:format(webp)){kind=icon}
:format(webp))
NIS2 en de Cyberbeveiligingswet: ook als MKB-toeleverancier krijg je ermee te maken
Door Thomas Schepers
In het tweede kwartaal van 2026 treedt de Cyberbeveiligingswet in werking - de Nederlandse implementatie van de Europese NIS2-richtlijn. Grote organisaties en vitale sectoren moeten aantoonbaar hun cybersecurity op orde hebben. Maar wat veel MKB-ondernemers niet weten: ook als toeleverancier word je geraakt.
Wat is NIS2 en waarom is het belangrijk?
NIS2 is de opvolger van de eerste Network and Information Security richtlijn uit 2016. Waar NIS1 zich richtte op een beperkt aantal vitale sectoren, trekt NIS2 de kring veel breder. Denk aan gezondheidszorg, onderwijs, voedselproductie, digitale infrastructuur en de gehele toeleveringsketen daarvan.
De wet verplicht organisaties om risicomanagement te voeren op hun hele keten. Dat betekent dat jouw klant - bijvoorbeeld een ziekenhuis, gemeente of onderwijsinstelling - jou als IT-leverancier vragen gaat stellen over jouw beveiligingsmaatregelen.
Ketenverantwoordelijkheid: het domino-effect
Het kernprincipe is simpel: een keten is zo sterk als de zwakste schakel. Als jouw bedrijf IT-diensten levert aan een NIS2-plichtige organisatie, dan moet je kunnen aantonen dat je basale beveiligingsmaatregelen hebt getroffen. Denk aan:
Multi-Factor Authenticatie (MFA) op alle accounts
Endpoint Detection & Response (EDR) op werkstations en servers
Een gedocumenteerd incident response plan
Regelmatige security awareness training voor medewerkers
Geteste backups volgens het 3-2-1 principe
Patch management: updates binnen 72 uur voor kritieke kwetsbaarheden
Wat kun je vandaag al doen?
:format(webp)){kind=icon}
Inventariseer je klanten
Welke van je klanten vallen straks onder de Cyberbeveiligingswet? Ziekenhuizen, gemeenten, scholen, energie- en waterbedrijven - maar ook hun directe leveranciers. Als je aan deze organisaties levert, bereid je dan voor op contractuele security-eisen.
Voer een basis security assessment uit
Je hoeft geen ISO 27001-certificering te hebben, maar je moet wel kunnen laten zien dat je de basis op orde hebt. Begin met een nulmeting: waar sta je nu en waar zitten de gaten?
Documenteer je maatregelen
Mondeling zeggen dat je MFA hebt is niet genoeg. Zorg voor documentatie: welke maatregelen heb je getroffen, wanneer zijn ze geïmplementeerd, en hoe worden ze onderhouden?
Plan security awareness training
ABN AMRO onderzoek laat zien dat menselijke fouten nog steeds de grootste oorzaak zijn van beveiligingsincidenten. Regelmatige training - niet één keer per jaar, maar doorlopend - maakt het verschil.
Hoe Ratho hierbij helpt
Bij Ratho ondersteunen we MKB-bedrijven bij het opzetten van een pragmatische beveiligingsbasis. Geen overkill, geen dure consultancytrajecten - maar praktische maatregelen die passen bij de omvang van je organisatie. Van MFA-implementatie tot een compleet security assessment: we helpen je klaar te zijn voordat je klant ernaar vraagt.
:format(webp))
Wil je weten waar je staat?
Plan een gratis sparringsessie en we lopen samen door je huidige beveiliging.