Update 2026. De Cybersecuritybeveiligingswet (Cbw) implementeert NIS2 in Nederland. MKB-organisaties vragen zich af: vallen wij onder scope, en moeten we alles dubbel doen naast ISO 27001?
Scope zonder paniek
Niet elke MKB’er is essentiële entiteit. Toch vragen opdrachtgevers in vitale ketens vaak dezelfde bewijsstukken: governance, incidentmelding, leveranciersbeheer, logging.
- sector en omzet/dienst — formele scope volgens Cbw;
- contractuele eisen van grootste klanten (vaak strenger dan wet);
- overlap met bestaand ISMS of ISO-traject.
Één register, twee kaders
Voorkom parallelle Excel-lijsten voor NIS2, Cbw en ISO. Gebruik één risicoregister, één incidentproces en één leveranciersregister met tags per kader.
Praktische eerste stappen
- Gap-analyse tegen NIS2 en Cbw.
- Wijs een bestuurlijk eigenaar — CISO alleen is onvoldoende.
- Verdieping: NIS2 voor MKB en ISO 27001 vs NIS2.
In 2026 is de overlap tussen Cbw, NIS2 en ISO 27001 voor veel MKB-organisaties de kernvraag. Maak een mapping-matrix: welke control dekt welke wettelijke eis, welk bewijs levert u eenmalig en waar is aanvullende documentatie nodig voor bestuur of meldplicht.
Contractuele eisen van vitale opdrachtgevers kunnen strenger zijn dan de formele wet-scope. Prioriteer die klanten in uw gap-analyse en leg in management review vast welke investeringen nodig zijn om beide te dekken.
Plan een tabletop incidentmelding met scenario’s voor 24-uur en 72-uur meldtermijnen. Cbw en AVG kunnen naast elkaar spelen — documenteer wie beslist over melding aan toezicht en betrokkenen.
Praktisch voor MKB in de keten
Veel MKB-organisaties vallen formeel buiten essentiële entiteit, maar leveren wel aan vitale sectoren. Contractuele security-eisen zijn dan leidend: vraag klanten welke bewijsstukken zij verwachten en map die op één ISMS in plaats van aparte NIS2- en ISO-mappen.
Bestuurlijke betrokkenheid hoeft geen extra bestuurscommissie te zijn — wel een vast agendapunt in management review over cyberrisico, keten en open acties. CISO presenteert; bestuur beslist over acceptatie en investering.
Incidentmelding oefenen met scenario’s waarin AVG en Cbw tegelijk spelen. Leg vast wie de lead heeft, welke meldtermijnen gelden en wanneer externe counsel wordt ingeschakeld.
Gebruik bestaande ISO 27001-documentatie als basis voor gap-analyse tegen Cbw. Veel controls overlappen; het verschil zit vooral in governance, keten en meldplicht — tag dat in uw register in plaats van alles opnieuw te schrijven.
Zoek alliantie met branchevereniging of ketenpartners voor gedeelde templates — gap-analyse hoeft geen solo-project. Veel MKB-leveranciers gebruiken dezelfde vragenlijsten; één goede mapping bespaart de hele keten tijd.
Formele scope versus contractuele druk
Uw formele Cbw-scope kan smaller zijn dan wat opdrachtgevers contractueel eisen. Prioriteer gap-analyse op grootste klanten en sectoren waar u als ketenpartner zichtbaar bent. Management review moet expliciet maken welke investeringen nodig zijn om beide te dekken.
Zoek alliantie met branchevereniging of ketenpartners voor gedeelde templates — gap-analyse hoeft geen solo-project. Eén goede mapping bespaart de hele keten tijd bij vragenlijsten.
Train projectleiders dat grote changes (nieuwe SaaS, outsourcing) scope en risico kunnen raken — trigger dezelfde checklist als bij ISO 27001 scopewijzigingen.
Vervolgstappen in uw ISMS
Vertaal dit artikel naar één concrete actie in uw risicoregister of verbeterplan: eigenaar, deadline, gewenst bewijs. Bespreek voortgang in het eerstvolgende management review-overleg — auditors en ketenpartners willen besluiten zien, niet alleen beleidsintentie. Koppel waar mogelijk aan bestaande ISO 27001-, NIS2- of AVG-documentatie zodat u geen parallelle mappen onderhoudt.
Heeft u vragen over scope, certificering of keteneisen? Gebruik onze readiness-overzicht en kennisbank-pagina’s voor diepere guidance. Dit artikel vervangt geen juridisch of auditorisch advies voor uw specifieke situatie.
Deel relevante bevindingen kort met lijnmanagement en inkoop — compliance wordt pas werkbaar wanneer de hele organisatie dezelfde prioriteiten herkent. Herhaal de gekozen actie kwartaal in teamoverleg en update evidence-locaties in uw SoA of controleplan zodat surveillance steekproeven snel te beantwoorden zijn.
Wat doet u deze week?
Kies één concreet actiepunt uit dit artikel, wijs een eigenaar en zet het in uw risico- of verbeterregister met deadline. Deel het kort in teamoverleg — zo wordt compliance iets wat de lijn herkent. Herhaal dit kwartaal in management review zodat bestuur voortgang ziet, niet alleen intentie.
Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.
Bewijs en governance
Leg vast wie eigenaar is van de maatregelen uit dit artikel en hoe u werking aantoont in de steekproefperiode — logs, tickets, goedgekeurde changes of oefenverslagen. Certificerende instellingen en ketenpartijen accepteren geen intentie zonder sample. Koppel evidence-locaties aan uw SoA of controleplan zodat interne en externe audit dezelfde bronnen gebruiken.
