Valt uw bedrijf onder de NIS2-richtlijn? En zo ja, bent u op tijd klaar? De deadline nadert snel — en de meeste MKB-directeuren weten nog niet precies wat van hen verwacht wordt. Deze checklist geeft u het complete overzicht in één leesbeurt.
Valt u eronder? De drempelwaarden
NIS2 onderscheidt twee categorieën. Actief in energie, transport, gezondheidszorg, ICT, levensmiddelen, chemie of 12 andere sectoren? Dan valt u er vrijwel zeker onder. In Nederland gaat het om 6.000 tot 8.000 organisaties — waarvan 4.500 voor het eerst.
Onder welke categorie valt u?
Essentiële entiteiten
≥ 250 medewerkers, ÓF
Jaaromzet ≥ €50 mln én balanstotaal ≥ €43 mln
Energie, transport, water, financiën, gezondheidszorg, digitale infrastructuur
Belangrijke entiteiten
≥ 50 medewerkers, ÓF
Jaaromzet ≥ €10 mln én balanstotaal ≥ €10 mln
Post, afvalbeheer, chemie, voeding, maakindustrie, digitale dienstverleners
Ook als toeleverancier van een NIS2-plichtige organisatie kunt u contractueel verplicht worden te voldoen. NIS2 werkt door in de hele toeleveringsketen.
🔍 Controleer uw scope in 2 minuten →De 10-punten compliance checklist
Dit zijn de concrete verplichtingen die u moet documenteren en aantonen. Hak ze één voor één af.
Risicoanalyse
Breng uw informatiesystemen en "kroonjuwelen" in kaart. Welke data en processen zijn kritiek? Documenteer risico's en maatregelen formeel in een risicoregister.
Incidentrespons
Stel een procedure op voor detectie, escalatie en herstel van cyberincidenten. Benoem een verantwoordelijke met naam en contactgegevens. Test het plan minimaal 1x per jaar.
Bedrijfscontinuïteit
Automatische back-ups (getest!), een gedocumenteerd herstelplan en crisismanagementprocedure. Weet u in hoeveel uur u kritische systemen kunt herstellen?
Leveranciersbeveiliging
Beoordeel de cyberweerbaarheid van uw directe leveranciers. Stel contractuele beveiligingseisen. Meer dan 60% van cyberincidenten begint bij een leverancier.
Patchmanagement
Structureel beheer van updates voor alle systemen, software en hardware. Geen enkel systeem onbeheerd laten. Documenteer uw patchcyclus en verantwoordelijke.
Effectiviteitsmeting
Meet periodiek of uw maatregelen werken. Jaarlijkse interne audit of pentest. Leg de resultaten schriftelijk vast — dit bewijst uw inspanningsverplichting.
Cyberhygiëne & training
Verplichte bewustwordingstraining voor álle medewerkers, jaarlijks herhaald. Documenteer wie wanneer getraind is. Phishing-simulaties tellen mee als bewijs.
Encryptie
Versleuteling van gevoelige data — zowel opgeslagen als bij verzending. Documenteer uw cryptografiebeleid. Uw e-mailbeveiliging (DKIM/DMARC/TLS) telt mee.
Toegangsbeheer
Least-privilege principe: medewerkers krijgen alleen toegang tot wat ze nodig hebben. Documenteer uw rollenstructuur en het offboarding-proces voor ex-medewerkers.
MFA — overal, zonder uitzondering
Multifactorauthenticatie voor álle systemen en accounts — e-mail, cloudopslag, VPN, remote access. Dit is een harde NIS2-verplichting, geen optie.
Meldplicht: de tijdlijn die u moet kennen
Bij een significant incident — een ernstige verstoring of schade aan uw dienstverlening — gelden strikte meldtermijnen. Te laat melden is zelf ook een overtreding.
| Moment | Actie | Status |
|---|---|---|
| Binnen 24 uur | Vroegwaarschuwing bij RDI/NCSC-CSIRT | Verplicht — Urgent |
| Binnen 72 uur | Formele incidentmelding met eerste beoordeling van ernst en impact | Verplicht |
| Binnen 1 maand | Eindrapport met grondoorzaak, herstelmaatregelen en lessen | Verplicht |
Boetes en bestuurlijke aansprakelijkheid
NIS2 introduceert twee categorieën boetes — én persoonlijke aansprakelijkheid voor bestuurders. Dit maakt NIS2-compliance een directiezaak, niet alleen een IT-taak.
Essentiële entiteiten
(hoogste bedrag geldt)
Belangrijke entiteiten
(hoogste bedrag geldt)
Nieuw en cruciaal: bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij aantoonbare nalatigheid. Bij ernstige inbreuken riskeert u een tijdelijk bestuursverbod. NIS2 is geen IT-probleem — het is een bestuurlijk risico.
Wat kost het? Compliance vs. non-compliance
De rekensom die iedere CFO moet kennen
Bronnen: Cybercrimebeeld Nederland 2024 (OM & Politie) voor €270.000 gemiddelde schade; Varonis Ransomware Statistics 2024 voor operationele stilstand; MKBTechGids prijsanalyse voor implementatiekosten.
Slim implementeren: gebruik de overlap
U hoeft niet van nul te beginnen. NIS2 heeft grote overlap met regelgeving die uw bedrijf waarschijnlijk al kent. Dat bespaart tijd en geld.
Framework overlap — hoeveel heeft u al?
Als u AVG-compliant bent, heeft u al een groot deel van de NIS2-technische vereisten geïmplementeerd. U voert een gap-analyse uit, vult de resterende vereisten in, en documenteert wat u al heeft. Dat is precies hoe de MKBTechGids toolkit is opgebouwd — één implementatie dekt drie frameworks tegelijk.
Klaar om te beginnen?
De NIS2 Compliance Toolkit bevat alle 8 beleidsmodules, 7 registers en 3 instrumenten die u nodig heeft voor aantoonbare compliance. Opgebouwd voor MKB — zonder adviesbureau.
Tijdlijn 2026
| Periode | Wat er gebeurt |
|---|---|
| Nu | NIS2 is EU-recht en geldt al. Voorbereiding loopt. |
| Q2 2026 | Nederlandse Cyberbeveiligingswet treedt in werking. RDI start als toezichthouder. |
| 2026 | Registratieplicht voor essentiële en belangrijke entiteiten bij RDI. |
| Advies | Begin vandaag — niet wanneer de wet formeel gehandhaafd wordt. |
Bronnen
NCSC.nl — Officiële NIS2 informatie voor Nederland | Rijksoverheid — Cyberbeveiligingswet implementatie NIS2-richtlijn | EU NIS2 Directive (Richtlijn 2022/2555) | Rijksoverheid — Cybercrimebeeld Nederland 2024 (OM & Politie) | DataGuard — NIS2 Requirements Mapped to ISO 27001:2022 Controls | IAPP — NIS2 Directive: Mapping the Interplays with the GDPR | Varonis — Ransomware Statistics, Data, Trends, and Facts (2024)