NIS2-stappenplan voor het MKB: 10 stappen naar compliance
NIS2 geldt voor essentiële en belangrijke entiteiten in 18 sectoren. Wie verplicht is, moet aantoonbaar voldoen aan technische beveiligingsvereisten, incidentmelding binnen 24 uur en bestuurlijke verantwoordelijkheid. Dit stappenplan begeleidt je van nulmeting naar compliance in 12 tot 20 weken.
NIS2 (Network and Information Security Directive 2) is de Europese richtlijn voor cybersecurity van kritieke sectoren. De Nederlandse implementatie (Wet beveiliging netwerk- en informatiesystemen 2, Wbni2) is van toepassing op bedrijven in aangewezen sectoren boven bepaalde omvang-drempels.
Tijdlijn: van nulmeting naar compliance
| Week | Activiteit | Verantwoordelijke | Output |
|---|---|---|---|
| 1-2 | Nulmeting: welke maatregelen zijn al aanwezig? | CISO of IT-manager + externe auditor | Gap-analyse rapport |
| 3-4 | Prioritering: welke gaps zijn het meest urgent? | Directie + CISO | Geprioriteerde actie-backlog |
| 5-8 | Technische maatregelen implementeren | IT-team of MSP | MFA, back-up, patch, monitoring actief |
| 8-10 | Beleid opstellen (beveiligingsbeleid, incidentrespons) | CISO of compliancefunctie | Gedocumenteerde beleidsset |
| 10-12 | Toeleveringsketen beveiligen | Inkoop + CISO | Leveranciersclausules ingevoerd |
| 12-14 | Medewerkerstraining | HR + CISO | Aantoonbare training |
| 14-16 | Incidentmeldprocedure testen | IT + directie | Geteste procedure, scenario doorlopen |
| 16-20 | Registratie bij toezichthouder | Compliancefunctie | Registratie CSIRT-DSP of sector-toezichthouder |
| 20+ | Periodieke review en bijstelling | CISO | Kwartaalrapportage aan directie |
Stap 1: Stel vast of je onder NIS2 valt
| Sector | Essentieel (groot) | Belangrijk (middelgroot) |
|---|---|---|
| Energie, drinkwater, digitale infra | > 250 mw of > €50M omzet | > 50 mw of > €10M omzet |
| Vervoer, gezondheidszorg, overheid | > 250 mw of > €50M omzet | > 50 mw of > €10M omzet |
| Afvalwater, ICT-diensten, post | > 250 mw of > €50M omzet | > 50 mw of > €10M omzet |
| Voedselproductie, chemie, onderzoek | Niet essentieel | > 50 mw of > €10M omzet |
| Overige digitale dienstverleners | Afhankelijk van dienst | Regelspecifiek |
Stap 2: Nulmeting uitvoeren
Beoordeel elk van de tien maatregelengebieden van NIS2 op naleving (0-100%):
| Maatregelengebied | NIS2-vereiste | Nulmeting (score 0-100%) |
|---|---|---|
| Risicobeheer | Formeel risicobeoordeling-proces | _% |
| Beveiligingsbeleid | Gedocumenteerd, goedgekeurd door directie | _% |
| Incidentresponse | Procedure + testprocedure | _% |
| Bedrijfscontinuïteit | BCP en DRP aanwezig en getest | _% |
| Leveranciersveiligheid | Beveiligingsclausules in contracten | _% |
| Toegangsbeheer | MFA, minimale rechten, levenscyclus | _% |
| Encryptie | In transit en at rest | _% |
| Patchmanagement | Kritieke patches binnen 30 dagen | _% |
| Monitoring en logging | SIEM of security logging actief | _% |
| Medewerkersbewustzijn | Aantoonbare jaarlijkse training | _% |
Stap 3: Kosten per maatregel
| Maatregel | Tools | Jaarlijkse kosten (50 mw) | Implementatietijd |
|---|---|---|---|
| MFA voor alle gebruikers | M365 inbegrepen | €0 extra bij Business Premium | 2-4 uur |
| EDR (endpoint detection) | Defender for Endpoint P1 | Inbegrepen Business Premium | 4-8 uur |
| Immutable back-up | Azure Backup | €85-€200/maand | 1-2 dagen |
| Patchmanagement | Intune + Windows Update for Business | Inbegrepen Business Premium | 4-8 uur |
| Security logging (basis SIEM) | Defender XDR / Microsoft Sentinel | €50-€500/maand (Sentinel) | 1-2 weken |
| Incidentresponsplan opstellen | Intern of consultant | €0-€5.000 eenmalig | 1-2 weken |
| Leveranciersclausules invoeren | Juridisch | €500-€2.000 eenmalig | 2-4 weken |
| Medewerkerstraining (jaarlijks) | KnowBe4, eLearning | €25-€50/medewerker/jaar | 1,5 uur/mw |
| Pentest (jaarlijks) | Extern | €3.000-€8.000/jaar | 1-2 weken |
| Totaal jaarlijks (Business Premium al actief) | €6.000-€18.000 |
Stap 7: Incidentmelding — de 24/72-uursregel
NIS2 vereist een getrapt meldingssysteem bij beveiligingsincidenten:
| Termijn | Wat te melden | Aan wie |
|---|---|---|
| Binnen 24 uur | Eerste melding: vermoeden van significant incident | CSIRT (nationaal computer security team) |
| Binnen 72 uur | Update: aard incident, getroffen systemen, eerste inschatting impact | CSIRT |
| Binnen 1 maand | Eindverslag: volledige analyse, genomen maatregelen, lessen | CSIRT + eventueel toezichthouder |
Een "significant incident" is een incident dat ernstige operationele verstoring veroorzaakt of van invloed is op andere organisaties. Bij twijfel: meld. De drempel is laag.
Stap 10: Registratieplicht
Essentiële en belangrijke entiteiten moeten zich registreren bij de bevoegde toezichthouder. In Nederland:
| Sector | Toezichthouder |
|---|---|
| Energie, transport, water | NCTV / RDI |
| Gezondheidszorg | IGJ |
| Digitale infrastructuur en ICT-diensten | RDI (Rijksinspectie Digitale Infrastructuur) |
| Financieel | DNB / AFM |
| Overig / onzeker | NCSC-loket |
Praktijkscenario: installatiebedrijf haalt NIS2-compliance in 14 weken
Een installatiebedrijf voor kritieke infrastructuur (energiesector, 68 medewerkers) viel als "belangrijke entiteit" onder NIS2.
Nulmeting score: gemiddeld 38% compliance over 10 maatregelengebieden.
Aanpak: Microsoft 365 Business Premium uitgerold (was Basic), Azure Backup immutable ingesteld, KnowBe4-training voor alle 68 medewerkers, incidentresponsplan opgesteld, leveranciersclausules ingevoerd.
Score na 14 weken: gemiddeld 79% compliance. Resterende gap: monitoring en logging (Sentinel nog niet actief).
Jaarlijkse kosten compliance: €14.500 (licenties, training, pentest, Sentinel-lite).
Bestuurlijke verantwoordelijkheid: wat directeuren moeten weten
NIS2 legt de verantwoordelijkheid voor cybersecurity expliciet bij het bestuur:
| Verplichting | Wat het betekent | Gevolg bij niet-naleving |
|---|---|---|
| Bestuur goedkeurt beveiligingsbeleid | Directeur/RvB ondertekent het beleid | Persoonlijke aansprakelijkheid bij incident |
| Bestuur volgt cybersecurity-opleiding | Minimaal 1 keer per jaar training | Reputatierisico, aansprakelijkheidsrisico |
| Bestuur rapporteert over compliance | Kwartaalrapportage aan RvB | Boete voor organisatie |
| Bestuur superviseert implementatie | Actieve betrokkenheid, niet delegeren en vergeten | Persoonlijk boeterisico bij ernstige nalatigheid |
In tegenstelling tot de AVG kan NIS2 leiden tot persoonlijke aansprakelijkheid van bestuurders, niet alleen van de rechtspersoon.
NIS2 en de toeleveringsketen
Een specifiek NIS2-vereiste dat veel MKB-bedrijven raakt: leveranciersveiligheid.
| Verplichting | Wat het betekent |
|---|---|
| Risicoanalyse leveranciers | Beoordeel cybersecurityrisico van kritieke leveranciers |
| Contractuele beveiligingsvereisten | Stel minimale beveiligingseisen in leverancierscontracten |
| Incidentmelding leverancier | Leverancier moet je informeren bij incident dat jouw systemen raakt |
| Periodieke leveranciersbeoordeling | Jaarlijkse review van kritieke leveranciers op naleving |
Kleinere MKB-bedrijven die leveren aan essentiële entiteiten, worden indirect geraakt: hun klanten eisen NIS2-compliance als voorwaarde voor levering.
NIS2 technische minimummaatregelen samengevat
| Maatregel | NIS2-relevant? | Deadline |
|---|---|---|
| MFA voor alle accounts | Ja (art. 21.2d) | Direct |
| Beveiligde back-up (immutable) | Ja (art. 21.2c) | Direct |
| Patchmanagement < 30 dagen | Ja (art. 21.2c) | Direct |
| Encryptie data in transit en at rest | Ja (art. 21.2h) | Korte termijn |
| Security monitoring (logging) | Ja (art. 21.2a) | Korte termijn |
| Incidentresponsplan gedocumenteerd | Ja (art. 21.2c) | Korte termijn |
| Leveranciersbeveiliging contractueel | Ja (art. 21.3) | Middellange termijn |
| Medewerkerstraining aantoonbaar | Ja (art. 21.2g) | Jaarlijks |
| Pentest of kwetsbaarhedenscan | Ja (art. 21.2e) | Jaarlijks |
| Registratie bij toezichthouder | Ja (art. 27) | Zo spoedig mogelijk |
Kosten van NIS2-compliance: twee scenario's
| Scenario | Wat je al hebt | Extra investering | Tijdsduur |
|---|---|---|---|
| Goed startpunt (Business Premium actief, MFA aan) | M365 BP, MFA, basis back-up | €5.000-€12.000/jaar (training, pentest, Sentinel-lite) | 8-12 weken |
| Slecht startpunt (Business Basic, geen MFA) | Alleen Basic licenties | €15.000-€35.000 eerste jaar (licentie-upgrade, implementatie, training) | 16-24 weken |
Voor de meeste MKB-bedrijven die al Business Premium hebben, is NIS2-compliance een kwestie van activeren en documenteren, niet van groot inkopen.
Veelgestelde vragen
Wanneer moeten Nederlandse bedrijven NIS2-compliant zijn?
De Nederlandse Wbni2 is op 16 oktober 2024 in werking getreden. Toezichthouders zijn bezig met handhavingskader. In 2025 worden de eerste formele controles en boetes verwacht.
Wat zijn de boetes bij niet-naleving?
Essentiële entiteiten: max. €10 miljoen of 2% wereldwijde omzet. Belangrijke entiteiten: max. €7 miljoen of 1,4% wereldwijde omzet. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld.
*Zie ook: NIS2 voor welke bedrijven | NIS2 technische maatregelen | NIS2 leveranciersketen | NIS2 boetes risicos | Zero Trust Microsoft 365 | Microsoft 365 beveiliging | Incident response plan*
NIS2-compliance check: snel beoordelen waar je staat
| Vraag | Ja | Nee |
|---|---|---|
| Is MFA actief voor alle medewerkers? | +1 | 0 |
| Is er een getest incidentresponsplan? | +1 | 0 |
| Worden kritieke patches binnen 30 dagen geïnstalleerd? | +1 | 0 |
| Is er een immutable back-up die maandelijks getest wordt? | +1 | 0 |
| Heeft het bestuur een beveiligingsbeleid goedgekeurd? | +1 | 0 |
| Zijn leverancierscontracten voorzien van beveiligingseisen? | +1 | 0 |
| Heeft 100% van de medewerkers afgelopen jaar security-training gevolgd? | +1 | 0 |
| Is er actieve security-monitoring (EDR/SIEM)? | +1 | 0 |
| Is een jaarlijkse kwetsbaarhedenscan of pentest gedaan? | +1 | 0 |
| Ben je geregistreerd bij de bevoegde toezichthouder? | +1 | 0 |
Score 0-3: Hoog risico, directe actie vereist.
Score 4-6: Basisniveau, nog significante gaps.
Score 7-9: Goed op weg, afwerk-stappen nodig.
Score 10: NIS2-compliant niveau bereikt.
Externe ondersteuning: wanneer een specialist inhuren?
| Situatie | Specialist | Kosten indicatie |
|---|---|---|
| Nulmeting uitvoeren | Cybersecurity-adviseur | €1.500-€4.000 |
| Incidentresponsplan opstellen | CISO-as-a-service of consultant | €1.000-€3.000 |
| Penetratietest | Pentest-bureau | €3.000-€8.000 |
| Juridisch advies NIS2-scope | NIS2-gespecialiseerde jurist | €500-€2.000 |
| Implementatie technische maatregelen | MSP of Microsoft-partner | €2.000-€15.000 |
| NIS2-compliance volledig uitbesteden | Managed Security Service Provider | €300-€800/maand |