030 73 70 836
Hulp op afstandServicedesk
IT-gemak
Adviesgesprek
01Home
Alle dienstenMicrosoft 365 Modern WorkNetwerkbeheer & WiFiVoIP met 3CXCloudmigratieICT Beveiliging & NIS2ICT voor een nieuw kantoorAll-in ICT-beheerVeilig met AI
03Over ons04Tarieven05Vacatures06Contact
Plan een adviesgesprek →030 73 70 836Hulp op afstandServicedesk
Beveiliging & NIS2

NIS2 voor het MKB: moet jij voldoen?

16 juni 2026 · 6 min lezen

NIS2 raakt veel meer MKB-bedrijven dan je denkt, vaak indirect via klanten en leveranciers. We leggen helder uit voor wie de wet geldt en hoe je de basis op orde brengt.

Max HoltropDoor Max Holtrop

NIS2 is een nieuwe Europese cyberbeveiligingswet, en veel ondernemers vragen zich af: is NIS2 voor het MKB verplicht? Het korte antwoord: voor sommige bedrijven direct, voor veel meer bedrijven indirect via hun klanten en opdrachtgevers. In dit artikel leggen we rustig uit wat NIS2 inhoudt, voor wie het geldt en hoe je als MKB-organisatie zonder eigen IT-afdeling de basis op orde brengt.

Wat is NIS2 eigenlijk?

NIS2 staat voor de tweede Network and Information Security Directive, een Europese richtlijn die de digitale weerbaarheid van bedrijven en organisaties moet vergroten. Het is de opvolger van de eerste NIS-richtlijn uit 2016. Het doel: kritieke sectoren en hun toeleveranciers beter beschermen tegen cyberaanvallen, omdat een storing of hack bij één partij grote gevolgen kan hebben voor de hele samenleving.

De richtlijn legt de lat hoger op drie punten:

  • Meer sectoren vallen eronder dan bij de oude NIS-wet.
  • Strengere eisen aan risicobeheer en beveiliging.
  • Persoonlijke verantwoordelijkheid van bestuurders.

Belangrijk om te weten: NIS2 is een richtlijn. Elk EU-land moet de regels in eigen nationale wetgeving vertalen. In Nederland gebeurt dat met de Cyberbeveiligingswet.

Voor wie geldt NIS2? Essentiële en belangrijke entiteiten

NIS2 verdeelt organisaties in twee categorieën, en het verschil zit vooral in het toezicht en de sancties.

Essentiële entiteiten

Dit zijn organisaties in sectoren die de samenleving draaiende houden. Denk aan:

  • Energie en water
  • Transport
  • Gezondheidszorg
  • Digitale infrastructuur (zoals datacenters en cloudproviders)
  • Bankwezen en financiële markten
  • Overheid

Op deze entiteiten staat het strengste toezicht, met controles vooraf en achteraf.

Belangrijke entiteiten

Dit is een bredere groep met sectoren die ook maatschappelijk relevant zijn, maar net iets minder kritiek. Bijvoorbeeld:

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Productie en verwerking van voedsel
  • Productie van bepaalde goederen (zoals medische apparatuur, elektronica, machines)
  • Digitale aanbieders (zoals online marktplaatsen en zoekmachines)
  • Chemie

Voor belangrijke entiteiten geldt vooral toezicht achteraf, dus na een incident of melding.

De omvangsdrempel

Of je bedrijf direct onder NIS2 valt, hangt ook af van de grootte. De richtlijn richt zich in de basis op middelgrote en grote organisaties: ongeveer vanaf 50 medewerkers of meer dan 10 miljoen euro omzet. Val je in een aangewezen sector én boven die drempel, dan is NIS2 voor jouw MKB-bedrijf direct verplicht.

Twijfel je in welke categorie je valt? Op onze pagina over NIS2-compliancy leggen we de stappen verder uit.

Waarom kleinere MKB-bedrijven er tóch mee te maken krijgen

Hier zit de kern voor veel ondernemers. Misschien denk je: "Wij hebben maar 25 medewerkers en zitten niet in zo'n sector, dus NIS2 raakt ons niet." Dat klopt vaak niet helemaal.

NIS2 verplicht grote en essentiële organisaties namelijk om ook de beveiliging van hun toeleveringsketen op orde te hebben. Dat betekent dat zij hun leveranciers, dienstverleners en partners onder de loep nemen. Lever jij producten of diensten aan een ziekenhuis, een energiebedrijf, een grote producent of de overheid? Dan kunnen zij van jou eisen dat jij je beveiliging aantoonbaar op orde hebt.

In de praktijk zie je dit terug in:

  • Aanvullende vragen of vragenlijsten bij aanbestedingen en offertes.
  • Beveiligingseisen die in contracten worden opgenomen.
  • Verzoeken om aan te tonen hoe je met datalekken en incidenten omgaat.

Zo word je als MKB-bedrijf indirect, via de keten, alsnog met NIS2 geconfronteerd. Wie hier op tijd op inspeelt, heeft een streepje voor bij grote opdrachtgevers. Wie het negeert, loopt het risico opdrachten mis te lopen.

De kern-verplichtingen van NIS2

Valt je organisatie direct of indirect onder NIS2, dan draait het om drie pijlers.

1. Risicobeheer en passende maatregelen

Je moet de digitale risico's voor je organisatie in kaart brengen en passende maatregelen nemen. Denk aan:

  • Een actueel beveiligingsbeleid en risicoanalyses
  • Toegangsbeheer en sterke authenticatie (zoals meervoudige verificatie)
  • Back-ups en een herstelplan na incidenten
  • Beveiliging van de toeleveringsketen
  • Bewustwording en training van medewerkers

De maatregelen moeten in verhouding staan tot de risico's. Een klein bedrijf hoeft niet hetzelfde te doen als een multinational, maar de basis moet kloppen.

2. Meldplicht bij incidenten

NIS2 kent een strikte meldplicht. Een significant beveiligingsincident moet je snel melden bij de toezichthouder, met een eerste melding binnen 24 uur en een uitgebreidere melding binnen 72 uur. Dat vraagt om afspraken vooraf: wie merkt een incident op, wie beoordeelt het en wie doet de melding?

3. Bestuurdersaansprakelijkheid

Dit is misschien wel de grootste verandering. Onder NIS2 zijn bestuurders persoonlijk verantwoordelijk voor het toezicht op de cyberbeveiliging. Het bestuur moet de maatregelen goedkeuren, erop toezien en zich laten bijscholen. Bij nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld, naast forse boetes voor de organisatie. Cybersecurity is daarmee definitief een directiekwestie, geen ICT-detail.

De stand van zaken in Nederland

In Nederland wordt NIS2 vertaald naar de Cyberbeveiligingswet. De Europese deadline voor invoering lag op 17 oktober 2024, maar Nederland heeft die termijn niet gehaald. Op het moment van schrijven is de wet nog in behandeling en wordt invoering in de loop van 2025 verwacht.

Wacht je daarom met actie? Dat is niet verstandig. De inhoudelijke eisen liggen grotendeels vast en grote opdrachtgevers stellen nu al beveiligingseisen aan hun keten. Bovendien kost het op orde brengen van je beveiliging tijd. Wie nu begint, voorkomt straks stress en haastwerk.

Wil je een concreet stappenplan? Lees dan ons eerdere artikel NIS2: zo bereid je je voor.

Korte zijstap: ISO 27001 versus NIS2

We krijgen vaak de vraag of ISO 27001 hetzelfde is als NIS2. Kort gezegd: ze overlappen, maar zijn niet identiek.

  • ISO 27001 is een internationale norm voor informatiebeveiliging waarvoor je je vrijwillig kunt laten certificeren. Het beschrijft hóé je beveiliging structureel organiseert met een managementsysteem.
  • NIS2 is een wettelijke verplichting die voorschrijft dát je passende maatregelen neemt, incidenten meldt en het bestuur verantwoordelijk maakt.

Het goede nieuws: wie al volgens ISO 27001 werkt, heeft een groot deel van de NIS2-maatregelen al ingeregeld. Andersom helpt het werken aan NIS2 je goed op weg richting een eventuele ISO-certificering. Ze versterken elkaar.

Geruststellend: de basis op orde brengen is goed te doen

NIS2 klinkt misschien zwaar, maar in de kern komt het neer op iets dat elk bedrijf zou moeten willen: je digitale omgeving netjes en veilig inrichten. Voor de meeste MKB-organisaties is dat heel goed haalbaar, zeker met de juiste hulp.

Bij IT-gemak helpen we MKB-bedrijven om die basis stap voor stap op orde te brengen:

  • Met onze ICT-beveiliging zorgen we voor passende technische en organisatorische maatregelen.
  • Met een security check brengen we in kaart waar je nu staat en wat er nog moet gebeuren.
  • Met all-in ICT-beheer nemen we het beheer en de bewaking uit handen, voor één vast tarief en met één vast team.

Zo voldoe je niet alleen aan de eisen, maar werk je ook prettiger en veiliger. Geen ingewikkelde trajecten, maar pragmatische stappen die passen bij jouw organisatie.

Aan de slag met NIS2?

Wil je weten of NIS2 voor jouw MKB-bedrijf verplicht is, direct of via je opdrachtgevers, en wat de slimste eerste stap is? We denken graag vrijblijvend met je mee, in gewone taal en zonder verplichtingen.

Plan een vrijblijvend adviesgesprek en ontdek hoe je de basis op orde brengt voordat je klanten of de wet erom vragen.

← Terug naar nieuws

Lees ook

Gerelateerde artikelen

20 mei 2026

NIS2 komt eraan: zo bereid je je nu al voor

De Nederlandse implementatie van NIS2 wordt in 2026 verwacht. Val je eronder, en wat kun je nu al doen? Een praktisch overzicht.

Lees verder
Vragen hierover?

Even sparren met een specialist?

Benieuwd wat dit voor jouw organisatie betekent? Plan een vrijblijvend adviesgesprek, we denken graag mee.

Plan een adviesgesprek →