NIS2 is sinds oktober 2024 van kracht. En toch horen we bij klanten nog regelmatig: “dat is voor de grote jongens, toch?” Kort antwoord: nee. Als je levert aan energie, transport, zorg, financiële dienstverlening of de overheid — en dat doet het gros van de Nederlandse MKB-IT-leveranciers op de een of andere manier — val je er direct of indirect onder. Hoog tijd om concreet te worden.
Val je er überhaupt onder?
De “essentiële” en “belangrijke” entiteiten weten het meestal wel — die zijn rechtstreeks aangeschreven. Lastiger is het voor hun leveranciers. Als ICT-dienstverlener voor een zorginstelling of een gemeente zit je in de supply chain, en daarmee indirect in scope.
De 5 dingen die je deze maand regelt
Een complete asset-inventory — welke systemen, welke data, welke leveranciers.
Een risk assessment met drie scenario’s die écht kunnen gebeuren.
Een incident-response-plan dat op een A4 past.
MFA op alles, inclusief je domeinregistrar.
Leveranciersbeheer — welke SaaS heeft toegang tot wat.
Voor een MKB van rond de 50 FTE praat je over 10–15k eenmalig, plus 2–3k per maand doorlopend. Veel geld? Ja. Goedkoper dan een boete van maximaal €10 miljoen of 2% van je omzet? Ook ja. En eerlijk: het meeste wat NIS2 vraagt had je sowieso al moeten hebben.