Ga naar hoofdinhoud
Terug naar blog
beveiligingregelgevingmkb

NIS2: de nieuwe cybersecurity-wet die ook MKB raakt

De NIS2-richtlijn stelt strengere cybersecurity-eisen, ook voor MKB-bedrijven in bepaalde sectoren. Wat moet je weten en wat moet je doen?

27 maart 20264 min leestijd

Nog een Europese wet?

Na de AVG en de EU AI Act is er een nieuwe Europese richtlijn die je als ondernemer moet kennen: NIS2. De Network and Information Security Directive 2. Het klinkt als iets voor telecombedrijven en energieleveranciers, maar het raakt ook MKB-bedrijven in meer sectoren dan je verwacht.

Wat is NIS2?

NIS2 is de opvolger van de eerste NIS-richtlijn uit 2016. Het stelt minimale cybersecurity-eisen voor bedrijven in "essientiele" en "belangrijke" sectoren. De richtlijn is in oktober 2024 van kracht geworden, en EU-lidstaten zijn bezig met de nationale implementatie.

Het doel is simpel: Europa digitaal weerbaarder maken. De aanleiding? Een golf van cyberaanvallen op bedrijven en overheden die liet zien dat de oude regels niet ver genoeg gingen.

Welke sectoren vallen eronder?

NIS2 geldt voor twee categorieen:

Essientiele sectoren:

  • Energie (elektriciteit, gas, olie)
  • Transport (luchtvaart, spoor, water, weg)
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur (cloud, datacenters, DNS)
  • Overheid
  • Bankwezen

Belangrijke sectoren:

  • Post- en koeriersdiensten
  • Afvalverwerking
  • Chemie en voedselproductie
  • Productie van medische apparatuur
  • Digitale aanbieders (online marktplaatsen, zoekmachines)
  • ICT-dienstverleners

Die laatste is cruciaal: als je ICT-diensten levert aan bedrijven in deze sectoren, kun je indirect ook onder NIS2 vallen. Denk aan: hosting, software-ontwikkeling, IT-beheer, of cloud-diensten voor een zorginstelling of transportbedrijf.

Wanneer geldt het voor MKB?

NIS2 richt zich primair op middelgrote en grote bedrijven (50+ medewerkers of 10M+ omzet). Maar er zijn uitzonderingen:

  • Toeleveranciers van bedrijven die onder NIS2 vallen, kunnen indirect worden verplicht om aan bepaalde eisen te voldoen
  • ICT-dienstverleners kunnen ongeacht grootte worden aangewezen
  • Klanten kunnen NIS2-compliance eisen als voorwaarde voor samenwerking

Met andere woorden: ook als je er niet direct onder valt, kan het zijn dat je klanten het van je verwachten.

Wat moet je doen?

De richtlijn eist een reeks maatregelen die deels overlappen met goede basiscybersecurity:

Verplichte maatregelen

  • Risicobeoordeling -- breng je digitale risico's in kaart
  • Incidentafhandeling -- heb een plan klaarliggen voor als het misgaat
  • Bedrijfscontinuiteit -- zorg dat je kunt doordraaien na een incident (back-ups, herstelplan)
  • Supply chain beveiliging -- check ook de beveiliging van je leveranciers
  • Kwetsbaarheidsbeheer -- houd software up-to-date, patch bekende kwetsbaarheden
  • Encryptie -- versleutel gevoelige data, zowel in opslag als tijdens transport
  • Toegangsbeheer -- wie heeft toegang tot wat? Beperk dit tot het minimum

Meldplicht

Net als bij de AVG geldt er een meldplicht. Bij een significant cybersecurity-incident moet je binnen 24 uur een eerste melding doen bij de toezichthouder, gevolgd door een gedetailleerd rapport binnen 72 uur.

De boetes

NIS2 kent stevige boetes:

  • Essientiele entiteiten: tot 10 miljoen euro of 2% van de wereldwijde omzet
  • Belangrijke entiteiten: tot 7 miljoen euro of 1,4% van de wereldwijde omzet

Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Dat is nieuw ten opzichte van de oude richtlijn.

Hoe je je voorbereidt

Als je niet zeker weet of NIS2 op jou van toepassing is, begin dan met deze stappen:

  1. Check je sector -- val je direct of indirect onder een van de genoemde sectoren?
  2. Vraag je klanten -- stellen zij NIS2-eisen aan hun leveranciers?
  3. Doe een zelfscan -- hoe staat je basiscybersecurity ervoor?
  4. Maak een incidentplan -- weet je wat je moet doen als het misgaat?
  5. Documenteer -- leg vast welke maatregelen je hebt genomen

NIS2 en AI

Als je AI-tools inzet in een NIS2-plichtige omgeving, komen daar extra overwegingen bij:

  • AI-tools die klant- of bedrijfsdata verwerken moeten voldoen aan de beveiligingseisen
  • De supply chain van je AI-tools (waar staat de data? wie heeft toegang?) wordt onderdeel van je risicobeoordeling
  • Incidenten met AI-systemen (datalekkage, foutieve output die schade veroorzaakt) kunnen onder de meldplicht vallen

Wil je weten of NIS2 op jouw bedrijf van toepassing is en wat je moet doen? Plan een vrijblijvend gesprek -- we helpen je met een heldere inventarisatie.

KC

Kyan Cordes

Oprichter NOVAITEC