In de afgelopen jaren is onze economie steeds digitaler geworden. Leveranciers hangen aan elkaar met API’s en cloudkoppelingen. Klanten verwachten dat alles meteen werkt of geleverd wordt - het liefst via het internet. En criminelen… tja, die hebben internet ook ontdekt. De oude Europese regels (NIS1) bleken te smal en te zwak om de Europese samenleving goed te beschermen. Daarom is er nu de NIS2: een aangescherpte set spelregels om digitale ontwrichting te voorkomen of in ieder geval te beperken.
NIS2 in één zinNIS2 is Europese wetgeving die landen verplicht om strengere cybersecurity-eisen op te leggen aan organisaties in vitale en belangrijke sectoren, inclusief strengere toezicht- en meldplichten. Die wet is omgezet naar Nederlandse wetgeving maar is feitelijk hetzelfde: de Cyberbeveiligingswet
Waarom bestaat NIS2?
Omdat één zwakke schakel een hele keten kan platleggen. Denk aan een ransomware-aanval bij een online service provider waardoor tientallen klanten tegelijk stilvallen. Of een verstoring bij een datacenter die ook jouw webshop raakt. NIS2 wil ketenrisico’s terugdringen en de basis op orde krijgen: voorkomen wat kan, snel melden wat misgaat, en herstellen zonder chaos.
Wat regelt NIS2 precies?
Best veel, maar dit zijn de hoofdlijnen:
- Wie eronder valtBedrijven in aangewezen sectoren. Een grove tweedeling: essentiële en belangrijke entiteiten. De precieze lijst is breed (o.a. energie, zorg, drink-/afvalwater, digitale infrastructuur, transport, bepaalde maakindustrie, post & koeriers, afvalverwerking, beheerde (security)diensten, cloud/datacenters, overheden). Vaak geldt de “size-cap”: middelgrote en grote organisaties in zo’n sector moeten er sowieso aan voldoen. Kleinere spelers kunnen tóch onder NIS2 vallen als ze cruciaal zijn (bijv. als ze de enige regionale leverancier zijn).
- Welke maatregelen genomen moeten wordenEen risicogebaseerd pakket van maatregelen. Dat houdt in dat je maatregelen MOET nemen op het gebied van: beleid en governance, incident-respons, business continuity (back-ups, uitwijk), supply-chain-beveiliging (dus ook eisen aan leveranciers), patch- & vulnerability-management, toegangsbeveiliging (MFA), logging & monitoring, training van personeel, en periodieke tests/audits. De mate waarin je maatregelen neemt op deze gebieden staat niet vast. Dat kan dus erg meevallen.
- Melden van incidentenBij significante incidenten: binnen 24 uur een early warning, daarna een update en een eindrapport. Dus: je moet weten wie je belt, wat je deelt en hoe je intern opschaalt—geen brandplan schrijven als het al brandt.
- Bestuur en boetesBestuurders krijgen expliciete verantwoordelijkheid voor cybersecurity. Boetes kunnen fors uitvallen (percentages van omzet en/of miljoenenbedragen). De bedoeling is niet om directeurtjes te pesten. Maar wel het zorgen dat beveiliging geen bijzaak is en niet langer een ondergeschoven kindje is.
NIS2 schrijft geen “gouden checklist” voor; het vraagt om passende maatregelen. Wat passend is, hangt af van jouw risico’s. (Herkenbaar uit mijn eerdere stukken over risico’s en risk appetite.)
Hoe komt een MKB’er met NIS2 in aanraking?
Drie veelvoorkomende routes:
- **Je valt er direct onder.**Ben je middelgroot of groter in een aangewezen sector? Dan geldt NIS2 waarschijnlijk voor jou. Verwacht dan toezicht, meldplichten en aantoonbaarheid (documentatie, beleid, bewijs van maatregelen).
- **Via de keten (ook als je klein bent).**Lever je aan een organisatie die onder NIS2 valt? Dan ga je vragenlijsten, contractuele eisen en soms audits krijgen. Denk aan eisen als Multi-Factor-Authenticatie’ (MFA), tijdige patching, meldplichten van incidenten, beveiligingsonderzoeken (pentesten), dataverwerkersovereenkomsten en bewijs van back-up-hersteltests.
- **Via je IT-leverancier.**Managed (Security) Service Providers en clouddiensten zitten zelf in scope. Gevolg: zij trekken de eisen door naar klanten. Bijvoorbeeld: geen support meer op verouderde systemen, verplichting tot MFA/EDR, of logging volgens hun minimumnorm. Handig, zolang je meebeweegt—lastig als je nog met oude systemen werkt die daar niet mee om kunnen gaan.
Oké, en wat moet ik dan doen?
Begin praktisch met een stevige fundering:
- Inventariseer je kroonjuwelen (wat mag absoluut niet omvallen of uitlekken?)
- Risico’s scoren (kans × impact – simpel kan ook: hoog/middel/laag).
- Basismaatregelen op orde: MFA, beveiligingsupdates, back-ups + hersteltest, toegangsrechten op systemen en applicaties minimaliseren, logging van wie wat gedaan heeft op welk systeem, antivirus en inbraak detectie, beveiligingsbewustwording.
- Incident-plan: wie belt wie? welke info deel je? hoe ga je door?.
- Leveranciers checken: Welke afspraken heb je met je leveranciers (SLA’s) en is dat voldoende voor jouw organisatie?.
- Bestuurlijke borging: Wie is verantwoordlijk voor welk bedrijfsonderdeel of bedrijfsproces? Zijn de belangrijkste besluiten (o.a. op het gebied van veiligheid) vastgelegd.
- Aantoonbaarheid: schrijf op wat je doet en waarom — helpt bij audits én bij jezelf.
Een mini-voorbeeld uit de praktijkStel: je bent een logistiek MKB-bedrijf (80 medewerkers) met een planningssysteem in de cloud en een IT-leverancier voor beheer van je werkplekken. NIS2 kan via twee kanten binnenkomen:
- Je valt mogelijk zelf in scope (sector + omvang).
- je IT-leverancier verlangt MFA en het bijhouden van logs,
- je klant vraagt om je incident-plan en bewijs van back-up-herstel zodat je snel je weer up-and-running bent wanneer je getroffen bent door een cyberaanval.
- Jij wilt vooral “blijven rijden”, dus je legt vast hoe je bij een ransomware-incident orders blijft verwerken (desnoods handmatig) en wie er tekenbevoegd is om systemen tijdelijk uit te zetten.
Klinkt saai, maar het voorkomt paniek op het moment suprême.
Tot slotNIS2 is geen papieren tijger. Het is ook geen garantie dat er nooit iets misgaat. Het dwingt ons vooral om bewuste keuzes te maken, de basis strak te regelen en de keten niet te vergeten. En dat is precies waar je als MKB’er het verschil maakt: nuchter, risicogestuurd, en zonder struisvogelgedrag.