010 52 49 133 info@process2it.nl

Wat is de NIS2-richtlijn en wat betekent die voor mkb-bedrijven?

Microsoft breekt Windows 10 → 11 upgrade actie voor MKB
De NIS2-richtlijn (Network and Information Security Directive 2) is Europese wetgeving die organisaties verplicht hun digitale weerbaarheid te versterken.
Waar de eerste NIS-richtlijn uit 2016 zich vooral richtte op vitale infrastructuren, breidt NIS2 de scope aanzienlijk uit.
Ook veel mkb-bedrijven – zeker die IT-diensten leveren of onderdeel zijn van een keten – krijgen hiermee te maken.

Achtergrond en doel van NIS2

De Europese Unie wil met NIS2 het digitale landschap veiliger maken door minimumstandaarden vast te leggen voor cybersecurity.
De richtlijn is op 16 januari 2023 in werking getreden en moet uiterlijk op 17 oktober 2024 in nationale wetgeving zijn omgezet.
In Nederland gebeurt dit via de Wet beveiliging netwerk- en informatiesystemen (Wbni).

Doel van NIS2 is het verkleinen van risico’s op cyberaanvallen en het waarborgen van continuïteit van essentiële diensten.
Daarbij wordt nadruk gelegd op verantwoordelijkheid van bestuurders en samenwerking binnen de keten.

Wie valt eronder?

NIS2 maakt onderscheid tussen essentiële en belangrijke entiteiten.

  • Essentiële entiteiten: energie, transport, gezondheidszorg, drinkwater, overheid, digitale infrastructuur.
  • Belangrijke entiteiten: ICT-dienstverleners, cloudproviders, datacenters, producenten van hardware/software, post- en afvalverwerking.

Mkb-bedrijven vallen meestal in de tweede categorie, vooral als ze IT-diensten leveren aan klanten in vitale sectoren of als schakel functioneren binnen een toeleveringsketen.

Verplichtingen voor organisaties

Bedrijven die onder NIS2 vallen moeten voldoen aan een set van zorgplichten en rapportageverplichtingen.

  • Invoeren van risicobeheermaatregelen op basis van beleid en periodieke evaluatie.
  • Toepassen van technische en organisatorische beveiliging (MFA, patchbeheer, back-ups, incidentrespons).
  • Direct melden van ernstige incidenten binnen 24 uur aan de toezichthouder (in NL: NCSC of toezichthoudende autoriteit).
  • Aantoonbaar bewustzijn en verantwoordelijkheid bij het bestuur.
  • Documentatie van beveiligingsbeleid, processen en leveranciersafspraken.

Ketenverantwoordelijkheid en leveranciers

Een belangrijk nieuw element in NIS2 is de ketenverantwoordelijkheid.
Organisaties blijven mede verantwoordelijk voor de beveiliging van hun leveranciers en dienstverleners.
Dat betekent dat een mkb-onderneming die IT-ondersteuning biedt aan grotere klanten ook zelf moet voldoen aan vergelijkbare beveiligingsstandaarden.

In de praktijk betekent dit dat leveranciers:

  • Minimale beveiligingseisen opnemen in contracten.
  • Regelmatig risico-evaluaties uitvoeren van hun diensten.
  • Transparant rapporteren over incidenten en kwetsbaarheden.

Boetes en toezicht

Lidstaten mogen forse sancties opleggen bij niet-naleving.
De maximale boete kan oplopen tot € 10 miljoen of 2 % van de wereldwijde jaaromzet, afhankelijk van wat hoger is.
Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld bij grove nalatigheid.

In Nederland wordt het toezicht naar verwachting uitgevoerd door het Nationaal Cyber Security Centrum (NCSC) en de Autoriteit Persoonsgegevens (AP), afhankelijk van de sector.

Voorbereidingsstappen voor mkb-bedrijven

Ook als jouw bedrijf (nog) niet rechtstreeks onder NIS2 valt, is voorbereiding verstandig.
Veel grotere klanten zullen hun leveranciers toetsen op compliance.

  1. Maak een overzicht van alle gebruikte IT-systemen en datastromen.
  2. Beoordeel de huidige beveiligingsmaatregelen en incidentrespons.
  3. Stel een securitybeleid en back-upplan op.
  4. Voer MFA en patchbeheer in via Microsoft 365 of Intune.
  5. Train medewerkers in cyberbewustzijn en phishingherkenning.
  6. Leg afspraken met leveranciers vast in contracten of SLA’s.

Process 2 IT ondersteunt organisaties bij het inrichten van beleid, technische maatregelen en awareness-trainingen om te voldoen aan de eisen van NIS2.

Veelgestelde vragen over NIS2

  • Geldt NIS2 ook voor kleine bedrijven?
    Ja, indirect wel. NIS2 is formeel gericht op middelgrote en grote organisaties,
    maar kleinere bedrijven die diensten leveren aan vitale sectoren of als IT-leverancier optreden vallen vaak onder de ketenverantwoordelijkheid.
  • Welke sectoren vallen onder NIS2?
    De richtlijn onderscheidt essentiële entiteiten (zoals energie, transport, gezondheidszorg en overheid) en belangrijke entiteiten (zoals cloudproviders, datacenters en ICT-dienstverleners).
  • Wat zijn de boetes bij niet-naleving?
    Sancties kunnen oplopen tot € 10 miljoen of 2 % van de wereldwijde jaaromzet. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid.
  • Hoe verschilt NIS2 van de AVG?
    De AVG focust op privacy en persoonsgegevens, terwijl NIS2 gericht is op de continuïteit en beveiliging van IT-systemen. Beide wetten overlappen: een datalek is zowel een AVG-schending als een NIS2-incident.

Samenvatting

De NIS2-richtlijn brengt een nieuwe standaard voor digitale veiligheid in Europa.
Ook mkb-bedrijven krijgen hiermee te maken – direct of via hun klanten.
Door tijdig beleid, technische beveiliging en bewustwording op orde te brengen,
kan je organisatie niet alleen voldoen aan de wet, maar ook aantonen dat veiligheid onderdeel is van professioneel ondernemerschap.

In dit artikel gaan we vooral in op de wet- en kaders. Wilt u weten wat u praktisch nu al kunt regelen? Lees dan ook ons artikel NIS2 uitgesteld, maar niet vrijblijvend.