Valt een MKB-bedrijf ook onder de NIS2-wetgeving?
Ja, een MKB-bedrijf kan zeker onder de NIS2-wetgeving vallen. Of dat het geval is, hangt af van de sector waarin je actief bent en de omvang van je organisatie. Niet elke kleine of middelgrote onderneming valt automatisch buiten de scope van NIS2. In dit artikel beantwoorden we de meest gestelde vragen over NIS2 en het MKB, zodat je weet waar je staat en wat er van je verwacht wordt.
Welke bedrijven vallen wél onder de NIS2-richtlijn?
De NIS2-richtlijn is van toepassing op organisaties die actief zijn in sectoren die als kritiek of belangrijk worden beschouwd. Bedrijven worden ingedeeld als essentiële entiteiten of belangrijke entiteiten, afhankelijk van hun sector en omvang. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 van kracht wordt.
De sectoren die onder NIS2 vallen, zijn breed. Denk aan energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur, financiële dienstverlening, ICT-dienstverlening, productie en de voedselsector. Maar ook organisaties die niet zelf in scope vallen, kunnen te maken krijgen met NIS2-verplichtingen als ze onderdeel zijn van de keten van een organisatie die wél onder de wet valt. Leveranciers en dienstverleners worden dan indirect aangesproken op hun digitale weerbaarheid.
Een belangrijk principe van NIS2 is ketenverantwoordelijkheid: ook als jouw bedrijf formeel buiten de directe scope valt, kunnen klanten die wél onder NIS2 vallen eisen stellen aan jouw beveiligingsniveau. Dat maakt NIS2-wetgeving voor het MKB relevanter dan veel ondernemers denken.
Wat zijn de drempelwaarden voor MKB-bedrijven onder NIS2?
De NIS2-richtlijn hanteert duidelijke drempelwaarden op basis van bedrijfsomvang. Organisaties met minimaal 50 medewerkers of een jaarlijkse omzet en balanstotaal van meer dan 10 miljoen euro kunnen in scope vallen, mits ze actief zijn in een van de aangewezen sectoren. Kleinere bedrijven vallen in principe buiten de directe reikwijdte van de wet.
Er zijn echter uitzonderingen. Voor bepaalde sectoren, zoals aanbieders van kritieke digitale diensten of organisaties die een essentiële rol spelen in de nationale infrastructuur, kunnen lagere drempelwaarden gelden. De overheid kan ook specifieke organisaties aanwijzen die, ongeacht hun omvang, toch als essentieel of belangrijk worden beschouwd.
Concreet betekent dit dat een MKB-bedrijf met minder dan 50 medewerkers in de meeste gevallen niet rechtstreeks onder NIS2 valt, maar dat dit geen vrijbrief is. Ketenverplichtingen, sectorspecifieke regels en de indirecte druk vanuit klanten en partners maken dat ook kleinere organisaties hun cybersecurity serieus moeten nemen.
In welke sectoren geldt NIS2 ook voor kleinere organisaties?
Voor sommige sectoren geldt dat zelfs kleinere organisaties direct onder NIS2 kunnen vallen, ongeacht of ze de standaard drempelwaarden halen. Dit zijn sectoren die zo kritiek zijn voor de samenleving dat de omvang van een organisatie minder zwaar weegt dan de aard van de dienstverlening.
Sectoren waar dit speelt, zijn onder andere:
- Aanbieders van publieke elektronische communicatienetwerken en -diensten
- Vertrouwensdienstverleners, zoals partijen die digitale handtekeningen of certificaten uitgeven
- DNS-dienstverleners en registers van topleveldomeinen
- Overheidsinstanties, ook op lokaal niveau
- Kritieke infrastructuurbeheerders in energie, water en transport
Daarnaast zijn er veel MKB-bedrijven in sectoren als ICT-dienstverlening, logistiek, zorg en food die weliswaar de drempelwaarden niet halen, maar wél werken voor klanten die dat doen. In die gevallen worden zij via contractuele eisen of aanbestedingsvoorwaarden indirect gedwongen te voldoen aan NIS2-standaarden. Beveiliging binnen Microsoft 365 speelt daarin een steeds grotere rol, omdat veel van die organisaties dagelijks werken met cloudplatformen die gevoelige data bevatten.
Wat moet een MKB-bedrijf doen als het onder NIS2 valt?
Als jouw organisatie onder de NIS2-wetgeving valt, ben je verplicht een reeks technische en organisatorische maatregelen te treffen. De wet schrijft voor dat je aantoonbaar grip hebt op je digitale risico’s, dat je incidenten tijdig meldt en dat je de beveiliging van je keten borgt.
De belangrijkste verplichtingen op een rij:
- Risicoanalyse uitvoeren: Breng in kaart welke systemen, processen en data kritiek zijn en waar de kwetsbaarheden zitten.
- Technische beveiligingsmaatregelen implementeren: Denk aan multi-factor authenticatie, versleuteling, netwerksegmentatie en patchbeheer.
- Incident response plan opstellen: Zorg dat je weet wat je doet als er een incident plaatsvindt, inclusief wie verantwoordelijk is en hoe je communiceert.
- Meldplicht naleven: Significante incidenten moeten binnen 24 uur worden gemeld bij de bevoegde autoriteit, met een volledig rapport binnen 72 uur.
- Ketenbeveiliging borgen: Stel eisen aan leveranciers en zorg dat ook zij voldoende beveiligd zijn.
- Bestuurders trainen: Bestuurders zijn persoonlijk verantwoordelijk en moeten aantoonbaar beschikken over kennis van cyberrisico’s en de bijbehorende wet- en regelgeving.
Dat laatste punt is een opvallend onderdeel van de Cyberbeveiligingswet: niet alleen de IT-afdeling, maar ook directeuren en commissarissen worden aangesproken op naleving. Bestuurlijke betrokkenheid is geen optie, maar een wettelijke verplichting.
Wat zijn de gevolgen als een MKB-bedrijf NIS2 negeert?
De gevolgen van het niet naleven van NIS2-verplichtingen zijn aanzienlijk. Toezichthouders kunnen boetes opleggen, en voor essentiële entiteiten kunnen die oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten gelden maxima van 7 miljoen euro of 1,4% van de omzet.
Maar de financiële sancties zijn niet het enige risico. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld als zij aantoonbaar tekortgeschoten zijn in hun zorgplicht. Dit betekent dat een directeur of commissaris in het uiterste geval privé aangesproken kan worden voor schade die voortvloeit uit een beveiligingsincident.
Daarnaast zijn er reputatierisico’s. Een datalek of cyberaanval die had kunnen worden voorkomen met de juiste maatregelen, schaadt het vertrouwen van klanten, partners en medewerkers. In sectoren waar continuïteit en vertrouwelijkheid centraal staan, kan dat langdurige gevolgen hebben voor de bedrijfsvoering.
Tot slot: organisaties die aantoonbaar niet voldoen aan NIS2, lopen het risico uitgesloten te worden van aanbestedingen of samenwerkingen met partijen die wél in scope vallen en hun keten willen beveiligen.
Hoe kan een MKB-bedrijf zich praktisch voorbereiden op NIS2?
Praktische voorbereiding op NIS2 begint met inzicht: weet eerst of en in welke mate jouw organisatie onder de wet valt. Daarna is het zaak om stap voor stap de juiste maatregelen te treffen, zonder direct alles tegelijk te willen aanpakken.
Een effectieve aanpak ziet er als volgt uit:
- Nulmeting uitvoeren: Breng je huidige beveiligingssituatie in kaart. Wat heb je al geregeld, en waar zitten de gaten?
- Scope bepalen: Stel vast of jouw organisatie direct onder NIS2 valt, of indirect via klanten en partners.
- Prioriteiten stellen: Niet alles hoeft tegelijk. Begin met de meest kritieke risico’s en werk van daaruit verder.
- Documentatie op orde brengen: NIS2 draait niet alleen om maatregelen nemen, maar ook om kunnen aantonen dat je ze hebt genomen.
- Medewerkers en bestuurders bewust maken: Cybersecurity is geen IT-feestje. Zorg dat iedereen, van directie tot werkvloer, begrijpt wat er van hen verwacht wordt.
- Leveranciers screenen: Vraag ook aan jouw toeleveranciers hoe zij omgaan met beveiliging en leg afspraken vast.
Voor veel MKB-bedrijven is het verstandig om hierbij samen te werken met een gespecialiseerde ICT-partner die de weg kent in het NIS2-landschap en die ook de technische implementatie kan verzorgen. Professioneel ICT-beheer en ondersteuning vormt daarin een solide basis, omdat een goed beheerde omgeving de helft van de beveiligingsuitdagingen al oplost.
Hoe Puur ICT helpt met NIS2-compliance voor het MKB
Wij begrijpen dat NIS2 voor veel MKB-organisaties een complexe opgave is. Als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener helpen wij je stap voor stap naar aantoonbare naleving, zonder dat je verdwaalt in juridisch jargon of technische complexiteit. Wat wij concreet voor je doen:
- Nulmeting en scopebepaling: We brengen in kaart of en in welke mate jouw organisatie onder de NIS2-wetgeving valt.
- Risicoanalyse: We identificeren de kwetsbaarheden in jouw IT-omgeving en prioriteren de maatregelen die het meeste verschil maken.
- Technische implementatie: Binnen het Microsoft-ecosysteem zorgen we voor de juiste beveiligingsmaatregelen, van multi-factor authenticatie tot geavanceerde monitoring.
- Bestuurderstraining en cyber awareness: We verzorgen interactieve trainingen voor directie en MT, zodat bestuurders aantoonbaar voldoen aan hun opleidingsplicht.
- Doorlopend beheer en rapportage: We monitoren jouw omgeving continu en rapporteren helder, zodat je altijd weet waar je staat.
Wil je weten of jouw organisatie onder NIS2 valt en wat de eerste stappen zijn? Neem contact met ons op voor een vrijblijvend gesprek. We denken graag met je mee, in begrijpelijke taal en met een aanpak die past bij de schaal van jouw organisatie.
Gerelateerde artikelen
- Hoe richt je een veilige gastgebruikersomgeving in voor externe partners in Microsoft Teams?
- Hoe schaal je van 100 naar 200 werkplekken zonder groot migratieproject?
- Hoe stel je een crisisorganisatie in voor een cyberincident?
- Wat houdt de meldplicht bij een cyberincident onder NIS2 in?
- Wat moet je regelen in Microsoft 365 voor een ISO 27001-certificering?
Gerelateerde artikelen
- Wat is een risicoanalyse en hoe voer je die uit voor NIS2?
- Zijn bestuurders persoonlijk aansprakelijk onder de NIS2-wetgeving?
- Wat is het verschil tussen NIS1 en NIS2?
- Hoe ziet een Microsoft 365-migratietraject eruit van begin tot livegang?
- Hoe richt je een veilige gastgebruikersomgeving in voor externe partners in Microsoft Teams?














