Misschien heb je de afgelopen tijd het woord NIS2 voorbij zien komen. In een mail van een leverancier. Op een nieuwssite. Of in een gesprek met je accountant. En misschien dacht je: dat is vast iets voor grote bedrijven.

Dat begrijpen we. Maar de realiteit is anders. De NIS2-richtlijn, de nieuwe Europese cybersecuritywet, raakt ook veel MKB-bedrijven. Niet altijd direct, maar wel via de keten. Grote organisaties die onder NIS2 vallen, zijn verplicht na te denken over de risico’s in hun leveranciersketen en mogen eisen stellen aan hun toeleveranciers. En wie niet aan die eisen voldoet, riskeert contractverlies of uitsluiting.

In deze blog leggen we uit wat NIS2 inhoudt, voor wie het geldt en, belangrijker, wat je er nu al mee kunt.

Wat is de NIS2-richtlijn en waarom bestaat ze?

NIS2 staat voor Network and Information Security Directive 2. Het is een Europese richtlijn die cybersecurity verplicht regelt voor organisaties die actief zijn in sectoren die de samenleving draaiende houden: energie, transport, gezondheidszorg, financiën, digitale infrastructuur en meer.

De eerste versie van deze wet, NIS1, dateert van 2016. Maar cyberdreigingen zijn sindsdien fors toegenomen. Ransomware, phishing en supply chain-aanvallen zijn voor veel bedrijven dagelijkse realiteit geworden. NIS2 is de reactie daarop: strenger, breder en met meer nadruk op verantwoordelijkheid.

De Nederlandse implementatie van NIS2 heet de Cyberbeveiligingswet. Nederland loopt iets achter op de Europese deadline, maar de wet is in voorbereiding en bedrijven doen er goed aan zich nu al voor te bereiden.

Voor wie geldt NIS2 en geldt het ook voor jou?

NIS2 maakt onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten. Denk aan energiebedrijven, ziekenhuizen, drinkwaterbedrijven en grote technologieleveranciers. Die vallen direct onder de wet.

Maar daar houdt het niet op. Want die organisaties moeten ook hun toeleveranciers screenen op cybersecurity. Als jij levert aan een organisatie die NIS2-plichtig is, als onderaannemer, IT-leverancier, logistiek partner of softwareleverancier, dan kunnen zij jou verplichten te voldoen aan hun beveiligingsnormen.

Praktisch gezien betekent dit: ook als MKB-bedrijf kun je indirect geraakt worden door NIS2. Niet door de wet zelf, maar door de verwachtingen van je klanten.

De vragen die je jezelf kunt stellen:

Ben je afhankelijk van leveranciers die digitale diensten leveren?
Lever je aan een grote organisatie in een gereguleerde sector?
Heb je toegang tot systemen of data van klanten?

Als je één van deze vragen met ja beantwoordt, is het verstandig om NIS2 serieus te nemen.

Wat verandert er concreet door de cybersecuritywet?

NIS2 schrijft voor dat organisaties maatregelen nemen op een aantal concrete gebieden. We beschrijven ze niet als een technische checklist, maar als de vragen die klanten en inspecties straks aan jou kunnen stellen:

• Heb je een actueel overzicht van je IT-omgeving en weet je wat er draait?
• Zijn softwareupdates en patches bij alle medewerkers consequent doorgevoerd?
• Is er een procedure als er toch iets misgaat, en weet iedereen die procedure?
• Zijn toegangsrechten goed geregeld? Heeft iedereen alleen toegang tot wat hij nodig heeft?
• Zijn back-ups aanwezig, getest en herstelbaar bij een storing?
• Zijn beveiliging en bewustwording (awareness) geborgd? Weten medewerkers wat ze wel en niet mogen delen, en wat ze moeten doen bij een verdacht mailtje?
• Kun je aantonen wat je doet op het gebied van beveiliging, ook richting klanten en partners?

Dat laatste is een belangrijk nieuw element van NIS2: aantoonbaarheid. Het gaat er niet alleen om dat je beveiliging op orde hebt, maar ook dat je het kunt laten zien. Klanten en opdrachtgevers stellen steeds vaker concrete vragen en verwachten daar een concreet antwoord op.

Hoe dit er in de praktijk uitziet

Een installatiebedrijf met 35 medewerkers voert werkzaamheden uit voor gemeenten en woningcorporaties. Ze plannen projecten via een cloudplatform waar hun gemeentelijke klanten ook toegang toe hebben.

Toen één van die gemeenten NIS2-plichtig werd, kwamen er vragen. Over wie er toegang heeft tot het platform, hoe updates worden bijgehouden en wat er gebeurt bij een datalek. Vragen waar het installatiebedrijf geen antwoord op had.

Ze hadden geen intern IT-team en geen helder overzicht. Welke accounts waren actief? Werden updates overal uitgevoerd? Was er een back-upprotocol? Niemand wist het precies.

Wij zijn samen met hen aan de slag gegaan. Geen grote operatie, maar een gecontroleerde aanpak: eerst inzicht, dan prioriteiten stellen, dan stap voor stap verbeteren. Binnen twee maanden hadden ze duidelijkheid over hun IT-omgeving en konden ze de gemeente geruststellen met concrete antwoorden.

Hoe bereid je je organisatie voor op NIS2?

Je hoeft niet van de ene op de andere dag compliant te zijn. Maar wachten is ook geen optie. Dit zijn vier stappen die houvast geven en waarbij wij als Beheerd.nl je kunnen helpen:

1. Breng je IT-omgeving in kaart. Wat gebruik je, wie heeft toegang, wat loopt er? Wij helpen je dit overzicht snel op papier te krijgen.
2. Zet de technische basis goed. Updates, sterke wachtwoorden, back-ups en toegangsbeheer zijn geen extra’s, ze zijn de basis. Klanten die bij ons een all-in pakket afnemen, hebben deze technische basis al grotendeels op orde. Dat is precies waar we voor staan.
3. Pak de organisatorische kant op. Wie doet wat als er iets misgaat? Wie belt wie? Hoe meld je een incident? De techniek kan op orde zijn, maar als de processen ontbreken, ben je alsnog kwetsbaar. Wij helpen je dit praktisch in te richten.
4. Maak het aantoonbaar. Leg vast wat je doet en waarom. Zo kun je klanten en opdrachtgevers geruststellen als ze vragen stellen. Dat is geen bureaucratie, dat is vertrouwen opbouwen.

De technische basis (updates, toegangsbeheer, back-ups, monitoring) zit bij onze klanten al in het pakket. De organisatorische stappen, zoals processen vastleggen en aantoonbaar maken wat je doet, pakken we samen op. Dat is waar wij het verschil maken. Benieuwd hoe een gestructureerde IT-aanpak eruitziet? Bekijk hoe wij IT-overstappen begeleiden.

Hoe bereid je je organisatie voorNIS2 is geen IT-probleem, het is een organisatievraagstuk op NIS2?

De cybersecuritywet NIS2 vraagt om meer dan een technische oplossing. Het vraagt om inzicht, overzicht en heldere verantwoordelijkheden. Voor veel MKB-bedrijven is dat precies wat ontbreekt. Niet door onwil, maar omdat IT nooit prioriteit heeft gekregen.

Dat hoeft niet ingewikkeld te zijn. Met Beheerd.nl als IT-partner zet je stap voor stap de basis goed, beheerst en zonder verstoring. Zodat jij je klanten kunt geruststellen en jouw bedrijf niet kwetsbaar is voor de risico’s die NIS2 probeert te voorkomen.

IT moet geen discussiepunt zijn. Het moet gewoon kloppen.

Wil je weten hoe jouw IT-omgeving ervoor staat?

Veel bedrijven weten niet precies waar ze staan als het gaat om NIS2. Niet omdat ze het niet belangrijk vinden, maar omdat ze nooit een helder overzicht hebben gehad van hun IT-omgeving.

Wij beginnen altijd met een concreet overzicht: wat draait er, wie heeft toegang, wat is al goed geregeld en wat niet. Vanuit dat inzicht pakken we samen de stappen op die voor jouw organisatie het meeste verschil maken. Geen rapport dat in een la verdwijnt, maar een aanpak die werkt.

Zit je al bij ons? Dan is de technische basis al grotendeels op orde. Dan gaat het gesprek over de organisatorische kant: processen, aantoonbaarheid en bewustwording. Precies waar we je bij helpen.

Wil je weten hoe jouw organisatie ervoor staat? Plan een vrijblijvend gesprek.

Meer lezen:

Wat doet een IT-partner voor het MKB?

Veilig overstappen van IT-partner: hoe werkt dat?

IT-beheer voor bedrijven met 10-100 medewerkers