NIS2 uitgesteld, maar niet vrijblijvend | Wat mkb nu al moet regelen

NIS2 uitgesteld, maar niet vrijblijvend: wat mkb-bedrijven nu al moeten regelen

1. NIS2: waar staan we nu?
2. Raakt NIS2 mijn mkb-bedrijf wel?
3. Wat gaan klanten en ketenpartners verwachten?
4. Vijf dingen die u nu al kunt regelen
5. De rol van Process 2 IT: van basismaatregelen tot roadmap
6. Veelgestelde vragen over NIS2 en het mkb
7. Samen kijken of u klaar bent voor NIS2

De Europese NIS2-richtlijn moet bedrijven beter beschermen tegen cyberdreigingen. De Nederlandse wet die NIS2 gaat omzetten – de Cyberbeveiligingswet – is uitgesteld, maar dat betekent niet dat u als mkb-ondernemer rustig achterover kunt leunen. In dit artikel leggen we uit waar we nu staan, waarom NIS2 óók relevant is voor kleinere organisaties en welke praktische stappen u nu al kunt zetten.

1. NIS2: waar staan we nu?

De NIS2-richtlijn is een Europese wet die de digitale weerbaarheid van bedrijven en overheden moet verhogen. Landen in de EU moeten NIS2 omzetten naar nationale wetgeving. In Nederland gebeurt dat via de Cyberbeveiligingswet (Cbw).

De richtlijn zelf is al in werking, maar de daadwerkelijke Nederlandse wet loopt vertraging op. Verwachting is dat de Cyberbeveiligingswet rond 2026 gaat gelden. Dat geeft bedrijven extra tijd, maar géén vrijbrief om niets te doen. :contentReference[oaicite:1]{index=1}

Belangrijk om te weten:

NIS2 richt zich op essentiële en belangrijke entiteiten in bepaalde sectoren (bijvoorbeeld energie, zorg, vervoer, digitale infrastructuur, maar ook ICT-dienstverleners). :contentReference[oaicite:2]{index=2}
Deze organisaties krijgen een zorgplicht: zij moeten aantoonbaar passende maatregelen nemen op het gebied van cybersecurity.
Er komen registratie-, meld- en documentatieplichten bij, én er worden sancties mogelijk bij onvoldoende beveiliging.

Ook al valt u als mkb-bedrijf misschien niet direct onder NIS2, u kunt er toch mee te maken krijgen via uw klanten of keten.

2. Raakt NIS2 mijn mkb-bedrijf wel?

Veel mkb-ondernemers denken: “Wij zijn te klein voor dit soort wetgeving.” Dat is deels begrijpelijk, maar niet helemaal terecht.

NIS2 werkt grofweg op drie manieren door naar het mkb:

2.1 U valt zelf onder NIS2

Bijvoorbeeld als u in een sector valt die als essentieel of belangrijk wordt aangemerkt (denk aan bepaalde zorg-, logistiek-, productie- of digitale diensten) en een bepaalde omvang heeft. :contentReference[oaicite:3]{index=3}
Of als u onder de noemer “beheer van ICT-diensten” valt in kritieke ketens.

2.2 U bent toeleverancier van een NIS2-organisatie

U levert IT-diensten, software, hosting, support of andere kritieke diensten aan klanten die wél onder NIS2 vallen.
Die klanten zullen eisen stellen aan uw beveiligingsniveau, documentatie en incidentmeldingen.

2.3 U wordt indirect geraakt via marktverwachtingen

Ook organisaties buiten de formele NIS2-scope nemen NIS2 vaak als referentie voor hun beveiligingseisen.
Steeds meer aanbestedingen en grote klanten vragen naar risicobeoordelingen, beleid en basismaatregelen.

Met andere woorden: misschien wordt u niet rechtstreeks aangesproken door de toezichthouder, maar wél door uw klanten, partners en verzekeraar.

3. Wat gaan klanten en ketenpartners verwachten?

Naarmate NIS2 concreter wordt, gaan grotere organisaties kritischer kijken naar de cybersecurity in hun keten. Dat betekent dat u als leverancier of dienstverlener vaker vragen kunt verwachten als:

Hebben jullie MFA (multifactorauthenticatie) op alle kritieke accounts?
Hoe zijn back-ups geregeld, en testen jullie ook herstel?
Zijn werkplekken en servers up-to-date en gepatcht?
Is er een incidentresponsproces en een contactpersoon bij calamiteiten?
Hoe gaan jullie om met toegang van derden en leveranciers?

Vooral IT-dienstverleners, softwareleveranciers en hostingpartijen gaan dit merken. Zij worden steeds vaker gezien als “kritieke schakel” in de keten.

Hier ligt ook een kans: wie zijn beveiliging goed op orde heeft en dit kan laten zien, staat sterker in gesprekken met klanten en auditors.

4. Vijf dingen die u nu al kunt regelen

Het goede nieuws: veel maatregelen die in de geest van NIS2 worden verwacht, zijn gewoon goed basisniveau cybersecurity. Daar kunt u vandaag al mee beginnen, los van de exacte wetsdatum.

4.1 Breng uw digitale omgeving in kaart

Welke systemen, applicaties en cloudoplossingen gebruikt u?
Waar staan uw data (lokaal, in de cloud, bij leveranciers)?
Wie heeft toegang tot welke systemen en data?

Zonder overzicht is het onmogelijk om risico’s goed in te schatten.

4.2 Zorg dat de basis op orde is

Een aantal maatregelen is in vrijwel elke NIS2-publicatie terug te vinden als minimum:

Patchbeleid – werkplekken, servers, netwerkapparatuur en software krijgen structureel updates.
MFA – meerfactorauthenticatie op e-mail, beheerdersaccounts en kritieke systemen.
Endpointbeveiliging – moderne antivirus/EDR-oplossing op alle werkplekken en servers.
Back-up – meerdere versies, offline of immutabel, met periodieke test van herstel.

4.3 Leg afspraken en verantwoordelijkheden vast

Wie is intern verantwoordelijk voor cybersecurity (ook als dat “gewoon” de directie is)?
Welke rol heeft uw IT-partner en wat ligt bij u?
Hoe en wanneer worden incidenten gemeld en opgevolgd?

Dit hoeft geen boekwerk te zijn, maar wel duidelijk en vindbaar.

4.4 Kijk naar uw leveranciers en keten

Welke kritieke diensten besteedt u uit (IT, hosting, software, telefonie, logistiek)?
Welke beveiligingsafspraken zijn er vastgelegd in contracten of verwerkersovereenkomsten?
Ontvangt u meldingen als er aan hun kant iets misgaat?

Veel NIS2-risico’s zitten in de keten. Het is logisch om daar nu al met uw belangrijkste leveranciers over in gesprek te gaan.

4.5. Oefen wat u doet bij een incident

Weet u wat u doet bij ransomware of een groot datalek?
Wie belt u als eerste: IT-partner, verzekeraar, toezichthouder, klant?
Is duidelijk welke systemen als eerste weer online moeten?

Een korte scenario-oefening levert vaak meer inzicht op dan nog een extra rapport.

5. De rol van Process 2 IT: van basismaatregelen tot roadmap

Process 2 IT werkt als externe IT- en securitypartner voor mkb-organisaties in Zuid-Holland en Noord-Brabant. Rond NIS2 en de Cyberbeveiligingswet helpen we u niet met juridische details, maar met de praktische IT- en securitymaatregelen die u écht verder brengen.

5.1 Basis op orde brengen: techniek en beheer

We zorgen dat werkplekken, servers en netwerk up-to-date, gepatcht en beheerd zijn via onze dienst Beheer & IT-support.
We richten MFA, endpointbeveiliging, back-ups en monitoring in op een niveau dat past bij uw organisatie (Cybersecurity voor het mkb).
We kijken naar uw leveranciers en cloudoplossingen: hoe sluit hun beveiliging aan op die van u?

5.2 NIS2 vertalen naar uw situatie

We kijken samen of u zelf onder NIS2 kunt vallen, of vooral in beeld komt als toeleverancier of ICT-dienstverlener.
We brengen in kaart welke klanten, ketens en processen voor u kritisch zijn.
We vertalen de verwachtingen rond NIS2 naar een concreet stappenplan voor uw organisatie: wat moet nu, wat kan later?
We koppelen dit aan uw bredere IT-roadmap en planning, zodat NIS2 geen los project wordt, maar onderdeel van uw strategie.

5.3 Documentatie, afspraken en periodiek overleg

We helpen u de belangrijkste afspraken, procedures en maatregelen kort en duidelijk vast te leggen.
We zorgen dat u richting klanten, auditors en verzekeraars kunt laten zien wat u doet aan cybersecurity.
In periodiek overleg (bijvoorbeeld per kwartaal) bekijken we wat er veranderd is in uw organisatie, in de dreigingen en in de wet- en regelgeving.

Zo wordt NIS2 geen los vinklijstje, maar een logische volgende stap in het volwassen maken van uw digitale beveiliging.

6. Veelgestelde vragen over NIS2 en het mkb

Valt mijn mkb-bedrijf zelf onder NIS2?

Dat hangt af van uw sector, omvang en rol in de keten. De richtlijn richt zich primair op essentiële en belangrijke entiteiten, maar in de praktijk krijgen ook toeleveranciers met eisen te maken. Twijfelt u? Dan is het verstandig dit samen met uw IT-partner te beoordelen in plaats van zelf te gokken.

Moet ik wachten tot de Cyberbeveiligingswet definitief is?

Nee. Het uitstel geeft alleen wat meer tijd om u voor te bereiden. De maatregelen die in de geest van NIS2 worden verwacht – zoals goed patchbeleid, MFA, back-ups, monitoring en heldere afspraken – zijn nu ook al verstandig en vaak nodig om aan klant- en verzekeringseisen te voldoen.

Is NIS2 alleen relevant voor grote organisaties?

Formeel richt NIS2 zich op grotere organisaties in bepaalde sectoren, maar in de praktijk werkt het door de hele keten heen. Ook kleinere mkb-bedrijven krijgen te maken met strengere eisen van klanten, auditors en verzekeraars. Wie nu al werk maakt van basisbeveiliging en inzicht in risico’s, komt straks niet voor verrassingen te staan.

7. Samen kijken of u klaar bent voor NIS2

Weet u niet goed of NIS2 voor uw organisatie relevant is, of heeft u het gevoel dat uw beveiliging “wel beter kan”, maar ontbreekt een duidelijk plan? Dan is dit een goed moment om uw situatie samen door te nemen.

Bel ons op 010-52 49 133 voor een kort, vrijblijvend gesprek. Samen brengen we in kaart welke risico’s u loopt, welke eisen klanten en ketenpartners waarschijnlijk gaan stellen en welke stappen u nu al kunt zetten om klaar te zijn voor NIS2.

Maandag	9:00 – 17:00
Dinsdag	9:00 – 17:00
Woensdag	9:00 – 17:00
Donderdag	9:00 – 17:00
Vrijdag	9:00 – 17:00

BTW	NL817790512B01
K.v.K.	24412477
Bank	ING Rotterdam
IBAN	NL95INGB 0003286416
BIC	INGBNL2A

Telefoon	010 52 49 133
Support	Aanvraag
E-Mail	info@process2it.nl
AV	Algemene-Voorwaarden
IV	Inkoop-Voorwaarden