DienstenWerkwijzeProjectenBlogContactStart een project
← Alle artikelen

NIS2 deadline juli 2026: wat Nederlandse MKB'ers nu moeten weten

Alen Spago··4 min lezen

Op 1 juli 2026 treedt de Cyberbeveiligingswet in werking. Dit is de Nederlandse implementatie van de Europese NIS2-richtlijn. Voor minstens 60.000 Nederlandse bedrijven verandert het speelveld van cybersecurity. Runt u een productiebedrijf, transporteur, voedselproducent of ICT-dienstverlener met 50 of meer medewerkers? Of bent u toeleverancier van zo'n bedrijf? Dan raakt deze wet u direct.

Dit artikel legt uit wat NIS2 is, wie eronder valt, wat u moet doen, en welke boetes u riskeert als u niets doet.

Wat is NIS2 / de Cyberbeveiligingswet?

NIS2 staat voor Network and Information Security Directive 2, een Europese richtlijn uit 2022 die lidstaten verplicht om cybersecurity-regels op te leggen aan bedrijven in kritieke sectoren. In Nederland wordt deze richtlijn omgezet in de Cyberbeveiligingswet, die per Q2 2026 in werking treedt (verwachte ingangsdatum: 1 juli 2026).

De wet heeft drie kernprincipes:

  1. Zorgplicht. U moet aantoonbaar passende maatregelen nemen om uw netwerk en informatiesystemen te beschermen.
  2. Meldplicht. U moet een ernstig cyberincident binnen 24 uur melden bij de toezichthouder.
  3. Toezicht & sancties. De overheid controleert en kan boetes opleggen tot €10 miljoen of 2% van de wereldwijde jaaromzet.

NIS2 is geen richtlijn die u één keer afvinkt. Het is doorlopende wetgeving waar u elk jaar opnieuw aan moet voldoen, met verplichte audits en continue incidentregistratie.

Val ik onder NIS2?

U valt onder NIS2 als u aan twee voorwaarden voldoet:

Voorwaarde 1: sector

Uw organisatie is actief in één van de 18 kritieke sectoren uit Bijlage I of II van de richtlijn. Enkele voorbeelden:

Sector Voorbeelden
Energie Elektriciteit, gas, olie, stadsverwarming
Transport Luchtvaart, spoor, scheepvaart, wegtransport
Financiën Banken, financiële marktinfrastructuur
Zorg Ziekenhuizen, zorginstellingen, laboratoria
Drinkwater en afvalwater Waterleveranciers, waterzuiveringsbedrijven
Digitale infrastructuur DNS, internetknooppunten, datacenters, cloud
ICT-beheerdiensten MSPs, managed security providers
Overheid Centrale en regionale overheid
Voedsel Productie, verwerking, distributie
Post- en koeriersdiensten Bezorgers, logistieke dienstverleners
Afvalbeheer Inzameling, verwerking
Chemische industrie Productie en distributie van chemicaliën
Maakindustrie Specifieke branches: medische hulpmiddelen, elektronica, machinebouw, motorvoertuigen
Digitale dienstverleners Online marktplaatsen, zoekmachines, sociale netwerken

Voorwaarde 2: grootte

Uw organisatie heeft minstens 50 medewerkers óf een jaaromzet van meer dan €10 miljoen. Op basis daarvan vallen organisaties in één van twee categorieën:

  • Essentiële entiteiten. Grote bedrijven in de meest kritieke sectoren (250+ medewerkers of >€50 miljoen omzet). Zwaarste toezichtregime.
  • Belangrijke entiteiten. Middelgrote bedrijven (50–249 medewerkers of €10–50 miljoen omzet). Lichter regime, maar wél verplichtingen.

Indirecte verplichting via supply chain

Ook als u te klein bent of buiten de 18 sectoren valt, kunt u alsnog geraakt worden. De wet verplicht grote organisaties namelijk om hun toeleveranciers te screenen op cybersecurity. Dat betekent: als u levert aan een NIS2-plichtig bedrijf, krijgt u vragenlijsten, audits en contractuele eisen op uw bord.

Naar schatting 50.000 tot 100.000 Nederlandse MKB'ers worden op deze manier indirect geraakt, zonder dat de overheid hen direct aanspreekt.

De 10 verplichte maatregelen

Artikel 21 van NIS2 schrijft tien specifieke maatregelen voor die elke plichtige organisatie moet implementeren:

  1. Risicoanalyse en informatiebeveiligingsbeleid. Documentatie van dreigingen en risico's.
  2. Incidentbehandeling. Procedures voor detectie, respons en herstel.
  3. Bedrijfscontinuïteit. Back-ups, disaster recovery, crisismanagement.
  4. Supply-chain-beveiliging. Beveiliging van toeleveranciers en dienstverleners.
  5. Beveiliging bij verwerving, ontwikkeling en onderhoud. Secure development lifecycle, kwetsbaarheidsbeheer.
  6. Beleid voor effectiviteitsbeoordeling. Regelmatige evaluatie van genomen maatregelen.
  7. Cyberhygiëne en training. Awareness-trainingen, phishing-simulaties.
  8. Cryptografie en encryptie. Beleid voor veilige opslag en communicatie.
  9. Toegangscontrole en asset management. MFA, role-based access, asset-inventaris.
  10. Beveiligde communicatie en noodcommunicatie. Versleutelde kanalen voor crisissituaties.

Geen van deze maatregelen is bijzonder exotisch, veel bedrijven hebben er al onderdelen van. Het verschil: onder NIS2 moet u aantoonbaar maken dat u ze heeft geïmplementeerd, bijgehouden, getest en jaarlijks geëvalueerd.

Wat riskeert u zonder actie?

De boetes zijn fors:

  • Essentiële entiteiten: tot €10 miljoen of 2% van de wereldwijde jaaromzet (hoogste van beide)
  • Belangrijke entiteiten: tot €7 miljoen of 1,4% van de wereldwijde jaaromzet (hoogste van beide)

Bovenop de geldboetes:

  • Persoonlijke aansprakelijkheid van bestuurders. De directeur is privé aansprakelijk als de organisatie verwijtbaar tekortschiet.
  • Tijdelijke schorsing van bestuurders. De toezichthouder kan bestuurders schorsen tot herstel.
  • Dwangsommen tot €100.000 per dag bij blijvende non-compliance.
  • Publicatie van overtredingen. Naming & shaming, met bijbehorende reputatieschade.

Concreet: een MKB-fabriek met €20 miljoen omzet riskeert als belangrijke entiteit een boete van €280.000 plus persoonlijke aansprakelijkheid van de DGA.

Tijdlijn: wat per kwartaal te doen

Kwartaal Actie
Q2 2026 Cyberbeveiligingswet treedt in werking. Scopebepaling moet afgerond zijn.
Q3 2026 Risicoanalyse en informatiebeveiligingsbeleid gedocumenteerd. Meldplicht operationeel.
Q4 2026 Alle 10 verplichte maatregelen geïmplementeerd. Eerste interne audit uitgevoerd.
2027 en verder Jaarlijkse evaluatie, supply-chain-screening, continue incidentregistratie.

De implementatiedoorlooptijd is typisch 8 tot 16 weken, afhankelijk van uw uitgangssituatie. Wacht niet tot de zomer van 2026 om te beginnen.

Waar begint u?

Drie concrete stappen voor de komende weken:

  1. Scopebepaling. Stel vast of uw organisatie direct of indirect onder NIS2 valt. Kijk naar uw SBI-codes, aantal medewerkers en jaaromzet.
  2. Gap-analyse. Vergelijk uw huidige maatregelen met de 10 verplichte maatregelen uit artikel 21. Waar zitten de gaten?
  3. Actieplan. Prioriteer de grootste risico's. Begin met MFA, back-ups en incidentbehandeling, dat zijn vaak de quick wins.

Hulp nodig?

Spago IT biedt een gratis NIS2-scopecheck: een korte online vragenlijst die in 2 minuten bepaalt of uw bedrijf direct of indirect onder NIS2 valt, inclusief een PDF-rapport met concrete vervolgstappen.

Doe de scopecheck of schrijf u onderaan deze pagina in voor maandelijkse NIS2-updates.

nis2cyberbeveiligingswetmkbcompliancesecuritywetgevingaudit

NIS2-updates per e-mail

Ontvang korte updates bij elke nieuwe NIS2-publicatie, wetswijziging of productvernieuwing. Maximaal één e-mail per maand.