NIS2 komt eraan: is uw bedrijf er klaar voor?

Wat wordt er van u verwacht?

• aantoonbare technische én organisatorische beveiligingsmaatregelen
• toezicht door directie of bestuur
• verplichte melding van incidenten binnen 24 uur

Wie niet voldoet loopt het risico op boetes bij nalatigheid, tot 10 miljoen euro of 2 procent van de wereldwijde omzet. “De grootste misvatting is dat dit een IT-kwestie is,” zegt Martens. “Het gaat om de hele organisatie: van techniek tot gedrag.”

Dacht u dat uw bedrijf niet interessant is om te hacken? Maak kennis met Xander op V-Hub.

Misverstand 1 - ‘Wij zijn te klein voor NIS2’ - Martens merkt dat veel mkb’ers denken dat ze buiten de richtlijn vallen, omdat ze als bedrijf te klein zijn. “Toch zullen veel ondernemers er indirect mee te maken krijgen. Grote klanten gaan straks bewijs vragen dat u veilig werkt. Zonder dat bewijs kunt u opdrachten mislopen.” Daarom is het belangrijk om nu al vast te stellen hoe de digitale weerbaarheid van uw bedrijf geregeld is. Bedrijven die vroeg beginnen hoeven straks geen inhaalslag te maken. 

Misverstand 2 - ‘Onze IT-partij heeft dat geregeld’ - Daarnaast vertrouwen veel bedrijven blind op hun IT-leverancier. “Dat kan goed gaan, maar NIS2 vraagt om aantoonbare maatregelen. Als ondernemer moet u weten wat er geregeld is, hoe vaak dat wordt getest en wat u doet als er iets misgaat.” Cybersecurity is geen eenmalig vinkje, maar een doorlopend proces van analyseren, leren en verbeteren. 

Is uw interesse gewekt? Probeer de Security Scan.

NIS2 werkt als een ISO-certificering. Het is belangrijk om aan te tonen dat er aandacht is besteed aan de beveiligingsrisico’s, met concrete maatregelen om risico’s te beperken. In de praktijk hebben veel bedrijven te maken met vergelijkbare uitdagingen. Drie bekende risico’s zijn:

Website en DNS-instellingen - Veel bedrijven hebben zwakke plekken in de beveiliging van hun website, bijvoorbeeld bij de domeininstellingen (DNS). “Een simpele scan laat zien u of de DNS-beveiliging op orde is. Is dat niet zo, dan kunnen kwaadwillenden mails versturen uit naam van uw bedrijf. Dat ondermijnt de betrouwbaarheid, omdat klanten of medewerkers die zo’n mail ontvangen misschien onterecht vertrouwen op de inhoud daarvan.”

Alle apparaten op hetzelfde netwerk - Vooral slimme verlichting, beveiligingscamera’s met een netwerkverbinding en andere IoT-apparaten vormen risico’s, omdat ze een ingang kunnen bieden voor hackers. “Zet zulke apparaten altijd op een apart netwerk. Dat is eenvoudig, maar voorkomt veel ellende. Het partitioneren van het netwerk zorgt voor een scheiding tussen deze apparaten en de bedrijfskritische applicaties en delen van het netwerk, die extra goed tegen hackers beschermd moeten worden.”

Menselijke fouten - Uiteindelijk ontstaan de meeste datalekken nog steeds door medewerkers. “Organisaties sturen regelmatig test-phishingmails. Rond de feestdagen klikt soms 40% nog gewoon op de link, ondanks alle informatie en bewustwording binnen bedrijven. Het is belangrijk om verder te kijken dan de techniek alleen, omdat hackers weten dat menselijk gedrag de zwakke schakel blijft binnen de beveiliging.”

Verder lezen: 'Hoe werkt de Security Scan? 

Om ondernemers te helpen meer inzicht te krijgen ontwikkelde Vodafone Business de Security Scan. Dat is een overzichtelijke checklist waarmee bedrijven zien hoe goed ze in ieder geval de websitebeveiliging op orde hebben. Martens licht toe dat er bijvoorbeeld wordt gekeken naar de DNS-beveiliging, HTTPS-verbindingen en netwerksegmentatie. “De scan laat zien waar risico’s liggen en ook hoe u die kunt verhelpen. Dat maakt cybersecurity concreet en meetbaar, ook voor bedrijven zonder eigen IT-afdeling.” Het is een start, om daarna verder te kijken naar andere cyberrisico’s en de zowel technische als organisatorische maatregelen die daarbij horen. 

In de aanloop naar NIS2 is het belangrijk om de risico’s van uw organisatie goed in beeld te hebben. Dat vormt de basis om maatregelen te nemen en daar iets aan te doen. Uiteindelijk is het belangrijk om die maatregelen te nemen én om dat te kunnen bewijzen als leveranciers, andere partners of autoriteiten hiernaar vragen. 

Het is een goed idee om de cybersecurityrisico’s en maatregelen de komende tijd tegen het licht te houden. Maar, volgens Martens vormt dat pas het begin. “Veel bedrijven doen één keer een test en denken dat ze klaar zijn. Maar cybersecurity is dynamisch. Wat gisteren veilig was, kan morgen een risico vormen.”Hij raadt daarom aan om regelmatig te meten en te vergelijken met de vorige situatie. Hoe staat de organisatie ervoor? Wordt het beter of nemen de risico’s toe? Het is volgens hem een goed gebruik om dit ieder kwartaal of zelfs maandelijks te controleren. Zo blijft u alert, zonder dat het iedere keer veel tijd hoeft te kosten. 

Om ondernemers te helpen meer inzicht te krijgen ontwikkelde Vodafone Business de Security Scan. Dat is een overzichtelijke checklist waarmee bedrijven zien hoe goed ze in ieder geval de websitebeveiliging op orde hebben. Martens licht toe dat er bijvoorbeeld wordt gekeken naar de DNS-beveiliging, HTTPS-verbindingen en netwerksegmentatie. “De scan laat zien waar risico’s liggen en ook hoe u die kunt verhelpen. Dat maakt cybersecurity concreet en meetbaar, ook voor bedrijven zonder eigen IT-afdeling.” Het is een start, om daarna verder te kijken naar andere cyberrisico’s en de zowel technische als organisatorische maatregelen die daarbij horen. 

Wie twijfelt wat er concreet geregeld moet worden voor NIS2 in 2026 kan volgens Martens met een paar belangrijke stappen beginnen.

1. Laat de websitebeveiliging checken met een checklist of de Security Scan.
2. Controleer met een PEN-test (penetratietest) waar de kwetsbaarheden zitten.
3. Breng IoT-apparaten onder op een apart netwerk.
4. Maak (meermaals per dag) automatische cloud-back-ups om naar terug te kunnen keren.
5. Train medewerkers met een phishing-simulatie of awareness-programma.

“Je hoeft niet alles in één keer te doen,” besluit Martens. “Begin klein, maar begin wel. Want straks moet u kunnen laten zien dat u de cyberdreigingen onder controle heeft.”De invoering van NIS2 per 2026 komt eraan. Dat is geen dreiging, maar een kans om de digitale basis te versterken. Wie nu inzicht krijgt in kwetsbaarheden voorkomt straks gedoe, boetes en reputatieschade.