NIS2 en het MKB: wanneer val je onder de richtlijn?

NIS2 is de opvolger van NIS1 en trekt de scope flink open. Veel MKB-bedrijven in "gewone" sectoren vallen nu ineens onder essential of important entities.

NIS2 (Network and Information Security Directive 2) is van kracht sinds oktober 2024. Nederland heeft de implementatie-wet in 2025 afgerond. Voor MKB-bedrijven is de hoofdvraag: val ik eronder?

De scope in 2 lagen

• Essential entities: sectoren als energie, water, banken, zorg, digitale infrastructuur. Meestal organisaties > 250 medewerkers of > €50M omzet.
• Important entities: breder — post, chemie, voedselsector, maakindustrie, ICT-diensten, onderzoek, digitale providers. Vanaf > 50 medewerkers of > €10M omzet.

Wat moet je concreet?

• Risicoanalyse en ISMS (overlap met ISO 27001).
• Incident-meldplicht: early warning < 24u, incident report < 72u, eindrapport < 1 maand.
• Supply-chain security — je leveranciers moeten ook adequaat beveiligd zijn.
• Training van personeel, in het bijzonder directie.
• Verplichte cyberhygiëne-maatregelen (MFA, backups, patches, segmentatie).

Handhaving

Boetes tot 2% van wereldwijde omzet of €10M (afhankelijk van wat hoger is). Bestuurders-aansprakelijkheid is nadrukkelijk onderdeel.

Waar begin je?

Als je al ISO 27001 hebt, zit je voor 70-80% goed. De delta zit vooral in incident-meldtermijnen en supply-chain security. Zonder ISO is ISO-certificering of een gedocumenteerde ISMS de aan te raden basis.