NIS2 en MKB: wat betekent de Cyberbeveiligingswet voor u?
Door Thomas Schepers
Stel: u levert al jaren onderdelen of diensten aan een grote industriële speler in de regio. De samenwerking loopt goed, de contracten worden elk jaar verlengd en uw bedrijf is een vaste schakel in hun keten. Dan ontvangt u een brief van uw opdrachtgever. Ze willen weten hoe uw cybersecurity is geregeld. Ze hebben een vragenlijst bijgevoegd. En als u niet kunt aantonen dat u aan bepaalde normen voldoet, wordt u mogelijk niet meer uitgenodigd voor de volgende aanbesteding.
Herkent u dit scenario? Het is geen hypothetische situatie meer. Sinds de Nederlandse Cyberbeveiligingswet op 7 juli 2026 door de Eerste Kamer is aangenomen, is dit voor veel MKB-ondernemers in Brabant een concrete realiteit. Of u nu direct onder de wet valt of niet.
Wat is NIS2 en waarom raakt het u nu?
NIS2 staat voor Network and Information Security, versie 2. Het is een Europese richtlijn die lidstaten verplicht om de digitale weerbaarheid van organisaties in kritieke sectoren te verhogen. Denk aan energie, transport, gezondheidszorg, digitale infrastructuur en industrie. Nederland moest deze richtlijn uiterlijk op 17 oktober 2024 omzetten naar nationale wetgeving. Dat lukte niet. De Europese Commissie daagde Nederland voor het EU-Hof van Justitie, samen met drie andere lidstaten die de deadline ook misten. Dagelijkse boetes dreigen totdat de omzetting volledig is afgerond.
Met de aanname van de Cyberbeveiligingswet in juli 2026 is Nederland nu eindelijk compliant als lidstaat. Maar dat is niet het einde van het verhaal. Het is eerder het begin. Want nu de wet van kracht is, kan handhaving direct starten. En die handhaving raakt niet alleen de grote organisaties die formeel onder de wet vallen.
De MKB-val: waarom u geraakt wordt ook al valt u buiten de scope
De NIS2-wet richt zich formeel op middelgrote en grote organisaties in aangewezen sectoren. Veel MKB-bedrijven vallen daar niet direct onder. Maar er zit een belangrijke additionele verplichting in de wet die weinig ondernemers kennen: grote organisaties die onder NIS2 vallen, zijn verplicht om de risico's in hun toeleveranciersketen te beoordelen. Ze mogen cybersecurityeisen stellen aan hun leveranciers.
Dat betekent in de praktijk: als u levert aan een organisatie die wel onder NIS2 valt, kunnen zij u vragen om aan te tonen dat uw digitale beveiliging op orde is. Kunt u dat niet? Dan riskeert u contractverlies. Of uitsluiting bij aanbestedingen. Dit is de MKB-val van NIS2. Niet de directe boetes, maar het verlies van klanten en omzet.
Vooral in de Brabantse maakindustrie, de Brainport-regio en de zakelijke dienstverlening zien wij dit patroon opkomen. Toeleveranciers van grote OEM's, onderaannemers in de bouw, IT-dienstverleners voor zorg of overheid: zij worden allemaal geraakt door deze doorwerking via de keten.
Wat staat er voor individuele organisaties op het spel?
Voor organisaties die wél direct onder de Cyberbeveiligingswet vallen, zijn de stakes hoog. De maximale boetes bedragen 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger uitvalt. Maar wat misschien nog harder aankomt: bestuurders zijn persoonlijk aansprakelijk voor overtredingen. Dat is geen kleine voetnoot. Dat betekent dat een directeur of eigenaar van een organisatie die aantoonbaar nalatig is op het gebied van cybersecurity, persoonlijk financieel geraakt kan worden.
De wet omvat twee centrale verplichtingen voor organisaties in scope. Allereerst een zorgplicht: u moet technische en organisatorische maatregelen nemen om uw netwerken en informatiesystemen te beveiligen. Denk aan risicoanalyses, toegangsbeheer, patchbeleid, back-upstrategie en bewustwording bij medewerkers. Daarnaast een meldplicht: bij een significant incident moet u dit melden bij de bevoegde autoriteit, binnen strikte termijnen.
De Ratho-driehoek: Mens, Proces, Techniek
Bij Ratho kijken we altijd door drie lenzen tegelijk als het gaat om cybersecurity. Techniek alleen is nooit het volledige antwoord. De meeste incidenten ontstaan door menselijk gedrag, ontbrekende processen of een combinatie van alle drie. Zeker als het gaat om NIS2-compliance.
Mens: Uw medewerkers zijn de eerste verdedigingslinie, maar ook de grootste risicofactor. Phishing-mails worden steeds geloofwaardiger. Eén klik op een verkeerde link kan genoeg zijn. Bewustwording en training zijn geen eenmalige activiteiten, maar een doorlopend proces. NIS2 vereist dat u dit aantoonbaar organiseert.
Proces: Goede beveiliging begint met heldere afspraken. Wie heeft toegang tot welke systemen? Wat is het protocol bij een verdacht incident? Hoe wordt software bijgehouden? Wie is verantwoordelijk? Zonder gedocumenteerde processen is het onmogelijk om aan een toezichthouder of klant aan te tonen dat u uw zaken op orde heeft.
Techniek: De technische maatregelen zijn de uitvoering van uw beleid. Multi-factor authenticatie, versleuteling, monitoring, netwerksegmentatie, back-ups die ook echt werken. Techniek zonder beleid is een raceauto zonder stuur. Beleid zonder techniek is een stuur zonder wielen.
Een klant van ons: van papieren beveiliging naar echte compliance
Een klant van ons, een toeleverancier in de precisie-industrie met zo'n 40 medewerkers, ontving vorig jaar een vragenlijst van hun grootste afnemer. Die afnemer, een Tier-1 leverancier in de automotive, was zelf bezig met NIS2-voorbereiding en moest de keten in kaart brengen. De vragenlijst was 12 pagina's lang en vroeg naar zaken als: incidentresponsebeleid, patchmanagementprocedures, back-upfrequentie en tests, toegangsbeheer en logging.
De eigenaar belde ons. Hij wist dat er een firewall stond en dat er wekelijks een back-up werd gemaakt. Maar papieren bewijs? Beleid? Procedures? Niets gedocumenteerd. We hebben in twee maanden tijd samen een basisraamwerk opgesteld: een informatiebeveiligingsbeleid op maat, gedocumenteerde procedures, technische aanpassingen en een eerste bewustzijnssessie met het team. De vragenlijst kon worden ingevuld. De relatie bleef intact. En de eigenaar slaapt beter.
Dit is geen uitzondering. We zien dit patroon steeds vaker. En de urgentie neemt toe nu de Cyberbeveiligingswet formeel van kracht is.
Wat kunt u nu doen? Een praktische aanpak
U hoeft dit niet in één keer perfect te regelen. Maar u moet wel beginnen. Hier zijn de stappen die wij aanbevelen:
Stap 1: Controleer of uw organisatie direct onder de Cyberbeveiligingswet valt. De wet geldt voor middelgrote en grote organisaties in aangewezen sectoren. Twijfelt u? Laat het uitzoeken. Dit is de basisvraag.
Stap 2: Breng uw klanten en opdrachtgevers in beeld. Wie zijn uw drie grootste klanten? Vallen zij mogelijk onder NIS2? Hebben zij al vragen gesteld of aankondigingen gedaan over keteneisen? Zo ja, dan is er geen tijd te verliezen.
Stap 3: Doe een nulmeting. Waar staat u nu op het gebied van cybersecurity? Welke maatregelen zijn er al? Wat ontbreekt? Welke risico's zijn het grootst? Een eerlijk beeld is de basis voor elke vervolgstap.
Stap 4: Stel een basisbeleid op. Geen dikke beleidshandboeken die niemand leest, maar heldere, werkbare afspraken. Wie heeft toegang tot wat? Wat doen we bij een incident? Hoe worden updates uitgevoerd? Documenteer dit.
Stap 5: Bespreek aansprakelijkheid met uw bestuurders. Als uw organisatie direct onder NIS2 valt, is dit een gesprek dat u niet kunt vermijden. Persoonlijke aansprakelijkheid van bestuurders is geen theorie, het staat in de wet.
NIS2 als kans, niet alleen als verplichting
Ik begrijp dat compliance-verplichtingen voelen als extra last bovenop alles wat er al speelt in een bedrijf. Maar ik wil u ook een andere blik meegeven. Organisaties die hun cybersecurity aantoonbaar op orde hebben, onderscheiden zich. Ze winnen aanbestedingen. Ze behouden klanten die eisen stellen. Ze herstellen sneller na een incident. Ze bouwen vertrouwen op bij hun omgeving.
In een markt waar digitale weerbaarheid steeds zwaarder weegt, is uw cybersecurity-volwassenheid een concurrentiefactor. NIS2 dwingt u om er serieus naar te kijken. Dat kan oncomfortabel zijn. Maar het kan ook het moment zijn waarop u een stap voor loopt op concurrenten die nog wachten.
Bij Ratho helpen wij MKB-ondernemers in Brabant om van compliance een stevige basis te maken. Geen overvloed aan jargon, geen onnodig complexe systemen. Wel eerlijk advies, concrete stappen en een partner die met u meedenkt op de lange termijn.
Veelgestelde vragen
Valt mijn bedrijf als MKB automatisch buiten de NIS2-wet?
Niet per definitie. De wet richt zich op middelgrote en grote organisaties in aangewezen sectoren. Maar ook als u formeel buiten de directe scope valt, kunt u als toeleverancier van een grote organisatie worden verplicht om cybersecurityeisen aan te tonen. Controleer eerst of u direct in scope bent. Breng daarna uw klanten in beeld.
Wanneer gaat de handhaving van de Cyberbeveiligingswet in Nederland van start?
De wet is op 7 juli 2026 aangenomen door de Eerste Kamer. Handhaving kan direct starten. Er is geen lange aanloopperiode meer. Wachten op verdere duidelijkheid is een risico.
Wat zijn de maximale boetes voor organisaties die niet voldoen?
Voor organisaties die direct onder de wet vallen: maximaal 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger uitvalt. Bovendien kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Dit maakt het een bestuurlijk onderwerp, niet alleen een IT-onderwerp.
Waar begin ik als ik niets gedocumenteerd heb?
Begin met een nulmeting. Breng in kaart welke systemen u heeft, wie er toegang toe heeft en welke maatregelen al aanwezig zijn. Vanuit dat beeld kunt u prioriteren. U hoeft niet in één keer volledig compliant te zijn, maar u moet kunnen aantonen dat u structureel bezig bent met verbetering. Een IT-partner als Ratho kan u helpen met deze eerste stap.
Wil je weten waar jouw IT staat?
Plan een vrijblijvende sparringsessie - we kijken samen naar je security, beheer en groeiruimte.