NIS2-checklist voor het mkb: wat elke ondernemer moet regelen vóór 1 juli 2026

Als accountant krijg ik de laatste maanden steeds vaker dezelfde vraag van ondernemers: “Gert, mijn klant vraagt of wij NIS2-compliant zijn. Wat moet ik nu eigenlijk doen?” Mijn eerlijke antwoord: begin vandaag, want 1 juli 2026 komt sneller dan je denkt en je klanten zijn je al voorgegaan.

In deze blog geef ik een praktische NIS2-checklist voor het mkb, geschreven vanuit mijn perspectief als accountant én als iemand die deze wetgeving van dichtbij volgt. Geen technisch jargon, maar concrete stappen die iedere directeur kan begrijpen en uitvoeren.

Als accountant zie ik NIS2 van twee kanten
Enerzijds van binnenuit: wij beheren vertrouwelijke financiële data van honderden ondernemers, dus wij moeten zelf ook kunnen aantonen dat we veilig werken. Dat is geen theorie, maar dagelijkse praktijk.

Anderzijds zie ik het bij onze klanten. Steeds meer ondernemers krijgen van hun eigen klanten een vragenlijst over hun cyberveiligheid. Zijn jullie NIS2-compliant? Hebben jullie een back-upstrategie? Hoe is het toegangsbeheer geregeld? Het eerlijke antwoord is vaak: ik weet het niet precies.

Dat is een risicovolle positie. Daarom organiseerden wij in februari 2026 samen met Lupasafe en Samen Digitaal Veilig een webinar over NIS2. De vragen die daar werden gesteld bevestigden wat ik al vermoedde: veel bedrijven worden straks verrast. Dat wil ik voorkomen.

Wat is NIS2 en waarom raakt het ook jouw bedrijf?
NIS2 (de Europese Network and Information Security Directive 2) wordt in Nederland ingevoerd als de Cyberbeveiligingswet, met een verwachte ingangsdatum van 1 juli 2026.

De wet verplicht circa 10.000 organisaties in 18 kritieke sectoren, van zorg en energie tot transport en financiën, om aantoonbaar veilig te werken. Nieuw en belangrijk: bestuurders zijn persoonlijk aansprakelijk. Het is dus niet langer iets dat je aan IT delegeert en vervolgens vergeet.

Daarnaast is er een impact die veel ondernemers over het hoofd zien: Deze 10.000 bedrijven zijn wettelijk verplicht ook hun toeleveranciers te controleren. Dat raakt naar schatting 50.000 tot 100.000 mkb-bedrijven die zelf niet direct onder de wet vallen, maar wel leveren aan organisaties die dat doen.

Kortom: ook als jouw bedrijf niet in een kritieke sector zit, kan je klant straks eisen dat je aantoont dat je veilig werkt. Dat is ketenverantwoordelijkheid en die speelt nu al.

Val jij onder NIS2?
Je valt direct onder de wet als:

• Je werkzaam bent in één van de 18 kritieke sectoren
• Je meer dan 50 medewerkers hebt of meer dan 10 miljoen euro omzet of balanstotaal

Je krijgt er indirect mee te maken als:

• Je levert aan organisaties die wél direct NIS2-plichtig zijn
• Die klanten verplicht zijn hun keten te controleren en jou dus gaan aanschrijven

Weet je het niet zeker? Gebruik de zelfevaluatietool van de overheid via het Digital Trust Center. Kijk daarnaast naar je klantenportfolio: lever je aan partijen in zorg, overheid, energie of logistiek? Dan is de kans groot dat je vóór 1 juli een vragenlijst ontvangt.

De NIS2-checklist voor het mkb: 10 stappen voor directeuren
Op basis van de NIS2-normering en de praktijkervaring van Lupasafe met meer dan 1.000 mkb-klanten zijn dit tien concrete stappen:

Stap 1. Stel vast of je onder de wet valt (of moet voldoen als leverancier)
Voer de zelfevaluatie uit en breng je klantenportfolio in kaart. Lever je aan NIS2-plichtige organisaties, dan ben je feitelijk al in scope.

Stap 2. Wijs een verantwoordelijke aan voor cybersecurity
Dit hoeft geen fulltime CISO te zijn, maar er moet iemand zijn die de regie heeft. De directeur blijft eindverantwoordelijk en is onder NIS2 ook persoonlijk aansprakelijk.

Stap 3. Stel een informatiebeveiligingsbeleid op
Leg vast hoe jouw organisatie omgaat met data, toegang en beveiliging. Dit document is de basis van elke toetsing.

Stap 4. Breng je back-up- en herstelplan op orde
Check minimaal één ding: of je een goede back-up hebt en of die daadwerkelijk kan worden teruggezet. Dan hoef je niet te onderhandelen met criminelen.

Een back-up die nooit is getest, is geen betrouwbare back-up. Controleer hoe recent de back-up is, of deze extern wordt opgeslagen en of terugzetten succesvol is getest.

Stap 5. Inventariseer je apparaten en toegangsrechten
Weet je hoeveel laptops, telefoons en cloudaccounts toegang hebben tot bedrijfsdata? En wie beheerdersrechten heeft? Maak een overzicht en zorg dat medewerkers niet onnodig lokale beheerdersrechten hebben. Een automatische assetscan kan dit proces sterk versnellen.

Stap 6. Activeer meervoudige verificatie (MFA) op alle accounts
Microsoft 365, e-mail, VPN, overal. MFA is een relatief eenvoudige maatregel met grote impact.

Stap 7. Bescherm thuiswerkers en externe verbindingen
Zorg voor VPN-gebruik, geen onnodige beheerdersrechten en schijfversleuteling. Bij diefstal kan encryptie het verschil maken tussen een incident en een datalek.

Stap 8. Train medewerkers in cyberbewustzijn
Veel aanvallen beginnen met phishing. Awareness training en phishing-simulaties zijn niet alleen effectief, maar ook een expliciete NIS2-eis.

Stap 9. Stel een incidentresponsplan op
Wat doe je als je morgen wordt gehackt? Met wie neem je als eerste contact op? NIS2 verplicht het melden van significante incidenten binnen 24 uur. Leg vast wie dat doet en hoe.

Stap 10. Documenteer alles en maak het aantoonbaar
Wat niet is vastgelegd, bestaat niet. Klanten en toezichthouders willen bewijs zien.

Het certificeringsniveau: wat heb je nodig?
Voor de meeste mkb-toeleveranciers is Supply Chain certificaat SC 10 (Basic) een passend instapniveau. Het omvat 17 concrete controles en is met de juiste ondersteuning doorgaans binnen drie tot vijf maanden haalbaar. Naar schatting kan een groot deel van het mkb hiermee voldoen aan de eisen van klanten.

Heb je al een ISO 27001-certificering? Dan dek je veel af, maar NIS2 stelt aanvullende eisen. Een gap-analyse is dan verstandig.

Bij Schuiteman zijn we gecertificeerd auditor voor NIS2 Supply Chain-toetsingen. We kunnen adviseren én de officiële toetsing uitvoeren.

De tijdlijn: wanneer moet je wat geregeld hebben?

• Nu (Q1 2026): zelfevaluatie uitvoeren en belangrijkste risico’s in kaart brengen
• Q2 2026: grote klanten schrijven leveranciers aan met NIS2-eisen
• 1 juli 2026: verwachte ingangsdatum Cyberbeveiligingswet
• Na de ingangsdatum: actieve handhaving bij NIS2-plichtigen

Een SC 10-traject duurt gemiddeld drie tot vijf maanden. Wie nu start, kan het tijdig afronden. Wie wacht tot een klant belt, heeft waarschijnlijk te weinig tijd.

Hoe pak je dit praktisch aan?
Mijn advies: begin met inzicht. Weet waar je staat voordat je investeert.

Daarvoor werken wij bij Schuiteman samen met Lupasafe. Het platform koppelt binnen ongeveer een uur aan je Microsoft 365-omgeving en geeft direct inzicht in je beveiligingsstatus op alle 17 NIS2-controles. Je ziet onder andere welke werkplekken schijfversleuteling hebben, welke accounts geen MFA gebruiken en wanneer de back-up voor het laatst is getest.

Dat dashboard is precies wat een NIS2-plichtige afnemer straks van jou gaat vragen.

Vragen of hulp nodig?
Bij Schuiteman ondersteunen we ondernemers bij de NIS2-voorbereiding: van eerste zelfevaluatie tot officiële Supply Chain-toetsing. Neem contact met mij op of boek direct een demo bij Lupasafe om te zien waar jouw bedrijf nu staat.

Wil je weten waar jouw bedrijf staat op de NIS2-checklist?
Lupasafe biedt een gratis demo waarmee je binnen 30 minuten inzicht krijgt in alle 17 NIS2-controles.

→ Vraag een gratis demo aan bij Lupasafe

Schuiteman is een gecertificeerde toetser voor NIS2 Supply Chain-toetsingen. Wij werken samen met Lupasafe en Samen Digitaal Veilig om mkb-bedrijven te begeleiden bij NIS2-compliance.