Technologie & Tools

NIS2 wordt per juli wet en zo bereid je je bedrijf voor

· 7 min leestijd

Over minder dan vier weken treedt de Cybersecuritywet (Cbw) in Nederland in werking - de nationale vertaling van de Europese NIS2-richtlijn. Dat klinkt als overheidsbeleid dat je pas opmerkt als het te laat is. Voor tienduizenden mkb-bedrijven is het dat ook bijna: slechts 14% voldoet nu aan de NIS2-eisen, terwijl de wet per 1 juli van kracht wordt.

Wat is de Cybersecuritywet precies

De NIS2-richtlijn (Network and Information Security 2) verplicht bedrijven in kritieke sectoren om hun digitale beveiliging serieus te nemen. De Nederlandse Cybersecuritywet is de nationale uitwerking van die Europese regel. Sectoren als energie, transport, gezondheidszorg, water en digitale dienstverlening vallen er direct onder.

De wet is strenger dan haar voorganger NIS1. Meer sectoren vallen eronder, de rapportageplichten zijn concreter, en bestuurders zijn persoonlijk aansprakelijk bij niet-naleving. Boetes lopen op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welke hoger is.

Valt jouw bedrijf eronder

Direct vallen bedrijven met 50 of meer medewerkers, of meer dan 10 miljoen euro omzet, in een van de aangewezen sectoren. Maar ook kleinere bedrijven kunnen er indirect mee te maken krijgen. Grote partijen die wel direct onder NIS2 vallen, gaan extra beveiligingseisen stellen aan hun leveranciers, partners en klanten.

Lever je aan de overheid, ziekenhuizen of grote industriële bedrijven? Dan is de kans groot dat je binnenkort vragen krijgt over jouw beveiligingsbeleid. Een eerlijk antwoord met een concreet actieplan staat beter dan het ontwijken van die vragen. Op het Ondernemersplein van de overheid vind je een helder overzicht van de sectoren en drempelwaarden.

Net als bij de verplichte e-facturatie die eerder dit jaar op mkb-bedrijven afkwam, geldt ook hier: de wet wacht niet op je voorbereiding. Lees ook ons artikel over de e-facturatieplicht als je wilt zien hoe dat patroon er eerder uit zag.

Wat zijn de verplichtingen

Val je direct in scope, dan zijn de eisen concreet:

  • Risicobeheer: aantoonbare risicoanalyses en beschermingsmaatregelen per systeem.
  • Incidentmelding: een cyberincident meld je binnen 24 uur bij de toezichthouder, met een volledig rapport binnen 72 uur.
  • Leveranciersbeveiliging: jij bent verantwoordelijk voor de digitale veiligheid in jouw toeleveringsketen.
  • Toegangscontrole: meervoudige verificatie (MFA) is verplicht voor alle kritieke systemen.
  • Back-ups en herstelplannen: gedocumenteerde procedures voor dataherstel na een incident.

Nieuw ten opzichte van NIS1 is de persoonlijke aansprakelijkheid van directeuren en bestuurders. Dit is daarmee niet langer alleen een IT-kwestie - het is een bestuursverantwoordelijkheid.

Praktische tools om mee te beginnen

Voldoen aan de Cybersecuritywet hoeft geen omvangrijk IT-project te worden. Een paar gerichte stappen leveren al veel op.

Begin met een wachtwoordmanager voor bedrijven. Oplossingen als 1Password Teams, Keeper Business of Dashlane for Business regelen in één keer sterke wachtwoorden voor alle medewerkers, en maken MFA makkelijk af te dwingen. Kosten: tussen de 4 en 8 euro per gebruiker per maand. Ter vergelijking: de gemiddelde schade bij een cyberincident bij een mkb-bedrijf bedraagt 67.000 euro.

Meervoudige verificatie (MFA) is de goedkoopste maatregel met het grootste effect. Microsoft Authenticator, Google Authenticator en Duo Security zijn gratis of bijna gratis, en uitrollen duurt een middag.

Voor risicobeheer en documentatie zijn tools als Holm Security, Tenable of zelfs een goed ingerichte spreadsheet een begin. Wat telt is dat je de risicos benoemt, maatregelen koppelt aan systemen, en dat vastlegt.

Automatische back-ups buiten je eigen netwerk zijn niet optioneel. Cloudoplossingen als Backblaze B2, Acronis Cyber Backup of Microsoft Azure Backup regelen dit voor je, ook buiten kantooruren. Koppel dit aan een gedocumenteerd herstelplan, hoe beknopt ook.

Meer weten over hoe je omgaat met klantdata in een tijd van toenemende digitale wetgeving? Lees ook waarom je klantdata niet langer aan Google kunt uitbesteden.

Dit regel je vóór 1 juli

Je hoeft niet morgen volledig NIS2-compliant te zijn, maar je hebt ook nog maar drie weken. Dit zijn de stappen die je nu kunt zetten:

  1. Check je scope via het Ondernemersplein of de NCSC-website.
  2. Maak een inventarisatie van je kritieke systemen: welke software, servers en diensten gebruik je? Wie heeft toegang?
  3. Zet MFA aan voor je mailprogramma, boekhoudpakket en CRM-software.
  4. Kies en implementeer een wachtwoordmanager voor je hele team.
  5. Automatiseer je back-ups - dagelijks, versleuteld, met één kopie buiten je eigen netwerk.
  6. Leg het vast - een beknopt document met je maatregelen, contactpersonen en incidentprocedure is al een begin van de vereiste documentatie.

Het kabinet investeert ruim 5 miljoen euro in cybersecurityleernetwerken om mkb-bedrijven op weg te helpen, zo meldde de rijksoverheid in april. Gebruik die steun - maar wacht er niet op. De wet staat niet stil.

cybersecurity Cybersecuritywet digitale veiligheid MFA mkb wetgeving NIS2 wachtwoordmanager
H
Geschreven door Henrik Bakke Tech & tools schrijver

Henrik schrijft over technologie en tools voor ondernemers met de no-nonsense houding van iemand die zelf jarenlang de verkeerde software kocht. Hij filtert de hype van de echte innovatie en helpt je om de juiste tools te kiezen zonder een fortuin uit te geven aan licenties die je toch niet gebruikt. Als voormalig CTO van drie SaaS-bedrijven heeft hij meer dashboards gezien dan de meeste mensen in een heel leven, en hij weet precies welke functies je echt nodig hebt en welke alleen maar mooi staan in een demo. Zijn Noorse achtergrond maakt hem allergisch voor overdrijving, wat zijn reviews verfrissend eerlijk maakt. Henrik test elke tool die hij aanbeveelt minimaal twee weken zelf, want hij vindt dat je alleen mag schrijven over software die je ook daadwerkelijk hebt gevloekt.

Misschien vind je dit ook leuk

Technologie & Tools

Slechts 1 op de 10 mkb'ers is klaar voor verplichte e-facturatie
Technologie & Tools

Zo besparen AI agents ondernemers gemiddeld 10 uur per week
Ondernemen & Starten

Waarom niche webshops de markt veroveren met expertise