NIS2 verplichtingen voor MKB in Nederland: wat moet je regelen?

31 maart, 2026

De NIS2-wet (Cyberbeveiligingswet) wordt naar verwachting per 1 juli 2026 van kracht in Nederland. MKB-bedrijven met minder dan 50 medewerkers vallen er vaak niet direct onder, maar wel indirect via hun klanten.

In dit artikel lees je precies wat NIS2 betekent voor jouw organisatie: of je eronder valt, welke maatregelen verplicht zijn, wat de risico’s zijn als je niets doet en hoe je begint.

Kort samengevat

NIS2 geldt direct voor middelgrote en grote organisaties in kritieke sectoren, maar raakt indirect ook duizenden kleinere MKB-bedrijven via hun klanten.
De vier verplichtingen zijn: zorgplicht (tien maatregelen), meldplicht (24 uur), registratieplicht en leveranciersverantwoordelijkheid.
Niets doen kan leiden tot boetes tot 10 miljoen euro en persoonlijke aansprakelijkheid van bestuurders.
Doorlooptijd voor implementatie is gemiddeld zes maanden. Beginnen doe je dus nu, niet als de wet al van kracht is.

Meer weten over hoe wij MKB-bedrijven begeleiden bij NIS2? Bekijk onze NIS2-aanpak.

Val jij onder de NIS2-wet?

De NIS2-richtlijn geldt direct voor middelgrote en grote organisaties in kritieke sectoren: energie, transport, gezondheidszorg, drinkwater en digitale infrastructuur. De drempelwaarden zijn minimaal 50 medewerkers of een jaaromzet en balanstotaal boven de 10 miljoen euro.

Kleinere bedrijven vallen er indirect onder via hun klanten. Grote organisaties die wél direct onder NIS2 vallen, mogen eisen stellen aan de beveiliging van hun leveranciers en daar ook op controleren. Naar verwachting raakt dit meer dan 50.000 extra MKB-bedrijven in Nederland.

Lever jij aan zo’n organisatie? Dan kun jij worden gevraagd om aan te tonen dat jouw digitale beveiliging op orde is.

Wat wordt er concreet van je verwacht?

De NIS2-verplichtingen voor MKB-bedrijven zijn opgedeeld in vier onderdelen.

1. Zorgplicht

Je moet minimaal tien beveiligingsmaatregelen invoeren. Denk aan een risicoanalyse, een plan voor als er iets misgaat, toegangsbeheer en multifactorauthenticatie (MFA). Dit zijn de basismaatregelen die het NCSC voor alle organisaties aanbeveelt.

2. Meldplicht

Een ernstig incident, waarbij systemen uitvallen of data op straat ligt, moet je binnen 24 uur melden via het centrale meldportaal van het NCSC. Niet melden vergroot de schade voor jouw keten.

3. Registratieplicht

Organisaties die direct onder de Cyberbeveiligingswet vallen, melden zich aan via het NCSC-portaal (mijn.ncsc.nl). Dit is de eerste formele stap in het NIS2 compliance-traject.

4. Leveranciersverantwoordelijkheid

Grote klanten mogen jouw beveiliging controleren en eisen stellen. Jij kunt hetzelfde doen bij jouw eigen leveranciers. Informatiebeveiliging in de keten is een gedeelde verantwoordelijkheid.

Wat zijn de risico’s als je niets doet?

De maximale boete onder de Cyberbeveiligingswet is 10 miljoen euro of 2% van de wereldwijde jaaromzet. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij grove nalatigheid.

Het praktische risico voor MKB-bedrijven is minstens zo groot: aantoonbaar goede beveiliging wordt een vereiste in contracten en inkoopvoorwaarden. Wie dat niet op orde heeft, verliest opdrachten aan concurrenten die dat wél doen.

Waarom nu beginnen en niet wachten?

Implementatie van de NIS2-maatregelen duurt gemiddeld zes maanden (bron: NCSC, 2024). Als alle bedrijven tegelijk beginnen na inwerkingtreding, is er te weinig capaciteit bij specialisten.

Wie nu begint, heeft de tijd om het goed te doen. Wie wacht, staat achteraan.

NIS2 compliance MKB: een praktisch stappenplan

Stap 1: Doe een nulmeting. Of doe direct de NIS2 Quickscan via zijnweveilig.nl.
Stap 2: Breng je grootste risico’s in kaart. Dit is de basis van de NIS2-zorgplicht.
Stap 3: Voer de tien verplichte maatregelen door. Prioriteer op basis van je risicoprofiel.
Stap 4: Leg afspraken vast met leveranciers. Grote klanten kunnen jou vragen je beveiliging aan te tonen, maar jij kunt dat ook van jouw leveranciers vragen.
Stap 5: Zorg voor monitoring. Je moet incidenten op tijd kunnen detecteren en melden.
Stap 6: Meld je aan via het NCSC-portaal (mijn.ncsc.nl).

FAQ: Veelgestelde vragen

Geldt de NIS2-wet ook voor kleine bedrijven met minder dan 50 medewerkers?

Niet direct, maar wel indirect. De Cyberbeveiligingswet geldt rechtstreeks voor organisaties met minimaal 50 medewerkers of meer dan 10 miljoen euro omzet in kritieke sectoren zoals energie, transport en gezondheidszorg. Kleinere bedrijven vallen er niet automatisch onder. Maar als jij levert aan een bedrijf dat er wél onder valt, kan die klant eisen stellen aan jouw beveiliging. Naar verwachting raakt NIS2 daardoor meer dan 50.000 extra MKB-bedrijven indirect (bron: Rijksoverheid, 2024).

Wanneer wordt NIS2 verplicht in Nederland?

De Nederlandse implementatie van de NIS2-richtlijn, de Cyberbeveiligingswet, ligt bij de Tweede Kamer en wordt naar verwachting per 1 juli 2026 van kracht. Implementatie duurt gemiddeld zes maanden. Wie nu nog niet begonnen is, haalt die deadline waarschijnlijk niet.

Welke beveiligingsmaatregelen zijn verplicht onder NIS2?

De NIS2-zorgplicht verplicht minimaal tien maatregelen: risicoanalyse, een plan voor als er iets misgaat, toegangsbeheer, multifactorauthenticatie (MFA), beveiliging van leveranciers, encryptie, medewerkerstraining en actueel houden van systemen. De exacte invulling hangt af van de omvang en het risicoprofiel van je organisatie.

Wat zijn de gevolgen als je een cyberincident niet meldt bij de overheid?

Onder NIS2 ben je verplicht een ernstig incident binnen 24 uur te melden bij het NCSC (Nationaal Cyber Security Centrum). Doe je dat niet, dan riskeer je een boete. Bovendien vergroot niet melden de schade: hoe sneller een incident gemeld is, hoe sneller andere organisaties in dezelfde keten gewaarschuwd kunnen worden.

Kunnen bestuurders persoonlijk aansprakelijk worden gesteld voor NIS2-overtredingen?

Ja. De Cyberbeveiligingswet maakt bestuurders persoonlijk verantwoordelijk voor de naleving van de beveiligingsverplichtingen. Bij grove nalatigheid kunnen zij persoonlijk aansprakelijk worden gesteld, ook als de overtreding door de organisatie als geheel is begaan. Dit is een bewuste keuze van de wetgever om informatiebeveiliging hoger op de bestuurstafel te krijgen.

Hoe voldoe ik aan NIS2 als mijn bedrijf geen eigen IT-afdeling heeft?

Begin met een nulmeting om te weten waar je staat. Daarna prioriteer je op basis van je risicoprofiel. Veel kleine bedrijven schakelen hiervoor een externe beveiligingsadviseur in via een CISO-as-a-Service constructie: een of enkele dagen per maand, zonder fulltime aanstelling. Zo heb je de kennis in huis zonder vaste overhead.

Contact

Wil je weten waar jouw organisatie nu staat op het gebied van NIS2?

Wij doen een gratis NIS2-nulmeting voor MKB-bedrijven. Je krijgt een eerlijk beeld van wat je nu doet, wat je mist en wat prioriteit heeft. Geen wollige complianceverhalen, wel grip op je informatiebeveiliging.