NIS2 checklist MKB: 10 stappen die elke directeur nu moet nemen

Je hoeft niet in de zorg of energiesector te zitten om straks een NIS2 probleem te hebben. Naar schatting 50.000 tot 100.000 MKB bedrijven in Nederland krijgen indirect met de nieuwe Cyberbeveiligingswet te maken. Niet omdat de overheid ze direct aanspreekt, maar omdat hun klanten dat doen.

De vraag die we steeds vaker horen van directeuren: “Mijn klant wil weten of wij NIS2 compliant zijn. Ik weet het antwoord niet.” Dat is een risicovolle positie. Want klanten die zelf onder de wet vallen, zijn wettelijk verplicht hun toeleveringsketen te controleren. Als jij dat niet kunt aantonen, verlies je de opdracht.

In dit artikel vind je een concrete NIS2 checklist voor MKB: 10 stappen die je als directeur of IT verantwoordelijke direct kunt gebruiken. Geen juridisch jargon, wel praktische actie.

Wat is NIS2 en waarom raakt het jou als MKB bedrijf?

NIS2 (Network and Information Security Directive 2) is Europese wetgeving die in Nederland wordt ingevoerd als de Cyberbeveiligingswet. De verwachte ingangsdatum is 1 juli 2026.

De wet verplicht ongeveer 10.000 organisaties in 18 kritieke sectoren, met meer dan 50 medewerkers of meer dan 10 miljoen euro omzet, om aantoonbaar veilig te werken. Maar die organisaties zijn op hun beurt verplicht ook hun leveranciers te controleren. Dat heet ketenverantwoordelijkheid.

Concreet: lever jij aan een ziekenhuis, gemeente, energiebedrijf, bank of logistiek bedrijf? Dan zal die klant je binnenkort vragen om aan te tonen dat je cyberveiligheid op orde is. Dit gebeurt nu al.

Zelfs als je op papier niet NIS2 plichtig bent, kan je klant naleving als contractuele voorwaarde eisen. Wacht dus niet op een officiële aanschrijving.

Val ik als MKB bedrijf onder NIS2?

Je valt direct onder de wet als je werkzaam bent in één van de 18 kritieke sectoren én meer dan 50 medewerkers hebt of meer dan 10 miljoen euro omzet draait.

Je valt indirect onder de wet als je levert aan bedrijven die wél direct NIS2 plichtig zijn. Die klanten zijn wettelijk verplicht hun keten te beveiligen en dat betekent dat ze jou gaan controleren.

De NIS2 checklist MKB: 10 concrete stappen

Stap 1: Stel vast of je onder de wet valt (of als leverancier moet voldoen)
Gebruik de zelfevaluatietool van de overheid via het Digital Trust Center. Maar check ook: lever ik aan klanten die wél NIS2 plichtig zijn? De kans is groot dat je vóór 1 juli al een vragenlijst van een klant ontvangt.

Stap 2: Wijs een verantwoordelijke aan voor cybersecurity
Dit hoeft geen fulltime CISO te zijn. Maar er moet iemand zijn, intern of extern, die de regie heeft. Dit is een expliciete NIS2 verplichting die je IT leverancier niet voor je kan invullen. De directeur blijft eindverantwoordelijk.

Stap 3: Stel een informatiebeveiligingsbeleid op
Heb je een document dat beschrijft hoe jouw organisatie omgaat met data, toegang en beveiliging? Dit is de basis van elke NIS2 toetsing. Zonder dit document kun je niet aantonen dat je beleid hebt, hoe goed je beveiliging ook is.

Stap 4: Breng je back-up en herstelplan op orde
Een back-up die nooit getest is, is geen back-up. Controleer hoe oud de laatste back-up is, of die extern is opgeslagen en of hij ook daadwerkelijk teruggezet kan worden als test. Na een cyberaanval duurt het gemiddeld 21 dagen voordat een bedrijf weer volledig operationeel is. Een goed herstelplan verkort die tijd aanzienlijk.

Stap 5: Inventariseer je apparaten en toegangsrechten
Weet je hoeveel laptops, telefoons en cloudaccounts toegang hebben tot jouw bedrijfsdata? En wie beheerdersrechten heeft? Maak een overzicht van alle apparaten en zorg dat medewerkers niet onnodig lokale beheerdersrechten hebben.

Stap 6: Zet meervoudige verificatie (MFA) aan op alle accounts
Microsoft 365, e-mail, VPN: overal. MFA is de goedkoopste maatregel met de grootste impact. Veel inbraken worden voorkomen door simpelweg MFA in te schakelen. Dit is ook een basiseis in de NIS2 normering.

Stap 7: Bescherm thuiswerkers en externe verbindingen
Werken medewerkers thuis, onderweg of bij klanten? Dan moeten ze via een beveiligde VPN verbinding werken en mogen ze geen lokale beheerdersrechten hebben. Is een laptop gestolen zonder schijfversleuteling? Dan is jouw bedrijfsdata direct toegankelijk voor derden.

Stap 8: Train je medewerkers in cyberbewustzijn
De meeste cyberaanvallen beginnen met een medewerker die op een phishinglink klikt. Jaarlijkse security awareness training en phishing simulaties zijn zowel een NIS2 verplichting als de meest effectieve maatregel die je kunt nemen. Mensen zijn het kwetsbaarste én het sterkste onderdeel van je beveiliging.

Stap 9: Stel een incidentresponsplan op
Wat doe je als je morgen gehackt wordt? Wie bel je als eerste? Wie informeer je intern en extern? Bij NIS2 moet je significante incidenten binnen 24 uur melden bij de toezichthouder. Leg dit vast, ook al is het maar een A4.

Stap 10: Documenteer en maak het aantoonbaar
Compliance zonder bewijs bestaat niet. Je klant en de toezichthouder willen zien dat je het geregeld hebt, niet alleen horen dat het zo is. Zorg voor een actueel overzicht van je maatregelen dat je snel kunt delen met klanten of auditors.

Welk certificeringsniveau heb je nodig?

Voor de meeste MKB toeleveranciers is het Supply Chain certificaat SC 10 (Basic) het juiste niveau. Naar schatting 8 op de 10 MKB bedrijven kan hiermee prima uit de voeten. SC 10 omvat 17 concrete controles en is haalbaar in 3 tot 5 maanden.

SC 20 (Substantial) geldt voor bedrijven met een hoger risicoprofiel. SC 30 (High) is voor organisaties die zelf direct NIS2 plichtig zijn. Heb je al een ISO 27001 certificering? Dan dek je een groot deel af, maar er zijn aanvullende NIS2 eisen die nog niet in ISO 27001 zitten.

De tijdlijn: wanneer moet je wat geregeld hebben?

Periode Actie
Nu (Q1 2026) Start met zelfevaluatie en breng de grootste gaten in kaart
Q2 2026 Verwacht dat grote klanten hun leveranciers aanschrijven
1 juli 2026 Verwachte ingangsdatum Cyberbeveiligingswet
Na ingangsdatum Toezichthouder handhaaft actief bij NIS2-plichtigen

Een SC 10 traject duurt gemiddeld 3 tot 5 maanden. Wie nu start, haalt het tijdig. Wie wacht, riskeert opdrachten te verliezen nog voordat de wet formeel van kracht is.

Hoe helpt STH jou met NIS2?

STH Automatisering helpt MKB bedrijven bij het inrichten en aantoonbaar maken van hun cyberveiligheid. We combineren technische maatregelen zoals MFA, encryptie, beheer van back-ups en patchmanagement met de begeleiding die je nodig hebt om ook op papier compliant te zijn.

Concreet denken we met je mee over waar je nu staat ten opzichte van de NIS2 normering, welke maatregelen prioriteit hebben en hoe je jouw klanten kunt aantonen dat je cyberveiligheid op orde is.

Wil je weten waar jouw organisatie staat? Neem contact met ons op voor een vrijblijvend gesprek. We helpen je van vraagstuk naar aantoonbare oplossing.

Meer weten?

Bel ons voor een vrijblijvend oriënterend gesprek. Je kunt ons bereiken via
033 254 0440.

Word je liever gebeld? Dat kan ook. Vul hier het formulier in om een afspraak te maken. Dan bellen wij jou wanneer het jou uitkomt.

Meer blog berichten

Blog

IT-beveiliging: de techniek staat, nu de mensen nog

Bij STH Automatisering zorgen we ervoor dat jullie IT-omgeving technisch als een huis staat. We installeren de modernste firewalls, regelen waterdichte back-ups en zorgen dat elke computer voorzien is van de laatste veiligheidsupdates. Maar eerlijk is eerlijk: zelfs met de allerbeste sloten op de deur, kan er nog steeds iemand binnenkomen als de deur per ongeluk voor een onbekende wordt opengehouden.

Blog

Je Android of iPhone heeft een verborgen wifi-hotspot voor sneller en stabieler internet

We kennen het allemaal: je zit op een locatie buiten kantoor, klapt je laptop open en het wifi-netwerk waar je verbinding mee maakt is traag, instabiel of simpelweg onbruikbaar. Of het nu gaat om een klantbezoek, een werkafspraak op locatie of gewoon even snel iets willen regelen vanuit een café, slecht internet is frustrerend en kost tijd. Terwijl je smartphone letterlijk naast je ligt, blijkt er een verrassend goede oplossing binnen handbereik: USB-tethering.

Blog

Microsoft To Do: grip op je werkdag, rust in je hoofd

Elke werkdag bestaat uit een stroom aan taken, mails, verzoekjes en belafspraken. Sommige zijn dringend, andere belangrijk, en een groot deel valt ergens daartussen. Hoe houd je overzicht, zonder telkens je hoofd of inbox als takenlijst te gebruiken?

Blijf op de hoogte

Wil je geen belangrijke ontwikkelingen missen? Schrijf je in voor onze nieuwsbrief en ontvang regelmatig updates vol praktische tips, slimme IT-oplossingen en inspirerende voorbeelden uit de praktijk.

We houden je op de hoogte van onderwerpen die ertoe doen – van security en cloudoplossingen tot efficiënter samenwerken met Microsoft 365. Daarnaast nodigen we je uit voor onze kennissessies, webinars en andere bijeenkomsten waar je direct waardevolle inzichten opdoet.

Voor- en achternaam*
Instemming*