Wat betekent NIS2 voor het MKB? Simpel uitgelegd
De NIS2 richtlijn is een nieuwe Europese cyberbeveiligingswetgeving die veel organisaties dichter bij huis raakt dan je misschien denkt. Voor het MKB betekent dit niet direct dat iedereen onder dezelfde zware regels valt, maar wel dat je eraan moet denken en mogelijk alvast maatregelen moet nemen.
Wessel van den Bosch
Business Process Manager
Wat is NIS2 precies?
De NIS2 richtlijn (Directive (EU) 2022/2555) vervangt de eerdere NIS richtlijn en legt strengere eisen op voor de beveiliging van netwerk en informatiesystemen binnen de EU. In Nederland wordt de richtlijn omgezet via de voorgestelde Cyberbeveiligingswet. Belangrijke punten zijn dat het toepassingsgebied groter wordt, er een meldplicht en zorgplicht komt, en bestuurders meer verantwoordelijkheid krijgen.
Wanneer wordt de wet ingevoerd?
De richtlijn wordt in Nederland naar verwachting in het tweede kwartaal van volgend jaar ingevoerd. Vanaf dan moeten organisaties die onder de norm vallen voldoen aan de nieuwe eisen. Voor MKB-bedrijven betekent dit dat er geen tijd te verliezen is: de voorbereiding is al de start van betere beveiliging en compliance.
Wie valt er straks onder de NIS2?
Niet elk MKB-bedrijf valt automatisch onder NIS2. De criteria zijn complexer dan alleen omzet of medewerkersaantallen. Bijvoorbeeld organisaties in sectoren die als essentieel of belangrijk zijn zoals energie gezondheidszorg of ICT dienstverleners, of bedrijven die actief zijn in kritieke ketens. Middelgrote of grote bedrijven in specifieke sectoren uit een bijlage van de richtlijn kunnen verplicht zijn. Als je als MKB organisatie denkt niet onder NIS2 te vallen, is dat vaak correct. Toch is het verstandig vooraf te checken omdat ook ketenafhankelijke diensten geraakt kunnen worden.
Wat verandert er voor organisaties?
Met NIS2 komen er verplichtingen zoals:
- Zorgplicht
Organisaties moeten passende technische en organisatorische maatregelen treffen op basis van een risicoanalyse.
- Meldplicht
Significante cyberincidenten moeten binnen een opgegeven termijn aan bevoegde autoriteiten worden gemeld.
- Toezicht en handhaving
Organisaties kunnen gecontroleerd worden op naleving en krijgen sancties bij niet naleving.
Dat betekent dat je als organisatie niet alleen technisch in orde moet zijn maar ook procesmatig organisatorisch en bestuur betrokken.
Waarom zou het MKB hier nú mee aan de slag moeten gaan?
Het antwoord is simpel: omdat de risico’s er al zijn en de wet volgt later. Cyberaanvallen nemen toe in aantal en impact. Klanten en opdrachtgevers vragen steeds vaker naar bewezen weerbaarheid. Voorbereiding op NIS2 betekent tegelijkertijd betere beveiliging en concurrentievoordeel. De overheid adviseert dan ook om niet te wachten tot de wet volledig van kracht is.
Hoe kun je als MKB organisatie praktisch beginnen?
Hier zijn drie goede stappen:
- Risicoanalyse uitvoeren
Breng in kaart welke systemen data en processen kritisch zijn. - Beveiligingsmaatregelen vaststellen
Denk aan toegangsbeheer monitoring incidentrespons en back-ups. - Documentatie en governance op orde brengen
Zorg dat processen beschreven zijn verantwoordelijken vaststaan en regelmatige evaluatie plaatsvindt.
Als je deze basis goed hebt staan ben je technisch organisatorisch en procesmatig al veel beter voorbereid of je nu onder NIS2 valt of niet.