>pixel.management
EN
nis2cybersecuritycompliancemkb

NIS2-richtlijn: wat moet je als MKB-bedrijf regelen?

10 april 20267 min lezenPixel Management

Dit artikel is ook beschikbaar in het Engels

De NIS2-richtlijn verplicht MKB-bedrijven in toeleveringsketens van essentiële en belangrijke sectoren om strikte cybersecuritymaatregelen te nemen — op straffe van boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Ben je toeleverancier van een energiebedrijf, zorginstelling of transportbedrijf? Dan gelden er vanaf nu concrete beveiligingseisen voor jouw organisatie.

Dit artikel legt uit wat NIS2 precies inhoudt, of het op jouw bedrijf van toepassing is, en welke stappen je moet nemen. Geen juridische wolligheid — concrete actiepunten die je direct kunt oppakken. Heb je al een basis gelegd met de AI-wetgeving en EU AI Act? Dan is NIS2 het volgende stuk van de compliance-puzzel.

Wat is NIS2 en wie valt eronder?

NIS2 (officieel: Richtlijn (EU) 2022/2555) is de opvolger van de eerste EU-richtlijn voor netwerk- en informatiebeveiliging uit 2016. Waar NIS1 zich beperkte tot een klein aantal kritieke sectoren, trekt NIS2 de cirkel veel breder. Het doel: de cybersecurity van heel Europa structureel verhogen.

De richtlijn deelt organisaties in twee categorieën:

Essentiële entiteiten — organisaties in sectoren die onmisbaar zijn voor de samenleving:

  • Energie (elektriciteit, olie, gas, warmte)
  • Transport (luchtvaart, spoor, water, weg)
  • Gezondheidszorg (ziekenhuizen, laboratoria, farmaceuten)
  • Drinkwater en afvalwater
  • Digitale infrastructuur (DNS, datacenters, cloud providers)
  • Bankwezen en financiële marktinfrastructuur
  • Overheidsdiensten

Belangrijke entiteiten — organisaties in sectoren die significant zijn voor de economie:

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Voedselproductie en -distributie
  • Productie (chemie, medische apparatuur, elektronica, machines)
  • Digitale dienstverleners (zoekmachines, sociale netwerken, online marktplaatsen)
  • Onderzoeksorganisaties

De toeleveringsketen: waarom NIS2 ook jou raakt

Hier wordt het relevant voor het MKB. NIS2 verplicht essentiële en belangrijke entiteiten om de cybersecurity van hun volledige toeleveringsketen te beoordelen en te waarborgen. Dat betekent: als jij diensten levert aan een organisatie die onder NIS2 valt, zal die organisatie eisen stellen aan jouw beveiliging.

De standaard drempelwaarden zijn 50 of meer werknemers of een jaaromzet boven 10 miljoen euro. Maar — en dit is cruciaal — de toeleveringsketenverplichtingen kennen geen ondergrens. Een softwarebedrijf met 8 medewerkers dat een applicatie levert aan een ziekenhuis, valt via die keten onder NIS2-eisen.

Valt NIS2 op jouw bedrijf? Zelfcheck

Loop deze drie stappen door om te bepalen of NIS2 op jouw organisatie van toepassing is:

Stap 1 — Sectorcheck: Valt je bedrijf in een van de hierboven genoemde sectoren? Zo ja, ga naar stap 2. Zo nee, ga naar stap 3.

Stap 2 — Omvangcheck: Heb je 50 of meer werknemers, of is je jaaromzet hoger dan 10 miljoen euro? Dan val je direct onder NIS2.

Stap 3 — Toeleveringscheck: Lever je producten of diensten aan organisaties die wel onder NIS2 vallen? Denk aan:

  • Je bent IT-dienstverlener voor een energiebedrijf
  • Je levert logistieke diensten aan een farmaceut
  • Je bouwt software voor een overheidsinstantie
  • Je verzorgt schoonmaak of facilitair beheer voor een ziekenhuis
  • Je bent hostingprovider voor een financiële instelling

Als je op stap 3 "ja" antwoordt, is de kans groot dat je klanten NIS2-eisen aan jou gaan stellen — ook als je zelf onder de drempelwaarden blijft. Het is niet de vraag of dat gebeurt, maar wanneer.

De tien kernverplichtingen van NIS2

NIS2 schrijft tien gebieden voor waarop organisaties maatregelen moeten treffen. Dit geldt direct voor essentiële en belangrijke entiteiten, en indirect via contractuele eisen voor toeleveranciers.

Verplichting 1 — Risicoanalyse en beveiligingsbeleid. Je moet een actueel overzicht hebben van de risico's voor je netwerk- en informatiesystemen, plus een beleid dat beschrijft hoe je die risico's beheert.

Verplichting 2 — Incidentafhandeling en -melding. Beveiligingsincidenten moeten worden afgehandeld volgens een vastgelegd proces. Bij een significant incident geldt een meldplicht: binnen 24 uur een eerste melding bij het CSIRT, binnen 72 uur een volledig rapport.

Verplichting 3 — Bedrijfscontinuïteit en crisisbeheer. Je moet een plan hebben voor hoe je doorwerkt bij een cyberincident. Denk aan back-ups, uitwijkscenario's en herstelplannen.

Verplichting 4 — Beveiliging van de toeleveringsketen. Je moet de cybersecurityrisico's van je eigen leveranciers en dienstverleners beoordelen. Lees ook onze checklist voor AI-compliance, die overlap heeft met deze verplichting.

Verplichting 5 — Beveiliging bij acquisitie en ontwikkeling van systemen. Nieuwe systemen moeten veilig worden ontwikkeld en aangeschaft. Security by design, niet als bijzaak achteraf.

Verplichting 6 — Effectiviteitsbeoordeling. Je moet periodiek toetsen of je beveiligingsmaatregelen daadwerkelijk werken. Denk aan penetratietests, audits en security reviews.

Verplichting 7 — Cyberhygiëne en training. Alle medewerkers moeten worden getraind in cybersecurity-bewustzijn. Phishing-simulaties, wachtwoordbeleid en veilig werken op afstand horen hierbij.

Verplichting 8 — Cryptografie en versleuteling. Je moet beleid hebben voor wanneer en hoe je encryptie toepast — bij opslag, transport en verwerking van gegevens.

Verplichting 9 — Personeelsbeveiliging en toegangscontrole. Wie heeft toegang tot welke systemen en data? Dat moet zijn vastgelegd, beperkt tot het noodzakelijke, en regelmatig worden gecontroleerd.

Verplichting 10 — Multifactorauthenticatie en beveiligde communicatie. MFA is niet optioneel onder NIS2. Voor alle kritieke systemen en beheeraccounts is multifactorauthenticatie verplicht. Onze website-beveiligingschecklist behandelt een aantal van deze maatregelen specifiek voor webomgevingen.

Boetes en bestuurdersaansprakelijkheid

NIS2 voorziet in stevige handhaving. De boetestructuur verschilt per categorie:

CategorieMaximale boeteOf percentage omzet
Essentiële entiteiten10 miljoen euro2% van de wereldwijde jaaromzet
Belangrijke entiteiten7 miljoen euro1,4% van de wereldwijde jaaromzet

Bestuurders zijn persoonlijk aansprakelijk onder NIS2. Directeuren en managers kunnen persoonlijk verantwoordelijk worden gehouden als hun organisatie niet voldoet aan de verplichtingen en er een incident plaatsvindt. Dit gaat verder dan de meeste bestaande cybersecurityregelgeving.

De persoonlijke aansprakelijkheid is bewust opgenomen om te voorkomen dat cybersecurity wordt afgeschoven op de IT-afdeling. NIS2 maakt het een bestuurstaak. Vergelijk dat met de risico's en aansprakelijkheid bij AI — ook daar verschuift de verantwoordelijkheid steeds meer naar het management.

Praktisch stappenplan: acht stappen naar NIS2-compliance

Stap 1: Gap-analyse

Breng in kaart waar je nu staat ten opzichte van de tien NIS2-verplichtingen. Scoor elke verplichting op een schaal van 1 (niets geregeld) tot 5 (volledig compliant). Dit geeft je een helder beeld van de achterstand.

Stap 2: Asset-inventarisatie

Maak een compleet overzicht van alle netwerk- en informatiesystemen, inclusief hardware, software, cloudservices en dataopslaglocaties. Je kunt niet beschermen wat je niet kent. Dit sluit aan bij de asset-inventarisatie die je ook nodig hebt voor AI-databeveiliging.

Stap 3: Risicobeoordeling

Voer een formele risicobeoordeling uit voor elk geïnventariseerd systeem. Welke dreigingen bestaan er? Wat is de impact als het systeem wordt gecompromitteerd? Hoe waarschijnlijk is elk scenario?

Stap 4: Beveiligingsbeleid opstellen

Schrijf of actualiseer je beveiligingsbeleid op basis van de risicobeoordeling. Zorg dat het beleid de tien NIS2-verplichtingen afdekt, verantwoordelijkheden toewijst en meetbare doelstellingen bevat.

Stap 5: Incidentresponsplan

Stel een incidentresponsplan op dat de NIS2-meldtermijnen haalt: 24 uur voor de eerste melding, 72 uur voor het volledige rapport. Oefen het plan minimaal tweemaal per jaar.

Stap 6: Toeleveringsketenbeoordeling

Beoordeel de cybersecurity van je eigen leveranciers. Stel minimale beveiligingseisen op en neem ze op in contracten. Vraag leveranciers om certificeringen (ISO 27001, SOC 2) of een zelfbeoordeling.

Stap 7: Trainingsprogramma

Zet een structureel trainingsprogramma op voor alle medewerkers. Niet een eenmalige presentatie, maar doorlopende bewustwordingsactiviteiten: phishing-simulaties, beveiligingsupdates, en rolspecifieke training voor IT-personeel.

Stap 8: Documentatie en auditvoorbereiding

Documenteer alles. Beleid, procedures, risicobeoordelingen, incidentlogs, trainingsregistraties — het moet allemaal aantoonbaar zijn. Bereid je voor op toezichthouders die deze documentatie kunnen opvragen.

Nederlandse context: wie handhaaft NIS2?

NIS2 is een EU-richtlijn die door elke lidstaat in nationale wetgeving moet worden omgezet. In Nederland is dat gebeurd via de Wet beveiliging netwerk- en informatiesystemen (Wbni), die in oktober 2024 in werking is getreden.

De handhaving is verdeeld over meerdere toezichthouders, afhankelijk van de sector:

  • NCSC (Nationaal Cyber Security Centrum) — coördineert, adviseert en is het nationale CSIRT
  • ACM (Autoriteit Consument en Markt) — toezicht op digitale dienstverleners en telecom
  • DNB (De Nederlandsche Bank) — toezicht op financiële sector
  • AFM (Autoriteit Financiële Markten) — toezicht op financiële marktinfrastructuur
  • Agentschap Telecom — toezicht op digitale infrastructuur
  • IGJ (Inspectie Gezondheidszorg en Jeugd) — toezicht op zorgsector

Voor MKB-bedrijven in de toeleveringsketen geldt in de praktijk: je eigen klant is je eerste "toezichthouder." Essentiële en belangrijke entiteiten gaan contractueel eisen stellen, en niet-naleving betekent verlies van contracten — nog voordat een officiële toezichthouder zich meldt.

Heb je vragen over hoe de EU AI Act zich verhoudt tot NIS2? Beide regelgevingen lopen parallel en versterken elkaar. Compliance met de ene helpt bij de andere.

Hoe AI helpt bij NIS2-compliance

AI is niet alleen iets dat gereguleerd wordt — het is ook een krachtig hulpmiddel om aan die regulering te voldoen. Juist bij NIS2, waar continue monitoring en snelle respons centraal staan, biedt AI concrete voordelen:

Geautomatiseerde dreigingsmonitoring. AI-systemen analyseren netwerkverkeer 24/7 en detecteren afwijkingen die menselijke analisten missen. Een plotselinge piek in uitgaand dataverkeer om 3 uur 's nachts? AI slaat direct alarm.

Snellere incidentrespons. NIS2 eist een eerste melding binnen 24 uur. AI-gestuurde detectie verkort de gemiddelde detectietijd van dagen naar minuten. Dat geeft je meer tijd voor analyse en rapportage.

Geautomatiseerde compliancedocumentatie. Een van de grootste tijdvreters bij NIS2 is documentatie. AI kan logbestanden, configuraties en beveiligingsscans automatisch omzetten in compliancerapporten. Lees meer over AI en databeveiliging voor specifieke implementatieadvies.

Continue kwetsbaarheidsscanning. AI-tools scannen je systemen doorlopend op bekende kwetsbaarheden en configuratiefouten, in plaats van alleen bij periodieke audits.

Bespaar 10 uur per week op handmatige compliance-documentatie en security-monitoring

Ontdek hoe

Kosten voor het MKB

NIS2-compliance is een investering. De omvang hangt af van je huidige beveiligingsniveau:

Eenmalige compliance-kosten:

  • Kleine MKB-bedrijven met beperkte IT: €5.000 – €10.000 (gap-analyse, basisbeleid, training)
  • Middelgrote bedrijven met complexere IT: €10.000 – €25.000 (formele risicobeoordeling, technische maatregelen, externe audit)
  • Bedrijven zonder bestaand beveiligingsbeleid: richting de bovenkant van deze range

Doorlopende kosten:

  • Monitoring en vulnerability scanning: €500 – €1.000/maand
  • Training en bewustwordingsprogramma: €200 – €500/maand
  • Periodieke audits en penetratietests: €2.000 – €5.000/jaar

De rekensom is simpel: zelfs de bovenkant van het compliance-budget (€25.000 eenmalig plus €2.000/maand doorlopend) is een fractie van een NIS2-boete die kan oplopen tot 10 miljoen euro. Bovendien voorkom je bedrijfsschade door cyberincidenten — de gemiddelde schade van een datalek bij het MKB bedraagt €42.000.

Meer weten over AI advies?

Bekijk dienst

Volgende stap

NIS2 is geen optionele verbetering — het is een wettelijke verplichting die nu geldt. De bedrijven die het snelst bewegen, hebben een dubbel voordeel: ze vermijden boetes én ze onderscheiden zich als betrouwbare partner in de keten.

Begin met de gap-analyse uit stap 1. Breng je huidige situatie in kaart, prioriteer de grootste risico's en pak de quick wins eerst aan. MFA instellen, een incidentresponsplan schrijven en je medewerkers trainen — dat zijn stappen die je deze maand kunt zetten.

Wil je weten waar je bedrijf staat op het gebied van cybersecurity en AI-compliance? Onze AI-adviesspecialisten combineren security-expertise met bedrijfsautomatisering om je compliance-traject te versnellen. Bekijk ook onze uitgebreide AI compliance checklist voor de volledige set aan actiepunten rondom AI-regelgeving.

Meer weten over bedrijfsautomatisering?

Bekijk dienst
Terug naar blog

Gerelateerde artikelen

ai-wetgevingeu-ai-actcompliance

AI Wetgeving Nederland: Wat de EU AI Act Betekent voor Jouw Bedrijf

Alles over de EU AI Act en AI wetgeving in Nederland. Ontdek welke regels gelden voor jouw AI-toepassingen en hoe je je bedrijf compliant maakt.

5 maart 202614 minUitgebreid
ai-actcomplianceregelgeving

EU AI Act augustus 2026: wat moet je nú regelen?

Op 2 augustus 2026 wordt de EU AI Act volledig gehandhaafd. Maand-voor-maand actieplan, risicoclassificatie en boetestructuur voor het MKB.

1 april 20269 minUitgebreid
ai-actcomplianceregelgeving

AI Act Deadline 2026: Checklist voor Bedrijven

Op 2 augustus 2026 gaat de EU AI Act volledig in. Gebruik deze checklist om je bedrijf compliant te maken en boetes tot €35 miljoen te voorkomen.

16 maart 20267 min

Benieuwd hoeveel tijd jij kunt besparen?

Vraag een gratis automatiseringsscan aan. Wij analyseren je processen en laten zien waar de winst zit — vrijblijvend.

Start Gratis Scan