij Diana Aalderink, bestuurder en aandeelhouder van Stolwijk Kelderman (SK) en Stolwijk Kennisnetwerk (SKN). Sommige gelegenheden – zoals een 25-jarig werkjubileum – vragen volgens collega’s echter om welverdiende aandacht. Dus vierden we Diana’s jubileum op 27 maart 2025 met familie en alle collega’s in theater Amphion in Doetinchem. Inclusief een […]
De accountantscontrole komt er weer aan. Herken je dat gevoel van haast, stress en eindeloze lijstjes die je nog moet afwerken? Jan Jumelet wel. Hij studeerde Accountancy en werkte vervolgens 12 jaar aan bedrijfskant als controller. Nu hij sinds enige tijd bij ons nauw met onze accountants werkt, combineert hij al die kennis en ervaring. […]
Per 1 maart 2025 heeft Stolwijk Kelderman (SK) zich aangesloten bij MSI Global Alliance, een toonaangevend internationaal netwerk van onafhankelijke kantoren voor accountancy en fiscaal en juridisch advies. Fiscalist Jeffrey Kemperman en accountant Jos Klein Haneveld zijn nauw betrokken bij de internationale samenwerking. Beide zien de aansluiting als een sterke extra mogelijkheid om klanten op […]
Waar begin ik? Die vraag krijgen we met regelmaat van ondernemers die weten dat ze een Risico-Inventarisatie & Evaluatie (RI&E) moeten hebben, maar niet goed weten hoe ze dit praktisch aanpakken. Sommigen zien het als een verplichte checklist waar ze vooral “aan moeten voldoen.” Anderen zien het belang wel, maar weten niet hoe ze zorgen […]
HR-specialist Anneke werkte tot eind vorig jaar als HR-businesspartner aan werkgeverszijde. Nu gaat ze bij ons haar kennis en ervaring voor tal van werkgevers inzetten als interim HR-adviseur. Anneke vertelt hoe dat in de praktijk werkt en wat de voordelen zijn voor ondernemers en werkgevers. Door Anneke van Huët, HR-consultant Waarvoor kunnen werkgevers jou inschakelen? […]
© 2025 - Stolwijk Kennisnetwerk