NIS2 richtlijn: wat het voor uw MKB betekent
De NIS2-richtlijn is sinds eind 2024 van kracht en wordt in 2026 actief gehandhaafd in Nederland. Veel MKB-ondernemers denken dat dit alleen voor 'kritieke infrastructuur' geldt — maar het bereik is veel breder. Dit moet u weten.
Voor wie geldt NIS2?
NIS2 raakt 'essentiële' en 'belangrijke' entiteiten in 18 sectoren — veel breder dan de oude NIS-richtlijn. Belangrijke sectoren waar veel MKB onder valt:
- ICT-dienstverleners (managed service providers, hostingbedrijven, softwareleveranciers)
- Levensmiddelen en voedselverwerking
- Productie van chemicaliën, machines, voertuigen
- Post- en koeriersdiensten
- Afvalbeheer
- Onderzoeksorganisaties
- Digitale dienstverleners (onlineshops, marktplaatsen)
- Gezondheidszorg
Vanaf welke grootte?
NIS2 geldt vanaf 50 medewerkers of €10 miljoen omzet — onder die grens hoeft u niet te voldoen aan de strenge verplichtingen, behalve voor bepaalde kritieke sectoren waar het ongeacht omvang geldt. Werkt u met grote klanten? Zij eisen via supply chain-clausules vaak alsnog NIS2-naleving van u.
Wat moet u doen?
NIS2 vereist een risico-gebaseerde aanpak met minimaal:
- Risicoanalyse en beleid voor informatiebeveiliging
- Incident response en business continuity plannen
- Supply chain security (beoordeling van leveranciers)
- Beveiliging in ontwikkeling en onderhoud van systemen
- Beleid voor toegangsbeheer, MFA en cryptografie
- Bewustwordingstraining voor personeel
- Incident-melding aan de toezichthouder binnen 24 uur (eerste melding) en 72 uur (vervolg)
Aansprakelijkheid van bestuurders
Nieuw onder NIS2: bestuurders zijn persoonlijk aansprakelijk voor naleving. Boetes kunnen oplopen tot €10 miljoen of 2% van wereldwijde omzet. Voor essentiële entiteiten zelfs tot €10 miljoen of 2% — én de toezichthouder kan bestuurders tijdelijk verbieden hun functie uit te oefenen.
Begin nu, niet later
NIS2-naleving is geen project van een week. Het vereist beleid, processen, technische maatregelen en interne audits. Begin vandaag met een GAP-analyse: waar staat u, waar moet u zijn, wat is uw plan? Een goede IT-partner kan u door dit proces begeleiden.
NIS2 lijkt overweldigend, maar is met de juiste aanpak goed te managen. Wij helpen Nederlandse MKB-bedrijven met NIS2-readiness assessments en de implementatie van technische maatregelen. Meer over onze diensten op vanrosmalenautomatisering.nl.
Complete IT-beveiliging voor uw bedrijf
Van Rosmalen Automatisering helpt Nederlandse MKB-bedrijven met beheerde cybersecurity: MFA, EDR, backups, monitoring en 24/7 support. Bekijk onze complete dienstenportfolio.
Lees ook
AVG en ransomware: uw wettelijke verplichtingen op een rij
De Algemene Verordening Gegevensbescherming (AVG) raakt elk bedrijf dat met persoonsgegevens werkt. Bij een ransomware-aanval gelden specifieke verplichtingen. Dit moet u weten.
Lees meerIncident response plan: wat erin moet (sjabloon voor MKB)
Bij een aanval zoekt niemand naar een PDF met procedures. Een goed incident response plan bestaat uit korte, glasheldere stappen — en is van tevoren geoefend.
Lees meerSupply chain aanvallen: het risico van uw leveranciers
Uw beveiliging is zo sterk als de zwakste schakel in uw keten. Steeds vaker komen ransomware-aanvallen binnen via een gehackte leverancier of partner.
Lees meer