Ja, de NIS2 geldt ook voor het MKB

De nieuwe NIS2-wetgeving geldt niet alleen voor grote bedrijven, maar ook voor hun leveranciers. Daardoor kun je als MKB’er ook onder deze wetgeving vallen, zelfs zonder dat je het weet.

Wat is er aan de hand?

De NIS2-wetgeving komt eraan. Dit is Europese wetgeving die bedrijven verplicht om hun cybersecurity op orde te brengen. De wet is bedoeld voor grote bedrijven, onder andere in de energie, zorg en transport. Zoals het er nu naar uitziet gaat de wet, met enige vertraging, het tweede kwartaal van 2026 in.

Maar de wet heeft ook een spreekwoordelijk addertje onder het gras: de strengere regels gelden voor de hele supply chain. Daardoor geldt de wet bijvoorbeeld ook voor:

• Een marketingbureau dat websites en online campagnes beheert voor een ziekenhuis.
• Een schoonmaakbedrijf dat werkt voor een elektriciteitscentrale en toegang heeft tot bepaalde ruimtes.
• Een beveiligingsbedrijf dat alarmsystemen en toegangscontroles levert aan een waterzuiveringsbedrijf.

Als alles goed gaat, zul je weinig last hebben van de nieuwe wetgeving. Maar als de eindklant iets overkomt en er een onderzoek wordt ingesteld, kun je als leverancier ook een boete krijgen. Die boete kan oplopen tot twee procent van de jaaromzet.

Waar begin je als MKB’er? 4 praktische tips

Gelukkig is er goed nieuws: voldoen aan deze wet is geen megaproject zoals bijvoorbeeld een ISO-certificering. De wet vraagt om je basis op orde te hebben, en dat doe je in vier simpele stappen:

Maak een risicoanalyse

In een risicoanalyse beschrijf je waar je kwetsbaar bent. Wat is het risico als gegevens op straat komen te liggen, als je wordt gehackt of als je niet kunt leveren? Op onze website kun je gratis een cybersecurity-check doen.

Praktijkvoorbeeld: Tijdens een risicoanalyse bij een bouwbedrijf zagen we dat de beelden van beveiligingscamera’s werden opgeslagen in Dropbox. Dit was een risico, omdat de beveiliging minimaal was. De oplossing was om voortaan beelden versleuteld in de cloud te bewaren, inclusief solide toegangscontrole.

Maak een incident response plan

Een incident response plan houdt in dat je weet wat je moet doen bij een incident, zoals een hack. Hierin beschrijf je wie wat doet, waar verantwoordelijkheden liggen en wie contact opneemt met IT en klanten. Volgens de nieuwe wet ben je verplicht om binnen 24 uur melding te maken bij de toezichthouder, en binnen 72 uur een update te geven. Die tijd wil je goed benutten om grip te krijgen op de situatie.

Praktijkvoorbeeld: Bij een IT-bedrijf maakten we ooit mee dat het bedrijf werd platgelegd door hackers die bitcoins eisten. Het probleem: niemand wist wat er moest gebeuren. Bij onze klanten voorkomen we dit door tabletop-sessies te organiseren, waarbij we een noodsituatie simuleren en zorgen dat iedereen weet wat er moet gebeuren.

Beveilig toegang tot je hardware

Je laptops, pc’s en netwerkschijven zijn de eerste dingen die je goed wil beveiligen. Dat begint met een inventarisatie van al je middelen en vervolgens te bekijken wie toegang heeft tot welk apparaat (en bij servers tot welke ruimtes).

Praktijkvoorbeeld: Bij een groot kantoor ontdekten we dat ex-medewerkers na hun vertrek nog konden inloggen. Daarom hebben we een offboardingsproces ontworpen waarmee accounts bij uitdienstmelding automatisch worden gedeactiveerd.

Bewustwording bij medewerkers

Je hebt natuurlijk goede mensen in dienst, maar mensen blijven de zwakste schakel binnen beveiliging. Daarom is het verstandig om minstens één keer per jaar een awareness-training te houden, zodat medewerkers risico’s beter herkennen. Door deze training ook te koppelen aan het onboardingproces zorg je voor een sterke basis.

Praktijkvoorbeeld: Bij een financiële instelling organiseren we jaarlijks een test, waarbij we phishing-mails versturen. Medewerkers ontvingen bijvoorbeeld een mail met de tekst: ‘Beste collega, wil je akkoord geven via deze link, zodat ik verder kan?’. Veertig procent logde in op de achterliggende pagina, wat bij een echte phishing-aanval een catastrofe was geweest. Na voorlichting en een tweede test klikte bijna niemand meer op de link. Missie geslaagd!

Conclusie: als security je mindset is, zijn de risico’s lager

Security is niet alleen een IT-vraagstuk, het is een manier van denken. Als het hele bedrijf dezelfde mindset heeft, verlaag je het risico aanzienlijk.

Goed nieuws: veel bedrijven hebben de helft al op orde, zelfs zonder het te weten. Als je draait op Windows 11, updates installeert en een goed inlogsysteem gebruikt (bijvoorbeeld Microsoft-accounts), ben je al goed onderweg. Met onze checklist heb je ook de rest snel geregeld.

Wil je weten waar jouw kwetsbaarheden liggen? Neem contact op en we komen graag bij je langs.