NIS2 voor SaaS: wat moet je nu al regelen?

Wie dit aangaat

NIS2 klinkt als wetgeving voor overheden en grote infrastructuurbedrijven. Maar als je SaaS aanbiedt aan Europese bedrijven - of zelf een fintech-platform runt - is de kans groot dat NIS2 jou direct of indirect raakt.

Direct: als digitale dienstverlener val je mogelijk zelf onder de wet. Indirect: je enterprise-klanten vallen wél onder NIS2 en moeten aantonen dat ook hun leveranciers veilig werken. Jij bent die leverancier.

Dit artikel legt uit of jouw bedrijf in scope is, wat de verplichtingen zijn, en wat je nú al moet regelen - zonder te wachten op een klant die het eist.

Val je onder NIS2 als SaaS-bedrijf?

NIS2 onderscheidt twee categorieën: essentiële entiteiten en belangrijke entiteiten. Digitale dienstverleners vallen per definitie in scope als ze boven de drempelwaarden zitten: meer dan 50 medewerkers of meer dan €10 miljoen omzet. Kleinere organisaties kunnen ook in scope vallen als ze specifiek als kritiek worden aangewezen.

Direct in scope als digitale dienstverlener:

• Cloud computing providers (IaaS, PaaS, SaaS boven de drempel)
• Aanbieders van managed services of managed security services
• Online marktplaatsen en zoekmachines boven de drempel
• Datacenter services

NIS2 onderscheidt meer categorieën, waaronder bijvoorbeeld domeinregistrars. Controleer via de [officiële regelhulp van de overheid] (https://regelhulpenvoorbedrijven.nl/NIS-2-NL/) of jouw organisatie in scope valt.

Indirect in scope via de toeleveringsketen:

Zelfs als jij formeel buiten de directe scope valt, verplicht NIS2 jouw klanten om de beveiliging van hun leveranciers te beoordelen en te beheersen. In de praktijk betekent dit: als jouw klant onder NIS2 valt, verwacht hij contractuele zekerheid van jou. Zonder aantoonbare compliance verlies je aanbestedingen.

Fintech specifiek: Als jouw platform financiële diensten ondersteunt - betalingsverwerking, kredietbeoordeling, vermogensbeheer - val je naast NIS2 mogelijk ook onder DORA. DORA geldt voor financiële entiteiten én hun ICT-leveranciers. Overlap is eerder regel dan uitzondering.

Wat verplicht NIS2 concreet?

NIS2 vereist geen certificaat, maar een aantoonbaar werkend risicobeheersysteem. De vier kernverplichtingen:

1. Risicobeheersmaatregelen

Je moet beleid hebben voor: netwerk- en informatiebeveiliging, toegangsbeheer, encryptie van data in transit en at rest, kwetsbaarheidsbeheer en patching, en fysieke beveiliging van systemen. Geen losse documenten, maar een samenhangend ISMS. ISO 27001 wordt door NIS2 expliciet erkend als compliance-pad - het is de snelste route naar aantoonbare voldoening.

2. Incidentmelding

Bij een significante cyberincident moet je binnen 24 uur een eerste melding doen bij de bevoegde nationale autoriteit (in Nederland: NCSC of sectoraal CSIRT). Binnen 72 uur volgt een gedetailleerdere melding, na één maand een eindrapport. Dit vereist een vooraf gedocumenteerde incidentresponseprocedure - die op het moment van een incident klaar moet zijn.

3. Ketenbeveiliging

Je moet je eigen leveranciers beoordelen. Werkt jouw platform op AWS, Azure of GCP? Je bent verantwoordelijk voor de configuratie en het gebruik. Gebruik je externe SaaS-tools voor HR, CRM of communicatie? Ook die vallen onder je ketenbeoordeling.

4. Bedrijfscontinuïteit

Je hebt een gedocumenteerd Business Continuity Plan en Disaster Recovery-plan nodig. Incidenten mogen jouw dienstverlening niet weken stilleggen.

De 5 stappen die je nu al moet zetten

Stap 1 - Bepaal of je in scope bent

Controleer je omvang (medewerkers, omzet) en de aard van je dienst. Begin met de [officiële zelftest van de overheid] (https://regelhulpenvoorbedrijven.nl/NIS-2-NL/) om te bepalen of jouw organisatie direct in scope valt. Twijfel je aan de uitkomst of wat die betekent voor jouw specifieke situatie? Neem contact met ons op voor een persoonlijk adviesgesprek met onze experts.

Stap 2 - Documenteer je risicoanalyse

Je hebt een formeel gedocumenteerde risicoanalyse nodig: welke bedreigingen zijn relevant, welk risico hangt daar aan, en hoe beheer je dat? Dit is de basis voor alles wat volgt.

Stap 3 - Stel een incidentresponseprocedure op

Wie belt wie als er om 3 uur 's nachts een datalek wordt ontdekt? Welke systemen log je? Wie communiceert naar klanten en autoriteiten? Zonder procedure is de 24-uurseis onhaalbaar.

Stap 4 - Breng je leveranciersketen in kaart

Maak een lijst van alle kritische leveranciers: naam, dienst, welke data ze verwerken, en of zij zelf aantoonbare beveiligingsmaatregelen hebben.

Stap 5 - Koppel aan ISO 27001

NIS2-compliance via ISO 27001 is de bewezen aanpak. Het geeft je een gestructureerd framework, externe verificatie, en een certificaat dat klanten direct herkennen. Als je nog geen ISO 27001-traject hebt gestart, is dit het moment.

Weet je niet waar je staat? Doe de gratis Tidal Quickscan en ontdek in 10 minuten wat je NIS2-gereedheid is.

Veelgestelde vragen

Geldt NIS2 voor kleine SaaS-bedrijven?

Organisaties met minder dan 50 medewerkers én minder dan €10 miljoen omzet vallen buiten de directe scope, tenzij ze specifiek als kritiek worden aangewezen of managed services verlenen aan organisaties die wel in scope zijn. Maar klanten die wél in scope vallen, zullen je als leverancier beoordelen - ook als jij zelf buiten de directe scope valt.

Wat is het verschil tussen NIS2 en DORA voor fintech?

NIS2 is breed en geldt voor alle sectoren boven de drempel. DORA is sectorspecifiek voor financiële entiteiten en hun ICT-leveranciers, en stelt strengere eisen aan derdepartijrisico's en operationele weerbaarheidstesten. Als je als ICT-leverancier werkt voor banken, verzekeraars of beleggingsinstellingen, val je onder DORA - naast eventuele NIS2-verplichtingen.

Kan ik NIS2-compliance aantonen zonder certificaat?

Ja. NIS2 vereist geen certificaat. Maar zonder certificaat moet je zelf aantonen dat je maatregelen werken. ISO 27001 biedt de meest geaccepteerde externe verificatie en wordt door toezichthouders en klanten direct herkend als bewijs. Is ISO 27001 op dit moment nog een te grote stap voor jouw organisatie? Er bestaat ook een NIS2-specifiek certificaat, dat een lichtere maar erkende route biedt om compliance aantoonbaar te maken.

Wat zijn de boetes als ik niet voldoe aan NIS2?

Voor essentiële entiteiten: tot €10 miljoen of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten: tot €7 miljoen of 1,4% van de omzet. In Nederland houdt het NCSC en/of de sectorale toezichthouder toezicht.