Ben je NIS2-plichtig? Wat elke ondernemer moet weten

Waarom bestaat NIS2?

De digitale infrastructuur van Europa is kwetsbaar. Dat bleek niet uit een rapport, maar uit de praktijk: ziekenhuizen plat door ransomware, havens lamgelegd door cyberaanvallen, drinkwaterbedrijven doelwit van statelijke actoren. De eerste Europese cyberbeveiligingsrichtlijn uit 2016 — NIS1 — was te smal opgezet en te weinig afgedwongen. Lidstaten interpreteerden hem elk op hun eigen manier, waardoor de bescherming rammelde.

NIS2 (EU-richtlijn 2022/2555) is het antwoord. Meer sectoren, strengere eisen, hogere boetes en — nieuw — persoonlijke aansprakelijkheid voor bestuurders. De EU stelde als deadline 17 oktober 2024, maar Nederland liep vertraging op in het wetgevingsproces. De Cyberbeveiligingswet is in behandeling en wordt naar verwachting in de loop van 2026 van kracht.

Voor wie geldt het?

De wet maakt onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten. De drempel om eronder te vallen is lager dan veel ondernemers denken.

Een bedrijf valt in principe onder NIS2 als het minimaal 50 medewerkers heeft én een jaaromzet of balanstotaal van meer dan 10 miljoen euro — én actief is in een van de aangewezen sectoren. Voor essentiële entiteiten geldt een hogere drempel: 250 medewerkers of meer dan 50 miljoen omzet.

De sectoren zijn breed: energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur (denk aan datacenters, cloudaanbieders, telecom), overheid en ruimtevaart. Maar ook de zogenaamde “belangrijke sectoren” vallen eronder: post, chemie, voeding, industrie, digitale dienstverleners en onderzoeksorganisaties. Kleinere bedrijven kunnen alsnog verplicht worden als zij kritieke diensten verlenen of aangewezen worden door de toezichthouder.

Wat moet je concreet doen?

NIS2 is geen papieren exercitie. De wet verplicht organisaties tot een actief risicobeheer voor netwerk- en informatiebeveiliging. Dat betekent: aantoonbaar beleid opstellen, maatregelen implementeren en die maatregelen ook bijhouden als de dreigingen veranderen.

De verplichtingen omvatten onder meer het uitvoeren van risicoanalyses, beveiligingsbeleid voor systemen, procedures voor het omgaan met incidenten, back-up- en herstelplannen, en maatregelen voor de beveiliging van de toeleveringsketen — ook wel supply chain security genoemd. Dat laatste is voor veel MKB-bedrijven nieuw terrein: je bent niet alleen verantwoordelijk voor je eigen systemen, maar ook voor de risico’s die leveranciers en partners met zich meebrengen.

Bovendien geldt een meldplicht bij significante incidenten. Een ernstige cyberaanval moet binnen 24 uur gemeld worden bij de bevoegde autoriteit, met een volledig rapport binnen 72 uur. Dat vereist voorbereiding — wie improviseert in een crisissituatie, haalt die termijnen niet.

De bestuurder in de vuurlinie

Dit is het onderdeel van NIS2 dat in de boardroom het meest aandacht trekt — en terecht. De wet verplicht bestuurders en directie om toezicht te houden op de naleving van de beveiligingsmaatregelen. Dat is niet iets wat je kunt delegeren en vergeten.

Wie als bestuurder aantoonbaar heeft nagelaten om adequate maatregelen te treffen, kan persoonlijk aansprakelijk gesteld worden. Geen juridische constructie haalt je daar automatisch onderuit. Bij essentiële entiteiten kan de toezichthouder bovendien opleggen dat een bestuurder tijdelijk geen leidinggevende functies mag vervullen — een uiterste maatregel, maar wettelijk mogelijk.

Wat zijn de boetes?

De sancties in NIS2 zijn fors. Voor essentiële entiteiten geldt een maximale boete van 10 miljoen euro of 2 procent van de wereldwijde jaaromzet — whichever is higher. Voor belangrijke entiteiten loopt dat op tot 7 miljoen euro of 1,4 procent van de omzet. Dat zijn Europese maxima; de Nederlandse wet werkt dit verder uit.

Maar de financiële sanctie is niet het enige risico. Reputatieschade na een publicatie van de toezichthouder, aansprakelijkheidsclaims van klanten of partners bij een datalek, en de operationele gevolgen van een gedwongen systeemstillegging kunnen minstens zo zwaar wegen.

Tijd is geen luxe

De wet komt eraan, de richting is duidelijk. Bedrijven die nu beginnen met een nulmeting — wat hebben we al op orde, waar zitten de gaten — staan bij inwerkingtreding al een stuk sterker. Wie wacht op de exacte datum, wacht te lang.

MKB-RegelRadar.nl houdt de voortgang van de Cyberbeveiligingswet bij, inclusief aanwijzingen van de toezichthouder, uitvoeringsbesluiten en sectorspecifieke eisen. Zo weet je niet alleen wat er staat te gebeuren, maar ook wanneer het concreet wordt voor jouw sector.