NIS2 voor het MKB in Nederland — verplicht of niet?

NIS2 — de tweede versie van de Europese Network and Information Security Directive — is sinds oktober 2024 formeel van kracht. In Nederland loopt de implementatie via de Cyberbeveiligingswet (Cbw), die in de loop van 2026 in werking treedt. Maar veel MKB-ondernemers worstelen met dezelfde vragen: ben ik verplicht? Wat moet ik regelen? En zo ja, wanneer?

Dit artikel zet op een rij wat NIS2 voor het MKB in Nederland betekent, welke organisaties wel en niet onder de scope vallen, en wat u praktisch kunt doen.

Wat is NIS2 in één paragraaf?

NIS2 is een Europese richtlijn die bedrijven en organisaties in essentiële en belangrijke sectoren verplicht om hun cyberbeveiliging op orde te brengen, incidenten te melden, en bestuurlijke verantwoordelijkheid te tonen voor digitale risico's. De richtlijn vervangt en verbreedt de oude NIS1-richtlijn uit 2016, die slechts een handvol grote organisaties raakte.

In Nederland landt NIS2 in de Cyberbeveiligingswet — voorheen aangekondigd als de Wet bescherming netwerk- en informatiesystemen 2 (Wbni 2). De wet is bij het schrijven van dit artikel nog in behandeling; de inwerkingtreding is meermaals uitgesteld en wordt nu verwacht in de tweede helft van 2026. Houd de site van het Nationaal Cyber Security Centrum in de gaten voor de actuele status.

Welke organisaties vallen onder NIS2?

NIS2 onderscheidt twee categorieën:

• Essentiële entiteiten — grotere organisaties (250+ medewerkers of meer dan €50 miljoen omzet) in zeer kritieke sectoren: energie, drinkwater, transport, zorg, banken, digitale infrastructuur (cloudproviders, datacenters, DNS), bestuurlijke overheid.
• Belangrijke entiteiten — middelgrote organisaties (50+ medewerkers of meer dan €10 miljoen omzet) in een ruimere set van sectoren: post, voedselproductie en -distributie, chemie, afvalbeheer, productie van medische hulpmiddelen, IT-dienstverleners, online marktplaatsen, sociale netwerken.

Wat vaak vergeten wordt: de sectorbeoordeling kijkt niet alleen naar uw eigen bedrijf, maar ook naar wat u doet binnen die sector. Een IT-dienstverlener met 60 medewerkers valt onder NIS2, ook als de eigen IT-omgeving relatief eenvoudig is.

Mijn MKB valt buiten NIS2 — kan ik achteroverleunen?

Nee. En dit is misschien wel het belangrijkste in dit artikel.

Ook al valt uw eigen organisatie buiten NIS2, dan nog raakt het u op drie manieren:

1. Uw klanten zijn wél NIS2-plichtig. Bent u toeleverancier of dienstverlener van een organisatie die wel onder NIS2 valt? Dan moet die organisatie haar leveranciersketen op orde hebben. In de praktijk betekent dat: contractuele eisen, vragenlijsten, audits. Een MKB-onderaannemer in een NIS2-keten zonder MFA, zonder MDM en zonder logging is straks geen onderaannemer meer.

2. Uw cyberverzekering eist het al. Cyberverzekeraars hebben de afgelopen twee jaar hun eisen drastisch aangescherpt. MFA, endpoint protection, backups offsite, een geactualiseerd incidentresponsplan — dat zijn vandaag al harde polisvereisten. Wie hier niet aan voldoet, krijgt geen dekking of betaalt een premie die de polis economisch onzin maakt.

3. Bestuurdersaansprakelijkheid groeit. De Nederlandse implementatie introduceert expliciet bestuurlijke verantwoordelijkheid. Ook buiten de directe reikwijdte van NIS2 verandert dat de juridische context: een DGA die niet kan aantonen dat hij of zij zorg heeft besteed aan cyberbeveiliging, loopt persoonlijk risico bij een incident.

Wat eist NIS2 concreet?

De richtlijn is opzettelijk technologie-neutraal geformuleerd. Vertaald naar de praktijk komt het neer op tien beheersmaatregelen:

1. Risicoanalyse en informatiebeveiligingsbeleid — niet één keer, maar doorlopend bijgehouden.
2. Behandeling van incidenten — een gedocumenteerd proces, met meldplicht binnen 24 uur na ontdekking.
3. Bedrijfscontinuïteit en backup management — geteste backups, een uitwijkstrategie, een herstelplan.
4. Beveiliging van de toeleveringsketen — eisen aan leveranciers, contracten met informatiebeveiligingsclausules.
5. Beveiliging bij verwerving, ontwikkeling en onderhoud — secure development practices, patchmanagement.
6. Beleid en procedures voor effectiviteit — meet of het werkt.
7. Basis cyberhygiëne en training — periodieke awareness en training voor medewerkers.
8. Cryptografie — encryption at rest en in transit, sleutelbeheer.
9. Toegangscontrole en identity management — waar Microsoft Entra ID, Conditional Access en MFA in beeld komen.
10. Beveiliging van personeel, asset management, toegang tot faciliteiten — fysieke en organisatorische beveiliging.

Voor een MKB-organisatie van 30 tot 100 medewerkers is dit allemaal haalbaar — mits u het integreert in uw IT-fundament en niet als losse bolt-on inkoopt.

De vier praktische stappen die wij adviseren

Stap 1 — Inventariseer of u in scope valt

Loop de sectorlijst van NIS2 langs en bepaal of uw organisatie als essentiële of belangrijke entiteit gekwalificeerd kan worden. Wees ook eerlijk over uw klantbestand: levert u kritieke diensten aan organisaties die wel onder NIS2 vallen? Dan bent u indirect ook gebonden via de keten.

Stap 2 — Voer een gap-analyse uit op de tien maatregelen

Loop alle tien beheersmaatregelen langs en beoordeel waar u nu staat. Voor de meeste MKB-organisaties zit de pijn in punt 2 (incident response), punt 4 (toeleveringsketen) en punt 6 (effectiviteitsmeting). De rest zit grotendeels al in een goed ingericht Microsoft 365-platform.

Stap 3 — Maak het Microsoft-fundament NIS2-klaar

Een correct ingerichte Microsoft 365-tenant met Microsoft 365 Business Premium dekt het grootste deel van de technische maatregelen al af:

• Microsoft Entra ID + Conditional Access + MFA — toegangscontrole en identity management
• Microsoft Intune — device management, patching, compliance policies
• Microsoft Defender for Business — endpoint protection, EDR, incidentlogging
• Microsoft Purview — data classification, DLP, retention
• Microsoft Sentinel of Defender XDR — security monitoring en incidentdetectie

Wij richten dit standaard in voor onze MKB-klanten. Het verschil tussen een tenant die NIS2-proof is en eentje die het niet is, zit niet in de licentie maar in hoe het wordt geconfigureerd.

Stap 4 — Documenteer

NIS2 is uiteindelijk een aantoonbaarheidskwestie. Niet kunnen aantonen dat u maatregelen heeft genomen, is in de praktijk hetzelfde als geen maatregelen hebben genomen. Documenteer:

• Uw informatiebeveiligingsbeleid
• Incidentprocedures (wie doet wat bij welk incident)
• Backup- en herstelprocedures, inclusief test-rapporten
• Awareness-trainingen (wie heeft wanneer wat gevolgd)
• Leverancierscontracten met beveiligingsclausules

Voor een MKB-organisatie hoeft dit geen ringband van 200 pagina's te zijn. Een levend Word- of OneNote-document van 20 tot 30 pagina's, gehost in SharePoint en jaarlijks geüpdatet, is ruim voldoende.

Wanneer moet ik beginnen?

Vandaag. Niet omdat de wet morgen ingaat — dat duurt nog — maar omdat:

• Uw cyberverzekeraar het al eist
• Uw NIS2-plichtige klanten het straks gaan vragen
• Een security-incident in de tussentijd uw business gewoon stilzet

Wie zelf vanaf nul een fundament moet neerzetten, kijkt al snel naar drie tot zes maanden inrichtingswerk. Bij eMotivz hoeft dat niet. Onze Microsoft 365 Modern Werkplek is volgens ons Built-in rather than Bolt-on-principe ontworpen: Conditional Access, MFA, Microsoft Entra ID, Microsoft Intune, Microsoft Defender for Business en de logging die NIS2 vraagt zitten standaard in het pakket — niet als losse module die u er later bij koopt.

Wij merken bij nieuwe klanten dat deze combinatie in de meeste gevallen 80% van de NIS2-eisen technisch al afdekt vanaf dag één. De rest is documentatie, training en een herzieningscyclus.

Veelgestelde vragen

Geldt NIS2 ook voor ZZP'ers? Nee, individuele ondernemers vallen buiten NIS2. Maar als u als ZZP'er IT-diensten levert aan organisaties die er wel onder vallen, kan uw klant via de keten alsnog eisen aan u stellen.

Is ISO 27001 hetzelfde als NIS2? Nee, maar ze overlappen sterk. Een organisatie die ISO 27001-gecertificeerd is, voldoet vrijwel automatisch aan de NIS2-beheersmaatregelen. Andersom: NIS2-compliance is geen ISO 27001 (er is geen externe certificering vereist), maar in de praktijk is het inhoudelijk vergelijkbaar.

Wie houdt toezicht in Nederland? Het toezicht wordt belegd bij de minister van Justitie en Veiligheid, met operationeel toezicht door de Rijksinspectie Digitale Infrastructuur (RDI) en sectorale toezichthouders zoals DNB voor de financiële sector. Het Nationaal Cyber Security Centrum (NCSC) wordt aangewezen als CSIRT (Computer Security Incident Response Team).

Hoe helpt eMotivz?

Wij richten Microsoft 365-omgevingen in voor het MKB met NIS2-compliance als ontwerpprincipe — niet als afterthought. Voor klanten in de risico-categorieën doen we periodieke security-scans en houden we de documentatie samen met u up-to-date.

Wilt u weten waar uw organisatie staat ten opzichte van NIS2? Plan een vrijblijvend gesprek of bekijk onze Microsoft 365 Modern Werkplek voor de basisinrichting die wij standaard leveren.