Een ransomwaremelding op maandagochtend is voor veel mkb-bedrijven geen theoretisch risico meer, maar een heel reëel bedrijfsprobleem. Toch leeft bij veel ondernemers nog dezelfde vraag: hoe werkt NIS2 mkb eigenlijk, en vooral – moet je er nu al iets mee als jouw bedrijf niet direct onder de wet lijkt te vallen?

Het korte antwoord is ja. Niet elk mkb-bedrijf valt straks formeel onder NIS2, maar de impact reikt veel verder dan alleen de organisaties die letterlijk worden aangewezen. Grote klanten, ketenpartners, leveranciers en verzekeraars gaan hogere eisen stellen aan je beveiliging, je processen en je aantoonbaarheid. Juist daarom is het slim om NIS2 niet te zien als juridisch vinklijstje, maar als aanleiding om je IT-omgeving zakelijker en weerbaarder in te richten.

Hoe werkt NIS2 voor mkb in de praktijk?

NIS2 is een Europese richtlijn voor netwerk- en informatiebeveiliging. Lidstaten vertalen die richtlijn naar nationale wetgeving. Het doel is helder: organisaties die belangrijk zijn voor de economie en samenleving moeten hun digitale veiligheid beter op orde hebben en ernstige incidenten sneller melden.

Voor het mkb zorgt dat vaak voor verwarring, omdat de regels niet simpelweg zeggen dat alle kleine bedrijven eraan moeten voldoen. Het hangt af van je sector, je omvang en je rol in de keten. Werk je in een sector die als essentieel of belangrijk wordt gezien, dan kun je rechtstreeks onder de regels vallen. Denk aan delen van de zorg, digitale infrastructuur, IT-dienstverlening, transport of bepaalde zakelijke dienstverlening. Ben je zelf niet direct aangewezen, dan kun je alsnog indirect met NIS2 te maken krijgen via contracten of klantvragen.

De kern is dat NIS2 niet alleen kijkt naar techniek. De richtlijn verwacht ook dat je risico’s bestuurlijk aanpakt. Dus niet alleen een firewall of antivirus, maar ook duidelijke verantwoordelijkheden, incidentprocedures, back-upbeleid, toegangsbeheer en bewustwording binnen je team.

Voor welke mkb-bedrijven is NIS2 relevant?

Veel ondernemers hopen op een simpele ja of nee, maar hier geldt echt: het hangt ervan af. De eerste vraag is of jouw organisatie actief is in een sector die onder de reikwijdte valt. De tweede vraag is of je qua grootte boven bepaalde grenzen uitkomt. Daarbij wordt meestal gekeken naar het aantal medewerkers en de jaaromzet of balanstotaal.

Toch is dat niet het hele verhaal. Ook kleinere organisaties kunnen onder NIS2 vallen als ze een cruciale rol hebben, bijvoorbeeld omdat ze essentiële digitale diensten leveren of een belangrijke schakel zijn in een keten. Daarnaast zie je in de praktijk dat grotere klanten dezelfde veiligheidsnormen doorschuiven naar hun leveranciers. Als jij toegang hebt tot klantdata, systemen beheert, cloudomgevingen ondersteunt of communicatieplatforms levert, is de kans groot dat beveiligingseisen strenger worden.

Voor veel mkb-bedrijven is daarom een praktischere vraag nuttiger: als een klant morgen vraagt hoe jouw beveiliging, back-ups, toegangsrechten en incidentmelding geregeld zijn, kun je daar dan een duidelijk antwoord op geven?

Wat vraagt NIS2 concreet van je organisatie?

NIS2 draait om zorgplicht en meldplicht. Die twee begrippen klinken juridisch, maar in de praktijk betekenen ze iets vrij herkenbaars.

De zorgplicht houdt in dat je passende maatregelen neemt om risico’s voor je systemen en data te beperken. Passend is daarbij een belangrijk woord. Een klein kantoor hoeft niet exact dezelfde maatregelen te nemen als een grote landelijke aanbieder, maar je moet wel kunnen laten zien dat je bewust keuzes maakt op basis van risico’s.

De meldplicht betekent dat ernstige incidenten binnen bepaalde termijnen gemeld moeten worden. Daarvoor moet je dus eerst weten wat een incident is, wie dat beoordeelt, hoe je het intern opschaalt en welke informatie je vastlegt. Zonder proces kom je daar op het moment zelf meestal te laat achter.

Bestuur en verantwoordelijkheid

Een opvallend onderdeel van NIS2 is dat verantwoordelijkheid niet alleen bij IT ligt. De directie of het management moet betrokken zijn. Dat betekent in gewone taal: cyberveiligheid hoort op de agenda van de onderneming, niet verstopt in een mapje van de systeembeheerder. Je hoeft als ondernemer geen securityspecialist te worden, maar wel te begrijpen welke risico’s er spelen en welke keuzes je maakt.

Risicobeheer

Je moet kunnen inschatten waar je kwetsbaar bent. Denk aan verouderde apparaten, te ruime rechten voor medewerkers, ontbrekende updates, zwakke wachtwoorden, onvoldoende segmentatie van het netwerk of een gebrek aan monitoring. Risicobeheer is geen eenmalige scan. Het is een terugkerend proces waarbij je systemen, leveranciers en werkwijzen periodiek beoordeelt.

Incidenten en continuïteit

NIS2 vraagt ook aandacht voor bedrijfscontinuïteit. Wat gebeurt er als je systemen uitvallen? Hoe snel kun je herstellen? Zijn je back-ups getest? Kun je blijven werken als e-mail, telefonie of bestanden tijdelijk niet beschikbaar zijn? Juist voor het mkb is dit belangrijk, omdat een storing vaak direct omzet, planning en klantcontact raakt.

Hoe begin je als mkb-bedrijf zonder te verdrinken in regels?

De fout die veel bedrijven maken, is meteen denken in certificeringen, beleidsdocumenten en ingewikkelde compliance-trajecten. Voor de meeste mkb-organisaties werkt een nuchtere aanpak beter. Begin met overzicht.

Breng eerst in kaart welke systemen, apparaten, accounts en leveranciers kritisch zijn voor je bedrijfsvoering. Vaak blijkt dan al dat veel kennis in hoofden zit en niet in documentatie. Daarna kijk je welke risico’s het grootst zijn. Is dat thuiswerken zonder goed beheer, ontbrekende multi-factor-authenticatie, lokale opslag van belangrijke bestanden, of juist afhankelijkheid van één persoon of één leverancier?

Pas daarna ga je maatregelen prioriteren. In de praktijk leveren een paar stappen vaak snel resultaat op: centraal beheer van werkplekken, sterke toegangscontrole, goede back-ups, patchmanagement, monitoring en duidelijke procedures voor incidenten. Ook security awareness hoort daarbij, want veel problemen beginnen nog steeds met menselijke fouten.

Hoe werkt NIS2 mkb als je met leveranciers werkt?

Een belangrijk verschil met oudere regelgeving is de nadruk op ketenverantwoordelijkheid. NIS2 kijkt dus niet alleen naar jouw eigen kantooromgeving, maar ook naar partijen waar jij van afhankelijk bent. Gebruik je externe hosting, cloudapplicaties, beheerde werkplekken, VoIP, netwerkbeheer of supportpartners, dan moet je weten hoe die partijen met beveiliging omgaan.

Dat betekent niet dat je elke leverancier moet wantrouwen, maar wel dat je betere vragen moet stellen. Hoe regelen zij updates? Hoe is toegang tot beheeraccounts afgeschermd? Wat gebeurt er bij een storing of beveiligingsincident? Is er logging, monitoring en back-upcontrole? En minstens zo belangrijk: ligt vast wie waarvoor verantwoordelijk is?

Voor mkb-bedrijven is dit vaak een opluchting én een uitdaging. Een opluchting, omdat je niet alles zelf hoeft te doen. Een uitdaging, omdat je leveranciers wel bewust moet kiezen en afspraken moet vastleggen. Complete ontzorging werkt pas echt als veiligheid en continuïteit daarin expliciet zijn meegenomen.

Veelgemaakte misverstanden rond NIS2

Een hardnekkig misverstand is dat NIS2 alleen voor grote corporates geldt. Dat is te kort door de bocht. De formele reikwijdte zal niet elk klein bedrijf raken, maar de praktische gevolgen komen vaak juist via opdrachtgevers en samenwerkingspartners binnen.

Een tweede misverstand is dat NIS2 vooral een IT-feestje is. Natuurlijk speelt techniek een grote rol, maar zonder processen, eigenaarschap en besluitvorming blijft techniek los zand. Je kunt prima moderne tools hebben en toch onvoldoende voorbereid zijn als niemand weet wat te doen bij een incident.

Een derde misverstand is dat compliance hetzelfde is als veiligheid. Papier alleen beschermt niets. Andersom geldt ook: technisch best goed bezig zijn is niet genoeg als je niets kunt aantonen. Je hebt beide nodig – werkende maatregelen én inzichtelijke afspraken.

Wat is nu verstandig om te doen?

Als je nog niet weet of jouw organisatie direct onder NIS2 valt, is dat geen reden om af te wachten. Juist nu kun je relatief rustig beginnen met inventariseren, verbeteren en vastleggen. Daarmee voorkom je haastwerk op het moment dat een klant, auditor of toezichthouder om antwoorden vraagt.

Een praktische eerste stap is een nulmeting. Niet om direct alles dicht te timmeren, maar om te zien waar de grootste gaten zitten. Van daaruit kun je een realistische route bepalen die past bij je bedrijf, je risico’s en je budget. Voor het ene mkb-bedrijf ligt de nadruk op werkplekbeheer en toegangsrechten, voor het andere op netwerksegmentatie, back-upstrategie of leveranciersbeheer.

Wie met meerdere losse ICT-partijen werkt, merkt hier vaak extra frictie. Verantwoordelijkheden raken versnipperd, meldingen lopen door elkaar en niemand voelt zich eigenaar van het geheel. Dan helpt het om meer regie te organiseren, zodat beveiliging, continuïteit en support niet naast elkaar bestaan, maar op elkaar aansluiten.

NIS2 hoeft geen bron van onrust te zijn. Zie het liever als een gezonde aanleiding om je digitale basis kritischer te bekijken. Als je weet waar je risico’s zitten, wie waarvoor verantwoordelijk is en hoe je reageert als het misgaat, ben je niet alleen beter voorbereid op wetgeving – je bedrijf staat ook simpelweg sterker.

Name	Provider	Purpose	Expiry
`wordpress_logged_in_*`	WordPress	WordPress authentication cookie for logged-in users.	Session
`wp-settings-*`	WordPress	WordPress user interface settings.	1 year
`wordpress_test_cookie`	WordPress	WordPress test cookie to verify cookie support.	Session
`PHPSESSID`	PHP/Server	PHP session identifier.	Session
`ccm_consent`	Cookie Consent Manager	Cookie Consent Manager preference storage.	1 year
`woocommerce_cart_hash`	WooCommerce	WooCommerce shopping cart session hash.	Session
`woocommerce_items_in_cart`	WooCommerce	WooCommerce cart item count indicator.	Session
`wp_woocommerce_session_*`	WooCommerce	WooCommerce customer session data.	2 days

Name	Provider	Purpose	Expiry
`_ga`	Google Analytics	Google Analytics unique visitor ID — distinguishes users.	2 years
`_ga_*`	Google Analytics 4	Google Analytics 4 session persistence cookie.	2 years
`_gid`	Google Analytics	Google Analytics daily visitor session identifier.	24 hours
`_gat`	Google Analytics	Google Analytics request throttling cookie.	1 minute
`ln_or`	LinkedIn	LinkedIn Oribi analytics integration.	1 day
`AnalyticsSyncHistory`	LinkedIn	LinkedIn analytics data sync timestamp.	30 days
`ajs_user_id`	Segment	Segment.io identified user ID.	1 year
`ajs_anonymous_id`	Segment	Segment.io anonymous visitor ID.	1 year

Name	Provider	Purpose	Expiry
`PREF`	Google	YouTube/Google user preferences (language, player settings).	8 months
`yt-remote-device-id`	YouTube	YouTube remote device identifier.	Persistent

Name	Provider	Purpose	Expiry
`_gac_*`	Google Ads	Google Ads campaign click attribution cookie.	90 days
`_gcl_au`	Google AdSense	Google AdSense advertising efficiency test cookie.	3 months
`_gcl_aw`	Google Ads	Google Ads click conversion cookie.	90 days
`VISITOR_INFO1_LIVE`	YouTube	YouTube visitor info and bandwidth estimation.	6 months
`YSC`	YouTube	YouTube session cookie for video statistics.	Session
`lidc`	LinkedIn	LinkedIn routing cookie — selects data centre for API calls.	24 hours
`li_sugr`	LinkedIn	LinkedIn probabilistic user match for ads.	90 days
`bcookie`	LinkedIn	LinkedIn browser ID cookie.	2 years
`bscookie`	LinkedIn	LinkedIn secure browser ID.	2 years
`UserMatchHistory`	LinkedIn	LinkedIn audience matching for ad targeting.	30 days
`lms_ads`	LinkedIn	LinkedIn Marketing Solutions advertising cookie.	30 days
`li_fat_id`	LinkedIn	LinkedIn first-party ad tracking ID.	30 days
`_pinterest_ct_ua`	Pinterest	Pinterest conversion tag — tracks user actions.	1 year
`_epik`	Pinterest	Pinterest partner cookie for ad measurement.	1 year
`reddaid`	Reddit	Reddit advertising ID for campaign attribution.	1 year
`_rdt_uuid`	Reddit	Reddit conversion tracking UUID.	3 months

Hoe werkt NIS2 voor mkb?