(Dit is samenvatting van webinars met Samen Digitaal Veilig, Schuiteman Accountants en Adviseurs en Lupasafe aan Mkb bedrijven – hier kun je deze nakijken en de presentatie is hier te dowloaden)
Je hoeft niet in de ‘kritieke sectoren’ te zitten om straks een NIS2-probleem te hebben. Naar schatting 50.000 tot 100.000 MKB-bedrijven in Nederland krijgen indirect met de wet te maken — niet omdat de overheid ze aanspreekt, maar omdat hun klanten dat doen.
De boodschap die we steeds vaker horen van directeuren: “Mijn klant vraagt of wij NIS2-compliant zijn. Ik weet het antwoord niet.” Dat is een gevaarlijke positie. Want klanten die zelf onder de wet vallen, zijn verplicht hun toeleveringsketen te controleren. Als jij dat niet kunt aantonen, verlies je de opdracht.
“NIS2 wordt de license to operate. Zoals een brandblusser in je pand verplicht is, zo wordt een NIS2-certificering straks de toegangsprijs tot de supply chain.” — Webinar Samen Digitaal Veilig & Schuiteman, februari 2026
In dit artikel vind je een concrete NIS2 checklist voor MKB. Geen juridisch jargon, maar 10 stappen die je als directeur of IT-manager direct kunt gebruiken. Begin met de gratis NIS2 Quick Scan om te ontdekken waar uw organisatie staat.
Wat is NIS2 en waarom raakt het jou als MKB-bedrijf?
NIS2 (Network and Information Security Directive 2) is Europese wetgeving die in Nederland wordt ingevoerd als de Cyberbeveiligingswet. De verwachte ingangsdatum is 1 juli 2026.
De wet verplicht ongeveer 10.000 bedrijven — organisaties in 18 kritieke sectoren met meer dan 50 medewerkers of meer dan 10 miljoen euro omzet — om aantoonbaar veilig te werken. Maar die 10.000 bedrijven zijn op hun beurt verplicht om ook hun leveranciers te controleren. Dat is de ketenverantwoordelijkheid.
Concreet: als jij levert aan een ziekenhuis, gemeente, energiebedrijf, bank, logistiek bedrijf of andere NIS2-plichtige organisatie, zal die klant jou binnenkort vragen om aan te tonen dat je veilig werkt. Dit gebeurt nu al. Werkt u in de zorg? Bekijk onze NIS2-pagina voor zorgorganisaties.
1 op de 5 MKB-bedrijven wordt jaarlijks slachtoffer van een cyberaanval. Na een aanval duurt het gemiddeld 21 dagen voordat een bedrijf weer volledig operationeel is.
Val ik als MKB-bedrijf onder NIS2?
Je valt direct onder de wet als:
- Je werkzaam bent in één van de 18 kritieke sectoren (energie, transport, zorg, financieel, IT-diensten, overheid, voedsel, afvalbeheer en meer)
- Je meer dan 50 medewerkers hebt of meer dan 10 miljoen euro omzet/balanstotaal
Je valt indirect onder de wet als:
- Je levert aan bedrijven die wel direct NIS2-plichtig zijn
- Die klanten zijn wettelijk verplicht hun keten te beveiligen — en dat betekent dat ze jou gaan controleren
Zelfs als je op papier niet NIS2-plichtig bent, kan je klant dit als contractuele voorwaarde eisen. Wacht dus niet op een officiële aanschrijving.
De NIS2 checklist MKB: 10 stappen voor directeuren
Dit zijn de 10 concrete stappen die voortkomen uit de NIS2-normering, vertaald naar de praktijk van een MKB-bedrijf. Geen IT-achtergrond vereist.
Stap 1 — Stel vast of je onder de wet valt (of moet voldoen als leverancier)
Gebruik de zelfevaluatietool van de overheid via het Digital Trust Center. Maar check ook: lever ik aan klanten die wél NIS2-plichtig zijn? De kans is groot dat je al voor 1 juli een vragenlijst van je klant ontvangt.
Stap 2 — Wijs een verantwoordelijke aan voor cybersecurity
Dit hoeft geen fulltime CISO te zijn. Maar er moet iemand zijn — intern of extern — die de regie heeft. Dit is een expliciete NIS2-verplichting die je IT-leverancier niet voor je kan invullen. De directeur is eindverantwoordelijk.
Stap 3 — Stel een informatiebeveiligingsbeleid op
Heb je een document dat beschrijft hoe jouw organisatie omgaat met data, toegang en beveiliging? Dit is de basis van elke NIS2-toetsing. Zonder dit document kun je niet aantonen dat je beleid hebt.
Stap 4 — Breng je back-up en herstelplan op orde
“Check minimaal één ding: of je een goede back-up hebt en of die daadwerkelijk teruggezet kan worden. Dan hoef je niet te onderhandelen met criminelen.” — Han Veldwijk, CEO Lupasafe
Een back-up die nooit getest is, is geen back-up. Controleer: hoe oud is de laatste back-up, is die extern opgeslagen, en is hij ook teruggezet als test?
Stap 5 — Inventariseer je apparaten en toegangsrechten
Weet je hoeveel laptops, telefoons en cloudaccounts er toegang hebben tot jouw bedrijfsdata? En wie beheerdersrechten heeft? Maak een overzicht van alle apparaten en zorg dat medewerkers niet onnodig lokale beheerdersrechten hebben.
Stap 6 — Zet meervoudige verificatie (MFA) aan op alle accounts
Microsoft 365, e-mail, VPN — overal. MFA is de goedkoopste maatregel met de grootste impact. Veel hacks worden voorkomen door simpelweg MFA in te schakelen. Dit is ook een basiseis in de NIS2-normering.
Stap 7 — Bescherm thuiswerkers en remote verbindingen
Werken medewerkers thuis, in hotels of op locatie bij klanten? Dan moeten ze via VPN werken en mogen ze geen lokale beheerdersrechten hebben. Laptop gestolen? Als er geen schijfversleuteling (encryptie) is, is je data weg.
Stap 8 — Train je medewerkers in cyberbewustzijn
De meeste cyberaanvallen beginnen met een medewerker die op een phishinglink klikt. Jaarlijkse training en phishing-simulaties zijn een NIS2-verplichting én de meest effectieve maatregel die je kunt nemen. Mensen zijn het kwetsbaarste én het sterkste onderdeel van je beveiliging.
Stap 9 — Zorg voor een incidentresponsplan
Wat doe je als je morgen gehackt wordt? Wie bel je? Wie informeer je? Bij NIS2 moet je significante incidenten binnen 24 uur melden bij de toezichthouder. Leg dit vast — ook al is het maar een A4.
Stap 10 — Documenteer en maak het aantoonbaar
Compliance zonder bewijs bestaat niet. Je klant en toezichthouder willen zien dat je het geregeld hebt, niet alleen horen dat het zo is. Gebruik een platform of dashboard dat automatisch bijhoudt waar je staat op de controles — zodat je elke klant snel een objectief statusrapport kunt sturen.
Welk certificeringsniveau heb je nodig?
Voor de meeste MKB-toeleveranciers is het Supply Chain-certificaat SC 10 (Basic) het juiste niveau. Naar schatting 8 op de 10 MKB-bedrijven kan hiermee prima uit de voeten. SC 10 omvat 17 concrete controles en is haalbaar in 3 tot 5 maanden.
SC 20 (Substantial) geldt voor bedrijven met hogere risicoprofielen, SC 30 (High) voor organisaties die zelf NIS2-plichtig zijn. Heb je al ISO 27001? Dan dek je een groot deel af, maar er zijn aanvullende NIS2-eisen die nog niet in ISO 27001 zitten.
“Wacht niet op het telefoontje van je klant. Wanneer die belt, is het te laat om op tijd te zijn.” — Webinar Samen Digitaal Veilig, februari 2026
De tijdlijn: wanneer moet je wat geregeld hebben?
- Nu (Q1 2026): Start met de zelfevaluatie en breng de grootste gaten in kaart
- Q2 2026: Verwacht dat grote klanten hun leveranciers gaan aanschrijven
- 1 juli 2026: Verwachte ingangsdatum Cyberbeveiligingswet Nederland
- Na ingangsdatum: Toezichthouder gaat actief handhaven bij NIS2-plichtigen
Gemiddeld duurt een SC 10-traject 3 tot 5 maanden. Wie nu start, haalt het tijdig. Wie wacht, riskeert offertes te verliezen voordat de inkt van de wet droog is.
Hoe helpt Lupasafe bij jouw NIS2 checklist MKB?
Lupasafe is een cybersecurity platform ontwikkeld voor MKB-bedrijven. Je hoeft geen IT-expert te zijn — het platform koppelt in een uurtje aan je Microsoft 365-omgeving en geeft je direct inzicht in je beveiligingsstatus op basis van de NIS2 Supply Chain-normen.
Wat je krijgt:
- Een dashboard met je voortgang op de 17 SC 10-controles: groen / oranje / rood
- Automatische data over encryptie, back-ups, toegangsbeheer en kwetsbaarheden
- Awareness training en phishing-simulaties voor medewerkers
- Een exporteerbaar statusrapport dat je direct naar klanten of auditors kunt sturen
- Integratie met het platform van Samen Digitaal Veilig voor ketenrapportage
- Schuiteman.com kan je helpen met de audit
Zo weet je niet alleen dat je “bezig bent met NIS2” — je kunt het ook aantonen. Objectief, automatisch en continu.
Wil je weten waar jouw bedrijf staat op de NIS2 checklist?
Boek een gratis demo en zie binnen 30 minuten hoe jij eruitziet op alle 17 controles — zonder dat je er een IT-consultant voor nodig hebt.
→ Boek een gratis demoBent u een accountantskantoor? Bekijk onze specifieke NIS2 pagina voor accountantskantoren — inclusief cases en white-label mogelijkheden.
