Inleiding: waarom NIS2 iedereen raakt (ook het mkb)

De NIS2-richtlijn is de Europese opvolger van de oorspronkelijke NIS-richtlijn en heeft als doel de digitale weerbaarheid van lidstaten flink te verhogen. Waar de eerste versie relatief beperkt was, wordt de scope met NIS2 aanzienlijk uitgebreid. Steeds meer organisaties vallen (direct of indirect) onder strengere eisen voor cybersecurity, risicobeheer en incidentmelding.

Ook als je zelf geen “vitale infrastructuur” bent, kun je met NIS2 te maken krijgen. Bijvoorbeeld omdat je klant wel onder NIS2 valt en van jou als leverancier eisen gaat stellen. Voor veel mkb-bedrijven en toeleveranciers betekent dit: je krijgt te maken met strengere security- en compliance-eisen, of je het nu leuk vindt of niet.

Wat is NIS2 precies?

NIS2 is een Europese richtlijn die regels stelt voor de beveiliging van netwerken en informatiesystemen van organisaties die een belangrijke rol spelen in de economie en de samenleving. De richtlijn moet door de lidstaten worden omgezet in nationale wetgeving. In Nederland gebeurt dat via nieuwe of aangepaste wet- en regelgeving, waarbij de bestaande wetgeving rond vitale aanbieders wordt uitgebreid.

Kern van NIS2:

• Meer sectoren vallen eronder dan bij de eerste NIS-richtlijn.
• Ook middelgrote organisaties kunnen worden aangewezen als “essentieel” of “belangrijk”.
• Er komen strengere eisen voor risicobeheer, incidentrespons, rapportage en ketenbeveiliging.
• Toezichthouders krijgen meer bevoegdheden en er kunnen stevige boetes volgen bij niet-naleving.

Met andere woorden: NIS2 is geen “papieren tijger”, maar een richtlijn met serieuze impact.

Wie valt er onder NIS2?

De richtlijn maakt onderscheid tussen:

• Essentiële entiteiten – organisaties in sectoren die cruciaal zijn voor de samenleving, zoals:
  • energie;
  • transport;
  • bankwezen en financiële marktinfrastructuren;
  • gezondheidszorg (ziekenhuizen, laboratoria);
  • drinkwater en afvalwater;
  • digitale infrastructuur en clouddiensten;
  • overheidsdiensten.
• Belangrijke entiteiten – o.a. bepaalde vormen van:
  • post- en koeriersdiensten;
  • afvalbeheer;
  • voedselproductie en -verwerking;
  • productie van bepaalde goederen (bijvoorbeeld medische apparatuur);
  • verschillende digitale diensten.

Daarnaast speelt de omvang van de organisatie een rol. Veelal wordt gekeken naar het aantal medewerkers en jaaromzet/balans (bijvoorbeeld: middelgrote en grote organisaties). Maar lidstaten kunnen ook kleinere organisaties aanwijzen als ze van bijzonder belang zijn voor de samenleving of economie.

Belangrijk om te onthouden:

• Je hoeft niet zelf een ziekenhuis, energiebedrijf of telecomoperator te zijn om effect te merken van NIS2.
• Ben je leverancier, IT-dienstverlener, softwarepartner of belangrijke schakel in de keten, dan kunnen jouw klanten jou via contracten en security-eisen feitelijk onder een NIS2-regime “meesleuren”.

Ketenverantwoordelijkheid: waarom leveranciers niet meer wegkomen met “we zien wel”

Een van de belangrijkste vernieuwingen in NIS2 is de nadruk op ketenbeveiliging. Organisaties die onder NIS2 vallen, moeten ook de beveiliging van hun leveranciers en toeleveranciers in kaart brengen en beheersen.

Concreet betekent dit dat je als leverancier te maken kunt krijgen met:

• security-vragenlijsten (bijvoorbeeld over patchbeleid, toegang, logging, back-up, certificeringen);
• contractuele verplichtingen rond informatiebeveiliging en incidentmelding;
• eisen aan monitoring, logging, MFA, encryptie en toegangsbeheer;
• verplichting om mee te werken bij onderzoek na een incident.

Voor veel mkb-toeleveranciers betekent dit dat “basisbeveiliging” niet langer genoeg is. Grote klanten zullen scherper kijken naar:

• hoe jij omgaat met hun data;
• hoe jouw systemen worden beheerd;
• of jij zelf voldoende maatregelen hebt genomen om incidenten te voorkomen.

Met andere woorden: NIS2 zorgt ervoor dat digitale volwassenheid van leveranciers steeds belangrijker wordt om überhaupt nog zaken te kunnen doen met bepaalde klanten.

Belangrijkste verplichtingen uit NIS2

Afhankelijk van de categorie waarin je valt, kunnen de verplichtingen verschillen in zwaarte, maar de kern is voor iedereen min of meer vergelijkbaar. Denk aan:

• Risicobeheer en beveiligingsmaatregelen
  • Beleid en processen voor informatiebeveiliging;
  • Beveiliging van netwerken en systemen;
  • Patchbeheer en kwetsbaarheidsmanagement;
  • Toegangsbeheer en identity management (inclusief MFA);
  • Back-up en disaster recovery;
  • Beveiliging van de keten (leveranciersmanagement).
• Incidentdetectie en -melding
  • Inrichten van monitoring en logging;
  • Een proces voor het herkennen en classificeren van incidenten;
  • Verplichtingen om ernstige incidenten tijdig te melden bij de bevoegde autoriteiten;
  • In sommige gevallen ook melding richting klanten of andere betrokken partijen.
• Governance en verantwoordelijkheid
  • Betrokkenheid van het bestuur/directie bij cybersecurity;
  • Duidelijke rollen en verantwoordelijkheden (CISO/veiligheidsfunctie, functionaris voor incidenten);
  • Documentatie en aantoonbaarheid van genomen maatregelen.
• Bewustwording en training
  • Regelmatige training van medewerkers over security en incidenten;
  • Aandacht voor phishing, social engineering en veilig werken, ook buiten kantoor.

Wat zijn de mogelijke consequenties bij niet-naleving?

NIS2 is geen vrijblijvend advies. Lidstaten moeten toezichthouders aanwijzen die kunnen controleren of organisaties voldoen aan de regels. Bij ernstige nalatigheid kunnen sancties en boetes volgen. De hoogte daarvan verschilt per categorie (essentieel/belangrijk), maar denk aan substantiële bedragen die vergelijkbaar zijn met de orde van grootte van AVG-boetes.

Naast boetes kun je ook denken aan:

• verplichte herstelmaatregelen;
• mogelijke aanwijzingen of beperkingen op je bedrijfsvoering;
• reputatieschade richting klanten en partners (“niet in control”);
• gevolgen voor aanbestedingen of contracten als blijkt dat je structureel niet voldoet.

Ook richting directie en bestuur wordt de verantwoordelijkheid expliciet benoemd. “We wisten het niet” is steeds minder een geldig excuus.

Wat betekent dit praktisch voor mkb-bedrijven en toeleveranciers?

Voor veel mkb-bedrijven is NIS2 geen directe wet die “vandaag” plotseling alles verandert. Maar indirecte impact is heel reëel:

• Je klanten (die wél onder NIS2 vallen) gaan kritischer kijken naar jouw beveiliging.
• Je krijgt vaker security-vragenlijsten en audits vanuit grotere klanten.
• Je zult steeds vaker moeten laten zien dat je cybersecurity op orde is, met beleid, processen en maatregelen.

Concreet betekent dat voor mkb en toeleveranciers onder meer:

• Geen ad-hoc IT meer, maar gestructureerd beheer van systemen en updates;
• Een helder backup- en herstelbeleid (inclusief testen van back-ups);
• Gebruik van MFA, EDR en netwerksegmentatie waar passend;
• Een basisset aan procedures: incident response, datalekken, toegangsbeheer, onboarding/offboarding medewerkers;
• Bewustwordingstrainingen voor medewerkers over phishing, wachtwoorden en veilig werken.

Ben je IT-dienstverlener of softwareleverancier? Dan is de kans groot dat je klanten in hun NIS2-voorbereiding met vragen als:

• Hoe is onze omgeving nu ingericht?
• Welke maatregelen voldoen al aan NIS2-achtige eisen, en waar zitten gaten?
• Kun je ons helpen bij monitoring, logging, patchbeheer en incidentrespons?

Stappenplan: hoe bereid je jouw organisatie voor?

Je hoeft niet morgen “NIS2-perfect” te zijn, maar het is verstandig nu al stappen te zetten. Een pragmatisch stappenplan voor mkb en toeleveranciers:

1. Inventarisatie
   • Breng systemen, data en leveranciers in kaart.
   • Noteer welke klanten mogelijk onder NIS2 vallen en welke rol jij daarin speelt.
2. Risicoanalyse
   • Welke systemen zijn kritisch voor je bedrijfsvoering?
   • Waar zitten nu de grootste risico’s (ransomware, datalekken, downtime)?
3. Basis op orde brengen
   • MFA, patchbeheer, back-up en herstelplan, EDR, netwerkbeveiliging.
   • Minimaal basisbeleid voor informatiebeveiliging en incidenten.
4. Processen en documentatie
   • Leg vast wie wat doet bij incidenten.
   • Documenteer welke maatregelen je hebt genomen (aantoonbaarheid).
5. Bewustwording en training
   • Train medewerkers regelmatig over phishing en veilig werken.
   • Maak duidelijk hoe zij incidenten kunnen melden.
6. Regelmatige evaluatie
   • Plan jaarlijks een security- en compliance-check.
   • Stem af met belangrijke klanten welke eisen zij stellen en hoe jij daaraan voldoet.

De rol van je IT-partner bij NIS2

NIS2 is geen “IT-feestje”, maar IT speelt er natuurlijk wel een grote rol in. Een goede IT-partner kan je helpen om:

• een realistische nulmeting te doen van je huidige beveiligingsniveau;
• technische maatregelen in te richten (MFA, EDR, back-up, monitoring, logging);
• patchbeheer en kwetsbaarheidsmanagement te structureren;
• mee te denken over procedures rond incidenten, datalekken en toegang;
• je als leverancier voor te bereiden op de vragen van NIS2-plichtige klanten.

Belangrijk daarbij: je hoeft als mkb’er niet alles zelf te weten over NIS2, maar je moet wel kunnen laten zien dat je bewust en aantoonbaar met risico’s omgaat. Daarin kan een IT-partner het verschil maken tussen “we doen maar wat” en “we hebben een onderbouwd verhaal richting klanten en toezichthouders”.

Korte samenvatting voor directie

• NIS2 breidt de regels voor cybersecurity in Europa flink uit, met meer sectoren en strengere eisen.
• Ook mkb en toeleveranciers krijgen hiermee te maken, vaak via ketenverantwoordelijkheid en contracten.
• Belangrijkste thema’s: risicobeheer, technische maatregelen, incidentmelding, governance, ketenbeveiliging.
• Niet-naleving kan leiden tot boetes, herstelmaatregelen en reputatieschade.
• Voor mkb is het nu het moment om basisbeveiliging, processen en documentatie op orde te brengen.
• Een goede IT-partner helpt je om de technische en organisatorische kant beheersbaar te maken.

Wil je dit onderwerp verder uitdiepen of toetsen hoe jouw organisatie ervoor staat? Dan is het logisch om vanuit een breder cybersecurity- of compliance-gesprek naar NIS2 te kijken, in plaats van alles los te benaderen.